/domain/<DOMAIN>/ldap - команды управления LDAP и AD авторизацией на уровне домена
declare
команда для создания новой конфигурации до LDAP/AD сервера
Путь команды:
domain/<DOMAIN>/ldap/declare
Синтаксис
declare <ID> <TYPE> <HOST> <PORT> <DC_OR_DOMAIN>
Параметры:
ID - уникальный в рамках домена идентификатор сервиса (используется в других подсистемах для ссылки к настройкам LDAP/AD);
TYPE - тип сервера (LDAP или AD); HOST - IP или хост, где располагается LDAP/AD сервер;
PORT - Порт, на котором располагается LDAP/AD сервер. В случае если значение поля равно default - будет использоваться 389(636) порт для НЕ SSL (SSL) соединения;
DC_OR_DOMAIN - В случае если <TYPE> = LDAP - базовый DN; если <TYPE> = AD - корневой домен active directory
Пример:
admin@[megaco1@ecss1#ECSS 010145]:/$ domain/arko/ldap/declare ldap-server-1 ldap ldap.eltex.loc 389 dc=eltex,dc=loc LDAP server ldap-server-1 successfully configured [exec at: 24.12.2019 11:48:52, exec time: 159ms, nodes: ds1@ecss1] admin@[megaco1@ecss1#ECSS 010145]:/$ domain/arko/ldap/declare ad-1 ad ad.eltex.loc 389 eltex.loc Active Directory server ad-1 successfully configured [exec at: 24.12.2019 11:49:23, exec time: 150ms, nodes: ds1@ecss2]
info
команда для просмотра настроек конфигурации до LDAP/AD сервера
Путь команды:
domain/<DOMAIN>/ldap/info
Синтаксис
info [--show-password]
Параметры:
--show-password - показывать пароль в настройках LDAP сервера для параметра Authenticated at.
Если в профиле безопасности (/system/security/profile/) параметр show_password_at_cli = off, то в выводе пароль скрывается, и вместо него показываются ********
Пример:
admin@[megaco1@ecss1#ECSS 010145]:/$ domain/arko/ldap/info ┌───────────────┬─┬─────────────────────────┬────────────────────────────────────────┐ │ Id │T│ Host:Port │ Properties │ ├───────────────┼─┼─────────────────────────┼────────────────────────────────────────┤ │ad-1 │A│ad.test.loc:389 │Domain: test.loc │ │ │ │ │SSL: false │ │ldap-3 │L│ldap.test.loc:default │Base DN: dc=test,dc=loc │ │ │ │ │Login attribute: uid │ │ │ │ │Search scope: Subtree (recurcive) │ │ │ │ │Autheticated at: Anonymous │ │ │ │ │SSL: true │ └───────────────┴─┴─────────────────────────┴────────────────────────────────────────┘
remove
команда для удаления настроек конфигурации до LDAP/AD сервера
Путь команды:
domain/<DOMAIN>/ldap/remove
Синтаксис
remove <ID>
Параметры:
ID - уникальный в рамках домена идентификатор сервиса (используется в других подсистемах для ссылки к настройкам LDAP/AD);
Пример:
admin@[megaco1@ecss1#ECSS 010145]:/$ domain/arko/ldap/remove ad-1 LDAP/AD server with id ad-1 successfully removed [exec at: 24.12.2019 11:52:42, exec time: 158ms, nodes: ds1@ecss1]
set
команда для изменения настроек конфигурации до LDAP/AD сервера
Путь команды:
domain/<DOMAIN>/ldap/set
Синтаксис
set <ID> <PROPERTY> <VALUE>
Параметры:
ID - уникальный в рамках домена идентификатор сервиса (используется в других подсистемах для ссылки к настройкам LDAP/AD);
PROPERTY - имя свойства, которое будет изменено.
- host - IP или хост, где располагается LDAP/AD сервер;
- port - Порт, на котором располагается LDAP/AD сервер. В случае если значение поля равно default - будет использоваться 389(636) порт для НЕ SSL (SSL) соединения;
- base-search-dn - базовый DN;
- login-attribute - имя атрибута LDAP, в котором располагается имя пользователя;
- recursive-search - включен/выключен рекурсивный поиск пользователя относительно пользователя корня base-search-dn;
- search-auth - логин/пароль пользователя на LDAP для поиска пользователя при авторизации (в случае, если анонимный поиск запрещен); use-ssl - использовать SSL соединение;
- ssl-certificate - сертификат для проверки SSL соединение;
- domain - корневой домен active directory
VALUE - значение свойства
Пароль проверяется на соответствие требованиям, установленным в профиле безопасности (/system/security/profile/), параметр restrictions.
Пример:
admin@[megaco1@ecss1#ECSS 010145]:/$ domain/arko/ldap/set ldap-server-1 login-attribute SAMAccountName LDAP/AD server' ldap-server-1 property "login-attribute" successfully updated [exec at: 24.12.2019 11:58:16, exec time: 176ms, nodes: ds1@ecss2]
check-connection
команда для проверки соединения до LDAP/AD сервера на основе введенных настроек
Путь команды:
check-connection <ID>
Синтаксис
remove <ID>
Параметры:
ID - уникальный в рамках домена идентификатор сервиса (используется в других подсистемах для ссылки к настройкам LDAP/AD);
Пример:
admin@[megaco1@ecss1#ECSS 010145]:/$ domain/arko/ldap/check-connection ldap-server-1 Connection success