Настройка интеграции входа учётных записей операторов через AD\LDAP¶
Настройка интеграции в личном кабинете¶
Создание токена¶
Создаем токен для аутентификации компонента Gateway, который будет отвечать за синхронизацию пользователей в домене:
Сформированный ключ доступа будет необходим в следующих шагах.
Загружаем дистрибутив компонента Gateway необходимой платформы.
Для установки через Docker пропускаем данный пункт.
Инструкция установки Gateway через Docker.
При необходимости, можно загрузить по прямым ссылкам на сайте:
Установка и настройка утилиты Gateway¶
Управление выполняется с помощью консольных команд и конфигурационного файла
Для установки через Docker пропускаем данный пункт.
Инструкция установки Gateway через Docker.
Установка в ОС Linux¶
Создайте каталог для сервиса, например /opt/pro32connect/gateway:
Скачайте и распакуйте файлы gateway и config.json в этот каталог:
Затем запустите следующую команду из под командной строки:
Настройка¶
Для настройки шлюза используйте конфигурационный файл config.json, который должен находиться рядом с файлом gateway. В загруженном дистрибутиве вы найдете шаблон этого файла. Вам необходимо заполнить его своими данными. В следующей таблице описаны допустимые поля настройки. Звездочкой отмечены обязательные поля.
| Параметр | Тип | Описание |
|---|---|---|
host * | string | Адрес сервера PRO32 Connect |
token * | string | Токен для авторизации шлюза вашей учетной записью. Токен генерируется в личном кабинете на странице настроек. |
secure | boolean | Проверка сертификата сервера. По умолчанию false |
Запуск службы¶
После установки и настройки необходимо запустить службу с помощью команды:
Если все настроено верно, то при запуске в консольном режиме вы увидите логи такого вида:
Успешная установка связи с сервером PRO32 Connect:
Вы также можете увидеть статус подключенного шлюза в личном кабинете в списке токенов
Успешная установка связи с вашим AD-сервером:
13:51:56.059 INFO LDAP connected to 'ldaps://10.51.11.34' as 'ADFS\Administrator' base: 'DC=ADFS,DC=TEST,DC=ME'
Все команды для управления шлюзом¶
| Команда | Описание |
|---|---|
gateway -install | Установка службы |
gateway -uninstall | Удаление службы |
gateway -start | Запуск службы |
gateway -stop | Остановка службы |
Установка в ОС Windows¶
Скачать Gateway для Windows вы можете по ссылке: Gateway Windows
Создайте каталог для сервиса, например C:\PRO32Connect\Gateway. Скопируйте файлы gateway.exe и config.json в этот каталог. Затем запустите следующую команду из под командной строки:
Настройка¶
Для настройки шлюза используйте конфигурационный файл config.json, который должен находиться рядом с файлом gateway.exe. В загруженном дистрибутиве вы найдете шаблон этого файла. Вам необходимо заполнить его своими данными. В следующей таблице описаны допустимые поля настройки. Звездочкой отмечены обязательные поля.
| Параметр | Тип | Описание |
|---|---|---|
host * | string | Адрес сервера PRO32 Connect |
token * | string | Токен для авторизации шлюза вашей учетной записью. Токен генерируется в личном кабинете на странице настроек. |
secure | boolean | Проверка сертификата сервера. По умолчанию false |
Запуск службы¶
После установки и настройки необходимо запустить службу с помощью команды:
Если все настроено верно, то при запуске в консольном режиме вы увидите логи такого вида:
Успешная установка связи с сервером PRO32 Connect:
Вы также можете увидеть статус подключенного шлюза в личном кабинете в списке токенов
Успешная установка связи с вашим AD-сервером:
13:51:56.059 INFO LDAP connected to 'ldaps://10.51.11.34' as 'ADFS\Administrator' base: 'DC=ADFS,DC=TEST,DC=ME'
Все команды для управления шлюзом¶
| Команда | Описание |
|---|---|
gateway.exe -install | Установка службы |
gateway.exe -uninstall | Удаление службы |
gateway.exe -start | Запуск службы |
gateway.exe -stop | Остановка службы |
Настройка параметров подключения к Active Directory (LDAP)¶
Настраиваем параметры подключения к домен контроллеру в веб-консоли, параметры будут сохранены в шифрованном виде в СУБД.
Инструкция по заполнению Учетных данных и настроек сервера:
URL: указываем доменное имя сервера контроллера домена, либо его IP адрес в сети.
При использовании LDAP протокола: ldap://192.168.0.1 либо ldap://domain.local будет использован порт по умолчанию 389 для TCP соединений с AD\LDAP сервером
При использовании Secure LDAP протокола: ldaps://192.168.0.1 либо ldaps://domain.local будет использован порт по умолчанию 636 для TCP соединений с AD\LDAP сервером
При использовании других портов для соединения с AD\LDAP сервером, указываем данный порт по примеру:
ldap://192.168.0.1:3268 либо ldap://domain.local:3268 - 3268 в случае Global Catalog
ldaps://192.168.0.1:3269 либо ldaps://domain.local:3269 - 3269 в случае Global Catalog over SSL
Пользователь, пароль: указываем доменную учётную запись пользователя и пароль, которые будут использованы для чтения структуры из AD\LDAP, рекомендуем создать сервисную учётную запись с правами только чтения из домена, срок действия пароля не должен быть ограничен, во избежание сбоев синхронизации, пример:
Примеры для MS AD, РЕД АДМ:
domain.local\username
Примеры для ALD Pro:
uid=admin,cn=users,cn=accounts,dc=aldpro,dc=local
Проверка сертификата сервера AD:
Внимание: проверка сертификата AD\LDAP сервера включается только при выполнении следующих условий:
-
Используемый на контроллере домена AD/LDAP сертификат безопасности добавлен в доверенный корневой центр сертификации на устройстве с установленным компонентом gateway
-
Подключение компонента gateway к контроллеру домена AD/LDAP выполняется с шифрованием соединений
-
На контроллере домена AD/LDAP настроен и используется режим шифрования соединений
BaseDN – опционально, указывается при сложной доменной структуре:
Примеры для MS AD, РЕД АДМ:
dc=domain,dc=local
Примеры для ALD Pro:
dc=aldpro,dc=local
Атрибут логина - обязательное поле, необходимо указать LDAP атрибут для учетных записей администраторов (из доступных на сервере AD/LDAP, с заполненными данными для входа), который будет использоваться при входе в веб-консоли PRO32 Connect. Отображение учетных записей будет по заданному атрибуту.
Примеры для MS AD, РЕД АДМ:
-
userPrincipalName -
mail
https://learn.microsoft.com/ru-ru/windows/win32/ad/naming-properties
Примеры для ALD Pro:
-
mail -
krbCanonicalName
Пользовательский фильтр:
Примеры для MS AD, РЕД АДМ:
(&(objectCategory=person)(objectClass=user))- общий фильтр выборки всех пользователей из домена
Примеры для ALD Pro:
(&(objectClass=posixaccount)(objectClass=person))- общий фильтр выборки всех пользователей из домена
Групповой фильтр:
Внимание: синхронизация пользователей по LDAP в PRO32 Connect работает на основе групп, поэтому рекомендуем создать в домене одну или несколько групп безопасности, добавить в члены группы администраторов, далее указать эти группы в фильтре. Также это необходимо сделать для ограничения выборки количества объектов для синхронизации в том случае, если в журналах компонента gateway будут присутствовать ошибки вида “LDAP size limit was exceeded”.
Примеры для MS AD, РЕД АДМ:
-
(cn=PRO32ConnectAdmins*)- фильтр создает выборку всех групп, имена которых содержат PRO32ConnectAdmins в названии, например PRO32ConnectAdmins-1, PRO32ConnectAdmins-2 и так далее -
(cn=PRO32ConnectAdmins)- фильтр создает выборку из одной группы, имя которой совпадает с поисковым запросом -
(|(objectClass=group)(objectClass=groupOfNames))- общий фильтр выборки всех групп из домена
Примеры для ALD Pro:
(objectClass=ipausergroup)- общий фильтр выборки всех групп из домена
Добавление пользователей в команду¶
Переходим в раздел команды, добавляем новый отдел (ВАЖНО – ранее созданные отделы, без интеграции с AD\LDAP не будут доступны для синхронизации и кнопка «Синхронизировать с группой из Active Directory” будет неактивной)
Указываем название отдела: выбираем пункт "Синхронизировать с группой из Active Directory"
Выбираем подразделение из Active Directory, в котором присутствуют пользователи (будут отображены в превью)
Подразделения, в которых пользователей нет (в превью ни одного пользователя) - не выбираем для интеграции!
Переходим в права доступа (соседняя вкладка) и настраиваем необходимый шаблон разрешений прав доступа, в самом конце нажимаем "Добавить отдел"
Если добавление отдела выполнено успешно, рядом с надписью команда будет следующий статус и ниже в списке появится данный отдел:
Далее необходимо запустить первую синхронизацию вручную:
Нажимаем "Синхронизировать":
После выполнения команды, при успешной синхронизации, размер должен увеличиться на число пользователей выбранного подразделения:
Для настройки автоматической синхронизации: переходим в раздел настроек: вносим параметры и сохраняем изменения:
