Интеграция с Active Directory¶
Если учетные записи ваших операторов и администраторов уже настроены в локальном Active Directory , вы можете импортировать их в систему. Пользователи смогут входить в свои личные кабинеты, используя те же имена и пароли.
Для интеграции необходимо установить шлюз внутри вашей локальной сети и предоставить ей доступ к Active Directory (далее AD). Шлюз будет получать необходимые группы из AD и отправлять данные пользователей на сервер Connect. После этого сервер добавит их в ваш аккаунт.
Теперь подробно рассмотрим, что необходимо сделать.
Настройка шлюза¶
Установка шлюза¶
Перейдите на вкладку Шлюзы в разделе Настройки вашего личного кабинета и нажмите Добавить шлюз.
Во всплывающем окне введите имя шлюза, отметьте Импорт пользователей через протокол LDAP и нажмите Добавить и продолжить настройку:
Откроется окно с инструкциями по установке и настройке:
Скачайте пакет шлюза под вашу операционную систему, распакуйте его в директории и установите командой:
Права на запуск
В Linux необходимо сделать файл исполняемым: chmod +x ./gateway
Затем скачайте файл config.json и поместите его в ту же директорию, что и исполняемый файл.
Что содержит файл конфигурации?
В config.json хранятся адрес сервера и токен, связывающий шлюз с вашим аккаунтом.
Запустите шлюз:
После запуска он появится на вкладке Запущенные шлюзы карточке шлюза:
Другие доступные команды:
| Имя | Описание |
|---|---|
./gateway -install | Установить службу |
./gateway -uninstall | Удалить службу |
./gateway -start | Запустить службу |
./gateway -stop | Остановить службу |
Настройка доступа к серверу AD¶
Теперь необходимо предоставить шлюзу доступ к вашему AD‑серверу, чтобы он мог получать список пользователей.
В карточке шлюза откройте вкладку Импорт пользователей, включите Включить импорт и укажите учетные данные для доступа к AD.
Адрес сервера AD¶
Чтобы шлюз мог получать данные из Active Directory, необходимо указать путь к серверу AD. Это может быть доменное имя или IP‑адрес с протоколами ldap:// (порт по умолчанию 389) или ldaps:// (порт по умолчанию 636).
Имя пользователя и пароль¶
Также необходимо подготовить сервисную учётную запись в вашем Active Directory. Шлюз будет использовать эту учётную запись для чтения структуры AD/LDAP. Рекомендуется создать отдельную учётную запись с правами только на чтение в домене. Чтобы избежать сбоев синхронизации, убедитесь, что срок действия пароля не истекает.
Примеры значений
| Операционная система | Значение |
|---|---|
| Microsoft, РЕД АДМ | domain.local\username |
| ALD Pro | uid=username,cn=users,cn=accounts,dc=domain,dc=local |
Параметры запроса¶
Вы также можете указать дополнительные параметры для получения пользователей:
| Параметр | Описание |
|---|---|
Base DN | Base DN — это уникальное имя (Distinguished Name) базы LDAP, сформированное на основе указанного FQDN LDAP-сервера. |
Login attribute | LDAP-атрибут, используемый для определения поля логина пользователя |
User filter | Дополнительный фильтр для получения списка пользователей AD |
Group filter | Дополнительный фильтр, используемый для получения списка групп AD. Синхронизация пользователей LDAP выполняется на основе групп, поэтому рекомендуется создать одну или несколько групп безопасности в домене, добавить в них необходимых администраторов, а затем указать эти группы в фильтре. Это также необходимо для ограничения количества объектов, выбираемых для синхронизации, если в логах Шлюза появляются ошибки вида LDAP size limit was exceeded. |
Примеры значений
| Параметр | Значение |
|---|---|
| Microsoft, РЕД АДМ: | |
Base DN | dc=domain,dc=local.Например, если FQDN — ldap.synology.com, то Base DN будет dc=ldap,dc=synology,dc=com. |
Login attribute | userPrincipalName, mail и другие.Возможные значения см. в руководстве Атрибуты именования пользователей . |
User filter | (&(objectCategory=person)(objectClass=user)) — пользователи с категорией person и классом user |
Group filter |
|
| ALD Pro: | |
Base DN | dc=domain,dc=local.Например, если FQDN — ldap.synology.com, то Base DN будет dc=ldap,dc=synology,dc=com. |
Login attribute | krbCanonicalName, mail и другие. Возможные значения см. в руководстве ALD Pro . |
User filter | (&(objectClass=posixaccount)(objectClass=person)) — пользователи с классом posixaccount и классом person |
Group filter | (objectClass=ipausergroup) — все группы в домене. При необходимости настройки других фильтров, обратитесь к руководству ALD Pro . |
Проверка соединения¶
Если всё настроено правильно, при запуске шлюза в консольном режиме вы увидите записи:
- Успешное подключение к серверу Connect:
- Успешное подключение к вашему AD‑серверу:
13:51:56.059 INFO LDAP connected to 'ldaps://192.168.0.1' as 'ADFS\Administrator' base: 'DC=ADFS,DC=TEST,DC=RU'
Выбор групп для импорта¶
Когда шлюз успешно работает, необходимо выбрать группы AD, которые будут импортироваться в аккаунт Connect.
Для этого создайте отдел в разделе Команда. На вкладке Участники выберите Импортировать из группы Active Directory и укажите группу.
Группа AD будет связана с отделом в Connect. После создания отдела пользователи будут импортированы и унаследуют его права.
Отделы, связанные с группами AD, помечаются иконкой . Все пользователи наследуют права отдела.
Импортированные пользователи помечаются иконкой и недоступны для редактирования.
Синхронизация¶
Синхронизация импортированных пользователей между AD и сервером Connect выполняется автоматически с заданной частотой, а также вручную кнопкой:
Настройки автоматической синхронизации¶
Параметры можно изменить на странице Настройки в блоке Интеграция с Active Directory (LDAP) - Автоматическая синхронизация:.
Периодичность¶
Интервал времени по которому будет запускаться автоматическая синхронизация пользователей из AD. Минимум - 5 минут, максимум - 7 дней.
Таймаут для пользователей¶
Время, после которого пользователи отдела будут отключены, если синхронизация не выполняется. Минимальное значение равно периоду синхронизации, максимальное - 30 дней. По умолчанию в 10 раз больше периодичности.
Ошибки и журнал событий¶
При ошибках кнопка синхронизации показывает индикатор:
Все события интеграции со шлюзом можно найти в журнале событий. Используйте фильтрацию по префиксу team_department_ldap_*:
