/domain/<DOMAIN>/ldap - команды управления LDAP и AD авторизацией на уровне домена
В данном разделе описывается общая настройка подключения к LDAP/AD.
Используя данные настройки можно добавить учетные данные из LDAP/AD
declare
команда для создания новой конфигурации до LDAP/AD сервера
Путь команды:
domain/<DOMAIN>/ldap/declare
Синтаксис
declare <ID> <TYPE> <HOST> <PORT> <DC_OR_DOMAIN>
Параметры:
ID - уникальный в рамках домена идентификатор сервиса (используется в других подсистемах для ссылки к настройкам LDAP/AD);
TYPE - тип сервера (LDAP или AD); HOST - IP или хост, где располагается LDAP/AD сервер;
PORT - Порт, на котором располагается LDAP/AD сервер. В случае если значение поля равно default - будет использоваться 389(636) порт для НЕ SSL (SSL) соединения;
DC_OR_DOMAIN - В случае если <TYPE> = LDAP - базовый DN; если <TYPE> = AD - корневой домен active directory
Пример:
admin@mycelium1@ecss1:/$ domain/biysk.local/ldap/declare ldap_eltex ldap ldap.maas.eltex.loc 389 dc=eltex,dc=loc LDAP server ldap_eltex successfully configured admin@mycelium1@ecss1:/$ domain/biysk.local/ldap/declare ad_eltex ad ad.eltex.loc 389 eltex.loc Active Directory server ad_eltex successfully configured
info
команда для просмотра настроек конфигурации до LDAP/AD сервера
Путь команды:
domain/<DOMAIN>/ldap/info
Синтаксис
info [--show-password]
Параметры:
--show-password - показывать пароль в настройках LDAP сервера для параметра Authenticated at.
Если в профиле безопасности (/system/security/profile/) параметр show_password_at_cli = off, то в выводе пароль скрывается, и вместо него показываются ********
Пример:
admin@mycelium1@ecss1:/$ domain/biysk.local/ldap/info
┌─────────────────────────────────────┬──┬──────────────────────────────────────────────────────────────┬───────────────────────────────────────────────────────────────────────────────────────────────────┐
│ Id │T │ Host:Port │ Properties │
├─────────────────────────────────────┼──┼──────────────────────────────────────────────────────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────┤
│ad_eltex │A │ad.eltex.loc:389 │Domain: eltex.loc │
│ │ │ │SSL: false │
│ldap_eltex │L │ldap.maas.eltex.loc:389 │Base DN: dc=eltex,dc=loc │
│ │ │ │Login attribute: uid │
│ │ │ │Search scope: Subtree (recursive) │
│ │ │ │Authenticated at: Anonymous │
│ │ │ │SSL: false │
└─────────────────────────────────────┴──┴──────────────────────────────────────────────────────────────┴───────────────────────────────────────────────────────────────────────────────────────────────────┘
Total: 2 server(s)
Legend:
- L - LDAP server;
- A - Active Directory server
remove
команда для удаления настроек конфигурации до LDAP/AD сервера
Путь команды:
domain/<DOMAIN>/ldap/remove
Синтаксис
remove <ID>
Параметры:
ID - уникальный в рамках домена идентификатор сервиса (используется в других подсистемах для ссылки к настройкам LDAP/AD);
Пример:
admin@mycelium1@ecss1:/$ domain/biysk.local/ldap/remove ad_eltex LDAP/AD server with id ad_eltex successfully removed
set
команда для изменения настроек конфигурации до LDAP/AD сервера
Путь команды:
domain/<DOMAIN>/ldap/set
Синтаксис
set <ID> <PROPERTY> <VALUE>
Параметры:
ID - уникальный в рамках домена идентификатор сервиса (используется в других подсистемах для ссылки к настройкам LDAP/AD);
PROPERTY - имя свойства, которое будет изменено.
- host - IP или хост, где располагается LDAP/AD сервер;
- port - Порт, на котором располагается LDAP/AD сервер. В случае если значение поля равно default - будет использоваться 389(636) порт для НЕ SSL (SSL) соединения;
- base-search-dn - базовый DN;
- login-attribute - имя атрибута LDAP, в котором располагается имя пользователя;
- recursive-search - включен/выключен рекурсивный поиск пользователя относительно пользователя корня base-search-dn;
- search-auth - логин/пароль пользователя на LDAP для поиска пользователя при авторизации (в случае, если анонимный поиск запрещен); use-ssl - использовать SSL соединение;
- ssl-certificate - сертификат для проверки SSL соединение;
- domain - корневой домен active directory
VALUE - значение свойства
Пароль проверяется на соответствие требованиям, установленным в профиле безопасности (/system/security/profile/), параметр restrictions.
Пример:
admin@mycelium1@ecss1:/$ domain/biysk.local/ldap/set ldap_eltex login-attribute SAMAccountName LDAP/AD server' ldap_eltex property "login-attribute" successfully update
check-connection
команда для проверки соединения до LDAP/AD сервера на основе введенных настроек
Путь команды:
domain/<DOMAIN>/ldap/check-connection
Синтаксис
check-connection <ID>
Параметры:
ID - уникальный в рамках домена идентификатор сервиса (используется в других подсистемах для ссылки к настройкам LDAP/AD);
Пример:
admin@mycelium1@ecss1:/$ domain/biysk.local/ldap/check-connection ldap_eltex Connection successful