Перейти к содержанию

Настройка интеграции входа учётных записей операторов через AD\LDAP

Настройка интеграции в личном кабинете

Создание токена

Создаем токен для аутентификации компонента Gateway, который будет отвечать за синхронизацию пользователей в домене:

Сформированный ключ доступа будет необходим в следующих шагах.

Загружаем дистрибутив компонента Gateway необходимой платформы.

ℹ Для установки через Docker пропускаем данный пункт.

Инструкция установки Gateway через Docker.

При необходимости, можно загрузить по прямым ссылкам на сайте:

Установка и настройка утилиты Gateway

Управление выполняется с помощью консольных команд и конфигурационного файла

ℹ Для установки через Docker пропускаем данный пункт.

Инструкция установки Gateway через Docker.

Установка в ОС Linux

Создайте каталог для сервиса, например /opt/pro32connect/gateway:

sudo mkdir -p /opt/pro32connect/gateway
cd /opt/pro32connect/gateway

Скачайте и распакуйте файлы gateway и config.json в этот каталог:

wget https://download.pro32connect.ru/gateway/gateway-linux.zip
unzip gateway-linux.zip

Затем запустите следующую команду из под командной строки:

sudo ./gateway -install

Настройка

Для настройки шлюза используйте конфигурационный файл config.json, который должен находиться рядом с файлом gateway. В загруженном дистрибутиве вы найдете шаблон этого файла. Вам необходимо заполнить его своими данными. В следующей таблице описаны допустимые поля настройки. Звездочкой отмечены обязательные поля.

Параметр Тип Описание
host * string Адрес сервера PRO32 Connect
token * string Токен для авторизации шлюза вашей учетной записью. Токен генерируется в личном кабинете на странице настроек.
secure boolean Проверка сертификата сервера. По умолчанию false

Запуск службы

После установки и настройки необходимо запустить службу с помощью команды:

sudo ./gateway -start

Если все настроено верно, то при запуске в консольном режиме вы увидите логи такого вида:

Успешная установка связи с сервером PRO32 Connect:

13:51:55.731    INFO    Signaling       connected to signaling server pro32connect.ru

Вы также можете увидеть статус подключенного шлюза в личном кабинете в списке токенов

Успешная установка связи с вашим AD-сервером:

13:51:56.059    INFO    LDAP            connected to 'ldaps://10.51.11.34' as 'ADFS\Administrator' base: 'DC=ADFS,DC=TEST,DC=ME'

Все команды для управления шлюзом

Команда Описание
gateway -install Установка службы
gateway -uninstall Удаление службы
gateway -start Запуск службы
gateway -stop Остановка службы

Установка в ОС Windows

Скачать Gateway для Windows вы можете по ссылке: Gateway Windows

Создайте каталог для сервиса, например C:\PRO32Connect\Gateway. Скопируйте файлы gateway.exe и config.json в этот каталог. Затем запустите следующую команду из под командной строки:

gateway.exe -install

Настройка

Для настройки шлюза используйте конфигурационный файл config.json, который должен находиться рядом с файлом gateway.exe. В загруженном дистрибутиве вы найдете шаблон этого файла. Вам необходимо заполнить его своими данными. В следующей таблице описаны допустимые поля настройки. Звездочкой отмечены обязательные поля.

Параметр Тип Описание
host * string Адрес сервера PRO32 Connect
token * string Токен для авторизации шлюза вашей учетной записью. Токен генерируется в личном кабинете на странице настроек.
secure boolean Проверка сертификата сервера. По умолчанию false

Запуск службы

После установки и настройки необходимо запустить службу с помощью команды:

gateway.exe -start

Если все настроено верно, то при запуске в консольном режиме вы увидите логи такого вида:

Успешная установка связи с сервером PRO32 Connect:

13:51:55.731    INFO    Signaling       connected to signaling server pro32connect.ru

Вы также можете увидеть статус подключенного шлюза в личном кабинете в списке токенов

Успешная установка связи с вашим AD-сервером:

13:51:56.059    INFO    LDAP            connected to 'ldaps://10.51.11.34' as 'ADFS\Administrator' base: 'DC=ADFS,DC=TEST,DC=ME'

Все команды для управления шлюзом

Команда Описание
gateway.exe -install Установка службы
gateway.exe -uninstall Удаление службы
gateway.exe -start Запуск службы
gateway.exe -stop Остановка службы

Настройка параметров подключения к Active Directory (LDAP)

Настраиваем параметры подключения к домен контроллеру в веб-консоли, параметры будут сохранены в шифрованном виде в СУБД.

Инструкция по заполнению Учетных данных и настроек сервера:

URL: указываем доменное имя сервера контроллера домена, либо его IP адрес в сети.

При использовании LDAP протокола: ldap://192.168.0.1 либо ldap://domain.local будет использован порт по умолчанию 389 для TCP соединений с AD\LDAP сервером

При использовании Secure LDAP протокола: ldaps://192.168.0.1 либо ldaps://domain.local будет использован порт по умолчанию 636 для TCP соединений с AD\LDAP сервером

При использовании других портов для соединения с AD\LDAP сервером, указываем данный порт по примеру:

ldap://192.168.0.1:3268 либо ldap://domain.local:3268 - 3268 в случае Global Catalog

ldaps://192.168.0.1:3269 либо ldaps://domain.local:3269 - 3269 в случае Global Catalog over SSL

Пользователь, пароль: указываем доменную учётную запись пользователя и пароль, которые будут использованы для чтения структуры из AD\LDAP, рекомендуем создать сервисную учётную запись с правами только чтения из домена, срок действия пароля не должен быть ограничен, во избежание сбоев синхронизации, пример:

Примеры для MS AD, РЕД АДМ:

  • domain.local\username

Примеры для ALD Pro:

  • uid=admin,cn=users,cn=accounts,dc=aldpro,dc=local

Проверка сертификата сервера AD:

⚠ Внимание: проверка сертификата AD\LDAP сервера включается только при выполнении следующих условий:

  • Используемый на контроллере домена AD/LDAP сертификат безопасности добавлен в доверенный корневой центр сертификации на устройстве с установленным компонентом gateway

  • Подключение компонента gateway к контроллеру домена AD/LDAP выполняется с шифрованием соединений

  • На контроллере домена AD/LDAP настроен и используется режим шифрования соединений

BaseDN – опционально, указывается при сложной доменной структуре:

Примеры для MS AD, РЕД АДМ:

  • dc=domain,dc=local

Примеры для ALD Pro:

  • dc=aldpro,dc=local

Атрибут логина - обязательное поле, необходимо указать LDAP атрибут для учетных записей администраторов (из доступных на сервере AD/LDAP, с заполненными данными для входа), который будет использоваться при входе в веб-консоли PRO32 Connect. Отображение учетных записей будет по заданному атрибуту.

Примеры для MS AD, РЕД АДМ:

  • userPrincipalName

  • mail

https://learn.microsoft.com/ru-ru/windows/win32/ad/naming-properties

Примеры для ALD Pro:

  • mail

  • krbCanonicalName

Пользовательский фильтр:

Примеры для MS AD, РЕД АДМ:

  • (&(objectCategory=person)(objectClass=user)) - общий фильтр выборки всех пользователей из домена

Примеры для ALD Pro:

  • (&(objectClass=posixaccount)(objectClass=person)) - общий фильтр выборки всех пользователей из домена

Групповой фильтр:

ℹ Внимание: синхронизация пользователей по LDAP в PRO32 Connect работает на основе групп, поэтому рекомендуем создать в домене одну или несколько групп безопасности, добавить в члены группы администраторов, далее указать эти группы в фильтре. Также это необходимо сделать для ограничения выборки количества объектов для синхронизации в том случае, если в журналах компонента gateway будут присутствовать ошибки вида “LDAP size limit was exceeded”.

Примеры для MS AD, РЕД АДМ:

  • (cn=PRO32ConnectAdmins*) - фильтр создает выборку всех групп, имена которых содержат PRO32ConnectAdmins в названии, например PRO32ConnectAdmins-1, PRO32ConnectAdmins-2 и так далее

  • (cn=PRO32ConnectAdmins) - фильтр создает выборку из одной группы, имя которой совпадает с поисковым запросом

  • (|(objectClass=group)(objectClass=groupOfNames)) - общий фильтр выборки всех групп из домена

Примеры для ALD Pro:

  • (objectClass=ipausergroup) - общий фильтр выборки всех групп из домена

Добавление пользователей в команду

Переходим в раздел команды, добавляем новый отдел (ВАЖНО – ранее созданные отделы, без интеграции с AD\LDAP не будут доступны для синхронизации и кнопка «Синхронизировать с группой из Active Directory” будет неактивной)

Указываем название отдела: выбираем пункт "Синхронизировать с группой из Active Directory"

Выбираем подразделение из Active Directory, в котором присутствуют пользователи (будут отображены в превью)

Подразделения, в которых пользователей нет (в превью ни одного пользователя) - не выбираем для интеграции!

Переходим в права доступа (соседняя вкладка) и настраиваем необходимый шаблон разрешений прав доступа, в самом конце нажимаем "Добавить отдел"

Если добавление отдела выполнено успешно, рядом с надписью команда будет следующий статус и ниже в списке появится данный отдел:

Далее необходимо запустить первую синхронизацию вручную:

Нажимаем "Синхронизировать":

После выполнения команды, при успешной синхронизации, размер должен увеличиться на число пользователей выбранного подразделения:

Для настройки автоматической синхронизации: переходим в раздел настроек: вносим параметры и сохраняем изменения: