Добавление домена аутентификации MS AD (LDAP)

Для добавления домена аутентификации следует перейти «Компоненты - Домены аутентификации», а затем нажать экранную кнопку [Создать] и выбрать из выпадающего списка «MS Active Directory (LDAP)». Далее заполнить данные, перечисленные в столбце «Параметр» следующей таблицы. Для проверки и сохранения параметров конфигурации нужно нажать экранную кнопку [Тест], затем [Сохранить].

Данные для добавления аутентификации MS AD

ПараметрОписание
«Название»Текстовое наименование домена аутентификации
«Комментарий»Информационное сообщение, используемое для описания назначения домена аутентификации
«Приоритет»Преимущество использования домена аутентификации при проверке субъекта и его полномочий
«Метка»

Информационное поле, используемое для идентификации объекта во внутренней структуре данных.

Параметр используется для поиска аналогичного домена «Универсального диспетчера», поэтому должен быть одинаковым как на портале «Агрегатор» (при его использовании),  так и на «Универсальном диспетчере».

Поле может состоять из букв латинского алфавита, цифр, знаков «-» (дефис) и «_» (подчеркивание)

«Сервер LDAP»IP-адрес или доменное имя сервера службы каталогов, являющегося источником сведений о субъектах и их полномочиях
«Порт»

TCP-порт, на котором запущена служба каталогов.

Возможные стандартные значения:

  • «389» (по умолчанию). Используется, если доступ к службе каталогов реализован осуществляется по протоколу LDAP;
  • «636». Используется, если доступ к службе каталогов реализован осуществляется по протоколу LDAPS;
  • «3268». Альтернативный порт. Используется, если доступ к службе каталогов реализован осуществляется по протоколу LDAP;
  • «3269». Альтернативный порт. Используется, если доступ к службе каталогов реализован осуществляется по протоколу LDAPS.

Для ускорения поиска пользователей в службе каталогов рекомендуется указывать альтернативный порт

«Использовать SSL»Использовать защищенное соединение при взаимодействии со службой каталогов
«Учетная запись»

Учетная запись в формате Distinguished Name (DN) в домене MS AD (LDAP), используемая для подключения к службе каталогов.

Пример: «CN=admin,OU=user,DC=test,DC=desk»

«Пароль учетной записи»Набор символов, подтверждающий полномочия объекта для подключения к службе каталогов
«Таймаут»

Время ожидания (в секундах) ответа от службы каталогов.

Значение по умолчанию: «10»

«Base DN»

Корень поиска в службе каталогов в формате DN. Параметру следует задавать значение, соответствующее записи верхнего уровня в иерархии службы каталогов (без указания OU).

Вводимое значение не должно содержать пробелов:

  • в начале и конце строки;
  • рядом с разделителями (запятыми);
  • в элементах пути (например, «DC=company name,DC=de»).

Пример: «DC=test,DC=desk»

«Имя класса пользователя»

Атрибут класса пользователя в службе каталогов.

Для корректного заполнения данного поля необходимо указать значение «person»

«Атрибут идентификатора пользователя»

Атрибут уникального имени или идентификатора пользователя в службе каталогов.

Для корректного заполнения данного поля необходимо указать:

  • значение «name», если активирован параметр «Использовать PKINIT»;

Атрибут идентификатора пользователя задается с учетом того, какой шаблон использовался при выдаче сертификата пользователя. Например, значение «name» для механизма аутентификации Kerberos PKINIT указывается в том случае, если сертификат для подключения выдан на имя пользователя.

  • значение «SamAccountName» в остальных случаях
«Список атрибутов пользователя»

Список атрибутов, содержащий уникальные данные пользователя, разделенные запятыми.

Для корректного заполнения данного поля необходимо указать значение «name»

«Имя атрибута группы»

Атрибут принадлежности к группе в службе каталогов.

Для корректного заполнения данного поля необходимо указать значение «group»

«Атрибут имени группы»

Атрибут идентификатора группы, к которой относится субъект в службе каталогов.

Для корректного заполнения данного поля необходимо указать:

  • значение «distinguishedname», если включены параметры «Использовать рекурсивный поиск групп» или «Использовать обратный порядок проверки членства пользователей»;
  • значение «name», если активирован параметр «Использовать PKINIT»;

Атрибут имени группы задается с учетом того, какой шаблон использовался при выдаче сертификата пользователя. Например, значение «name» для механизма аутентификации Kerberos PKINIT указывается в том случае, если сертификат для подключения выдан на имя пользователя. 

  • значение «cn» в остальных случаях.

Если используется значение «distinguishedname», то при добавлении группы в домен аутентификации по пути «Компоненты - Домены аутентификации - Наименование домена - Группы» нужно указывать длинные имена групп, например: «CN=RootGroup,CN=Users,DC=test,DC=desk». Если используется значение «cn», то нужно указывать короткие имена групп.

Если параметр «Атрибут имени группы» был изменен, то необходимо заново добавить группы, используя соответствующие имена групп: для «cn» - короткие имена, для «distinguishedname» - длинные имена

«Атрибут членства в группе»

Идентификатор группы для назначения полномочий субъекту.

Для корректного заполнения данного поля необходимо указать значение «member»

«Атрибут групп для LDAP-запросов»Атрибут, определяющий группы пользователя при запросах к службе каталогов. Возможные значения: «objectClass», «objectCategory»
«Использовать рекурсивный поиск групп»

При запросе групп пользователя будут учтены его родительские группы, в которых он состоит неявно.

Если дополнительно включен параметр «Использовать обратный порядок проверки членства пользователей», то параметр «Использовать рекурсивный поиск групп» можно не включать.

Возможные значения:

  • «Да» - использовать рекурсивный поиск;
  • «Нет» (по умолчанию) - не использовать рекурсивный поиск
«Использовать обратный порядок проверки членства пользователей»

Проверка соответствия членства пользователя в группах службы каталогов членству в группах домена аутентификации. Для работы функционала необходимо, чтобы был задан параметр «Атрибут имени группы».

Этот параметр нужно включить при большом количестве групп непосредственно на службе каталогов MS AD. В этом случае сначала будет проверяться вхождение пользователя в группы домена аутентификации (в том числе рекурсивно), затем будет происходить проверка найденных групп в службе каталогов MS AD.

При выключении этого параметра применяется настройка выбора «Атрибут групп для LDAP-запросов»: «objectClass» или «objectCategory».

При включении этого параметра всегда применяется настройка выбора «Атрибут групп для LDAP-запросов»: «objectClass».

Возможные значения:

  • «Да» - использовать обратный порядок;
  • «Нет» (по умолчанию) - не использовать обратный порядок
«Использовать PKINIT»

Использовать механизм аутентификации Kerberos PKINIT при аутентификации пользователя. PKINIT - механизм, позволяющий использовать сертификаты X.509 в качестве метода аутентификации.

Предполагается, что механизм аутентификации Kerberos PKINIT настроен в инфраструктуре организации и пользователю выданы соответствующие сертификаты и ключи для подключения (персональный сертификат, закрытый ключ к нему и корневой сертификат ЦС, на котором выпущен персональный сертификат).

При активации механизма аутентификации Kerberos PKINIT нужно указать актуальный порт в параметре «Порт PKINIT», а также указать нужные значения параметров «Атрибут имени группы» и «Атрибут идентификатора пользователя».

Возможные значения:

  • «Да» - использовать механизм;
  • «Нет» (по умолчанию) - не использовать механизм
«Порт PKINIT»

TCP/UDP порт, на котором запущена служба Kerberos.

Значение по умолчанию: «88»