Интеграция с Active Directory¶

Если учетные записи ваших операторов и администраторов уже настроены в локальном Active Directory , вы можете импортировать их в систему. Пользователи смогут входить в свои личные кабинеты, используя те же имена и пароли.

Для интеграции необходимо установить шлюз внутри вашей локальной сети и предоставить ей доступ к Active Directory (далее AD). Шлюз будет получать необходимые группы из AD и отправлять данные пользователей на сервер PRO32 Connect. После этого сервер добавит их в ваш аккаунт.

Теперь подробно рассмотрим, что необходимо сделать.

Настройка шлюза¶

Установка шлюза¶

Перейдите на вкладку Шлюзы в разделе Настройки вашего личного кабинета и нажмите Добавить шлюз.

Во всплывающем окне введите имя шлюза, отметьте Импорт пользователей через протокол LDAP и нажмите Добавить и продолжить настройку:

Откроется окно с инструкциями по установке и настройке:

Скачайте пакет шлюза под вашу операционную систему, распакуйте его в директории и установите командой:

gateway.exe -install

Права на запуск

В Linux необходимо сделать файл исполняемым: chmod +x ./gateway

Затем скачайте файл config.json и поместите его в ту же директорию, что и исполняемый файл.

Что содержит файл конфигурации?

В config.json хранятся адрес сервера и токен, связывающий шлюз с вашим аккаунтом.

Запустите шлюз:

gateway.exe -start

После запуска он появится на вкладке Запущенные шлюзы карточке шлюза:

Другие доступные команды:

Имя	Описание
`./gateway -install`	Установить службу
`./gateway -uninstall`	Удалить службу
`./gateway -start`	Запустить службу
`./gateway -stop`	Остановить службу

Настройка доступа к серверу AD¶

Теперь необходимо предоставить шлюзу доступ к вашему AD‑серверу, чтобы он мог получать список пользователей.

В карточке шлюза откройте вкладку Импорт пользователей, включите Включить импорт и укажите учетные данные для доступа к AD.

Адрес сервера AD¶

Чтобы шлюз мог получать данные из Active Directory, необходимо указать путь к серверу AD. Это может быть доменное имя или IP‑адрес с протоколами ldap:// (порт по умолчанию 389) или ldaps:// (порт по умолчанию 636).

Имя пользователя и пароль¶

Также необходимо создать служебную учетную запись в AD, от имени которой шлюз будет читать структуру AD/LDAP. Рекомендуется создать отдельный аккаунт с правами только на чтение. Пароль не должен иметь срока истечения, чтобы избежать ошибок синхронизации.

Параметры запроса¶

Можно задавать дополнительные параметры:

Параметр	Описание
`Base DN`	Base DN, определяемый по FQDN вашего LDAP‑сервера. Например, для `ldap.synology.com` это `dc=ldap,dc=synology,dc=com`.
`Login attribute`	LDAP‑атрибут, использующийся как логин
`User filter`	Дополнительный фильтр для списка пользователей AD
`Group filter`	Дополнительный фильтр для списка групп AD

Проверка соединения¶

Если всё настроено правильно, при запуске шлюза в консольном режиме вы увидите записи:

Успешное подключение к серверу PRO32 Connect:

13:51:55.731  INFO    Signaling       connected to signaling server pro32connect.ru

Успешное подключение к вашему AD‑серверу:

13:51:56.059  INFO    LDAP            connected to 'ldaps://192.168.0.1' as 'ADFS\Administrator' base: 'DC=ADFS,DC=TEST,DC=ME'

Выбор групп для импорта¶

Когда шлюз успешно работает, необходимо выбрать группы AD, которые будут импортироваться в аккаунт PRO32 Connect.

Для этого создайте отдел в разделе Команда. На вкладке Участники выберите Импортировать из группы Active Directory и укажите группу.

Группа AD будет связана с отделом в PRO32 Connect. После создания отдела пользователи будут импортированы и унаследуют его права.

Отделы, связанные с группами AD, помечаются иконкой . Все пользователи наследуют права отдела.

Импортированные пользователи помечаются иконкой и недоступны для редактирования.

Синхронизация¶

Синхронизация импортированных пользователей между AD и сервером PRO32 Connect выполняется автоматически с заданной частотой, а также вручную кнопкой:

Настройки автоматической синхронизации¶

Параметры можно изменить на странице Настройки в блоке Интеграция с Active Directory (LDAP) - Автоматическая синхронизация:.

Периодичность¶

Интервал времени по которому будет запускаться автоматическая синхронизация пользователей из AD. Минимум - 5 минут, максимум - 7 дней.

Таймаут для пользователей¶

Время, после которого пользователи отдела будут отключены, если синхронизация не выполняется. Минимальное значение равно периоду синхронизации, максимальное - 30 дней. По умолчанию в 10 раз больше периодичности.

Ошибки и журнал событий¶

При ошибках кнопка синхронизации показывает индикатор:

Все события интеграции со шлюзом можно найти в журнале событий. Используйте фильтрацию по префиксу team_department_ldap_*: