На странице:


Общие сведения

Каталоги LDAP позволяют централизовать управление пользователями. ПК Интеллект Х поддерживает три сценария работы с LDAP:

  • Ручная регистрация LDAP-пользователей: позволяет выборочно предоставлять доступ к LDAP каталогу. Администратор вручную создаёт пользователя ПК Интеллект Х и связывает его с учётной записью LDAP.
  • Синхронизация пользователей LDAP: позволяет массовое добавление пользователей. Система загружает пользователей из выбранной LDAP-ветки и автоматически добавляет их в выбранную роль ПК Интеллект Х
  • Авторегистрация пользователей LDAP: позволяет любому пользователю LDAP входить в ПК Интеллект Х под одной или несколькими предопределенными ролями. После успешной проверки пароля пользователь он будет автоматически добавлен в конфигурацию и получит роль, указанную в поле Роль для авторегистрации пользователя.

Настройка каталога LDAP

Для настройки каталога LDAP нужно:

  1. Перейти во вкладку Управление конфигурацией → Пользователи.
  2. Нажать на кнопку Создать... в группе Каталоги LDAP.

    В систему добавится объект LDAP 1, а с правой стороны экрана откроется панель настройки подключения к каталогу LDAP 1.
  3. Изменить настройки каталога LDAP, которые указаны в таблице:
    ПолеЗначениеОписание
    Подключение LDAP
    НазваниеLDAP 1Задать имя каталога
    Имя или IP-адрес сервераldap.postland.orgВвести адрес сервера каталога LDAP
    Порт636Ввести порт подключения сервера каталога LDAP
    Использовать защищённое соединение (SSL)

    		Установить флажок, если необходимо использовать защищенное соединение (SSL) при подключении к каталогу LDAP

    Базовый DNou=Address,dc=company,dc=domain

    Ввести DN ветки (Distinguished Name), от которой начинается поиск данных

    Внимание!

    • Если пользователи в LDAP расположены в нескольких директориях с иерархической структурой, одновременно синхронизировать всех пользователей невозможно.
    • Для синхронизации каждой группы пользователей в DN ветке необходимо указывать путь к соответствующей директории.
      Например, в LDAP есть директория Сотрудники и поддиректории Менеджеры, Кассиры, Продавцы:
      • DN ветки для синхронизации пользователей директории Менеджеры: ou=Менеджеры,ou=Сотрудники,dc=example,dc=com;
      • DN ветки для синхронизации пользователей директории Кассиры: ou=Кассиры,ou=Сотрудники,dc=example,dc=com;
      • DN ветки для синхронизации пользователей директории Продавцы: ou=Продавцы,ou=Сотрудники,dc=example,dc=com.
    Пользовательuid=your.login,ou=Users,dc=company,dc=domainВвести имя пользователя, который имеет доступ к чтению из базового DN, в формате LDAP (RDN + DN)
    Пароль
    		Ввести пароль пользователя
    Настройки фильтрации
    Тип поискаПользователиВыбрать тип поиска в каталоге
    Группы
    Пользователи в Группах
    Пользователи и Пользователи в Группах
    Фильтр поиска(objectClass=person)

     Ввести строку фильтра записей в каталоге

    Внимание!

    Для выгрузки пользователей по группам, а не по каталогам, в фильтре необходимо использовать атрибут memberof. Например:

    (&(objectClass=user)(memberof=CN=YourGroup,OU=Users,DC=YourDomain,DC=com))

    Фильтр поиска в группах(objectClass=group)

    Ввести строку фильтра записей в группе

    Внимание!

    Поля Фильтр поиска и Фильтр поиска в группах являются взаимоисключающими и активируются в зависимости от значения поля Тип поиска:

    • Пользователи — активно только поле Фильтр поиска;
    • Группа — активно только поле Фильтр поиска в группах;
    • Пользователи в Группах и Пользователи и Пользователи в Группах активны оба поля.
    Шаблоны LDAPOpenLDAPВыбрать шаблон для задания атрибута имени пользователя
    Microsoft Active Directory
    Атрибут имени пользователяcn

    Ввести атрибут, из которого получают имя пользователя. Для поиска пользователей по атрибуту sAMAccountName необходимо вводить его строчными буквами – samaccountname

    Атрибут DNentrydn

    Ввести атрибут, из которого получают DN пользователя. 

    Значение атрибута DN по умолчанию зависит от выбранного шаблона LDAP:

    • для шаблона OpenLDAP используется значение entrydn;
    • для шаблона Microsoft Active Directorydistinguishedname
    Роль для автоматической регистрации пользователя
    		Выбрать роль, к которой будут автоматически добавляться новые пользователи каталога LDAP при входе в ПК Интеллект Х. Если не задать роль, автоматическое создание пользователей для этого каталога будет отключено
  4. Нажать на кнопку Применить .

В результате каталог LDAP будет добавлен в систему.

Для проверки соединения необходимо нажать на кнопку Тест подключения . При неудачной попытке будет выведено сообщение об ошибке.

Для загрузки пользователей каталога нужно нажать на кнопку Загрузить . Если подключение прошло успешно, то форма снизу заполнится данными пользователей. Иначе будет выведено сообщение об ошибке.

Настройка синхронизации групп LDAP каталога

Синхронизация групп LDAP каталога предназначена для автоматического сопоставления групп пользователей из LDAP с ролями в системе. Для настройки синхронизации групп LDAP нужно:

  1. В панели Настройки фильтрации в поле Тип поиска выбрать значение Группы. Справа отобразится панель Настройка синхронизации групп LDAP каталога.
  2. Нажать на кнопку Загрузить .
  3. В панели Настройка синхронизации групп LDAP каталога нужно:
    1. В поле Группа ввести название группы.
    2. В поле Distinguished Name выбрать необходимый атрибут из списка.
    3. В поле Роль установить флажки напротив требуемых ролей, к которым будут автоматически добавляться новые пользователи.
    4. Нажать на кнопку Добавить . Новая группа отобразится на панели.
  4. Нажать на кнопку Применить для сохранения изменений.

Настройка синхронизации групп LDAP каталога завершена.

Синхронизация каталога LDAP

Синхронизация может выполняться в ручном или автоматическом режиме. Для синхронизации каталогов LDAP нужно:

  1. На вкладке Пользователи нажать на группу Каталоги LDAP.

  2. Настроить параметры синхронизации, которые указаны в таблице:
    ПараметрЗначениеОписание
    Настройки автоматической синхронизации
    Включить

    		По умолчанию автоматическая синхронизация выключена. Для включения автоматической синхронизации нужно установить флажок

    Сервер синхронизации
    		Из выпадающего списка выбрать сервер синхронизации
    Период синхронизации1 день 0 часов 0 минутУстановить период для автоматической синхронизации
    Статус синхронизации
    СтатусОстановленоПо умолчанию отображается статус синхронизации Остановлено. После начала синхронизации статус меняется
    Последняя синхронизацияНеизвестноПо умолчанию дата последней синхронизации отображается как Неизвестно. После начала синхронизации будет отображена дата и время последней синхронизации

  3. Нажать на кнопку Применить.
  4. Для начала ручной синхронизации нажать на кнопку Синхронизировать вручную.

Настройка синхронизации завершена.

Копирование каталога LDAP

Для копирования каталога с сохранением всех текущих настроек нужно:

  1. Нажать на название каталога, который требуется копировать.

  2. Нажать на кнопку Создать.

В результате будет создан новый каталог с идентичными настройками. Название нового каталога по умолчанию будет LDAP 1, LDAP 2 и т.д., в зависимости от количества ранее созданных каталогов.

Удаление каталога LDAP

Для удаления каталога нужно:

  1. Нажать на название каталога, который требуется удалить.
  2. Нажать на кнопку Удалить .

В результате выбранный каталог будет удален.