...
| Подсказка |
|---|
С подробным описанием интерфейса можно ознакомиться в разделе "Настройки" → "Система" → "Авторизация" Руководства пользователя. |
2. В виджете "Разрешенные способы аутентификации" активируйте переключатель "LDAP" и нажмите кнопку "Сохранить":
| Подсказка |
|---|
Активированный переключатель "Локальная" разрешает пользователям с типом аккаунта "ECCM" выполнять аутентификацию в системе. Если его выключить, то будет работать только аутентификация через LDAP, локальная аутентификация работать не будет. |
3. Внимательно ознакомьтесь с информацией в окне подтверждения действия и нажмите кнопку "Да":
...
Перейдите на страницу "Настройки" → "Система" → "Авторизация":
Настройка параметров для подключения к серверу
На вкладке "Основные настройки" виджета "LDAP" укажите данные, необходимые для подключения к LDAP-серверу:
- В поле "Адрес сервера" введите доменное имя или IP-адрес LDAP-сервера;
- В поле "Порт" введите порт для подключения к LDAP-серверу;
- Активируйте переключатель "Авторизованный доступ", если для подключения к LDAP-серверу необходима учетная запись (опционально). При активации переключателя становятся доступны следующие параметры:
- "Полный DN учетной записи" — введите в поле полный DN учетной записи пользователя, от имени которого будет происходить подключение к LDAP-серверу. Пример: uid=ldap-integration,ou=Management system,ou=Admins,dc=company,dc=com;
- "Пароль учетной записи" — введите в поле пароль для DN пользователя, указанного в предыдущем поле.
- Активируйте флаг "Безопасное соединение", если необходимо настроить защищенное подключение к LDAP-серверу (опционально). При активации флага становятся доступны следующие параметры:
- Флаг "Отключить проверку адреса сервера" — активируйте флаг, если нужно отключить проверку адреса сервера на соответствие корневому сертификату (опционально);
- Флаг "Использовать корневой сертификат" — активируйте флаг, если необходимо использовать пользовательский сертификат при защищенном подключении к LDAP-серверу (опционально). Для корректной работы необходимо загрузить корневой сертификат.
- Для загрузки пользовательского корневого сертификата нажмите кнопку "Импортировать", в открывшемся окне выберите сертификат, который будет использоваться при подключении к LDAP-серверу.
...
В случае если подключение к LDAP-серверу прошло успешно, рядом с кнопкой "Проверить" отобразится иконка
:
При возникновении ошибки подключения к серверу с настроенными параметрами рядом с кнопкой отобразится иконка
:
Проверьте корректность настроенных параметров в разделе "Подключение к серверу", при необходимости скорректируйте их и повторите процедуру проверки подключения.
...
В поле "Атрибут username" введите атрибут, в котором на LDAP-сервере хранится информация о логине пользователя.
Проверка аутентификации
...
В случае успешной аутентификации рядом с кнопкой "Проверить" отобразится иконка:
Если возникла ошибка авторизации и рядом с кнопкой отобразилась иконка иконка :
- Проверьте правильность введенных данных пользователя, с которыми проводилась проверка аутентификации.
- Проверьте корректность параметров, указанных в разделе "Поиск пользователей".
- Повторите процедуру проверки аутентификации.
| Информация |
|---|
Результат последней проверки будет отображаться рядом с кнопкой "Проверить", расположенной справа от названия раздела:
|
Настройка соответствия атрибутов LDAP
...
- В поле "Атрибут имя" введите название атрибута, в котором на LDAP-сервере хранится информация об имени пользователя. По умолчанию для большинства серверов LDAP установлено значение 'givenName'.
- В поле "Атрибут фамилия" введите название атрибута, в котором на LDAP-сервере хранится информация о фамилии пользователя. По умолчанию для большинства серверов LDAP установлено значение 'sn'.
- В поле "Атрибут отчество" введите название атрибута, в котором на LDAP-сервере хранится информация об отчестве пользователя. Если атрибут отсутствует на сервере, оставьте поле пустым.
- В поле "Атрибут e-mail" введите название атрибута, в котором на LDAP-сервере хранится адрес электронной почты пользователя. По умолчанию для большинства LDAP-серверов установлено значение 'mail'.
- В поле "Атрибут номер телефона" введите название атрибута, в котором на LDAP-сервере хранится номер телефона пользователя. Если атрибут отсутствует на сервере, оставьте поле пустым.
Проверка получения атрибутов
...
В открывшемся окне введите логин существующего LDAP-пользователя и нажмите кнопку "Проверить", после чего в диалоговом окне отобразятся новые поля.
Если поле диалога заполнено корректной информацией, то атрибут LDAP был указан верно.
...
После того как все параметры вкладки "Основные настройки" заполнены и все проверки успешно пройдены, нажмите кнопку "Сохранить" в левом нижнем углу виджета для сохранения изменений.
| Якорь | ||||
|---|---|---|---|---|
|
...
1. Перейдите на страницу "Настройки" → "Система" → "Пользователи и роли" → "Пользователи":
2. Нажмите кнопку "Создать". Откроется окно создания пользователя:
...
4. В поле "Имя пользователя" введите имя существующего LDAP-пользователя, для которого необходимо создать учетную запись в ECCM. После заполнения поля автоматически будет проведена проверка существования пользователя с данным логином на LDAP-сервере. Если проверка прошла успешно, рядом с полем отобразится иконка:
5. В поле "Роль" выберите роль для нового пользователя.
...
9. В блоке "Группы доступа" нажмите кнопку "Добавить". В открывшемся окне выберите группу доступа, доступ до которой будет открыт пользователю, и нажмите кнопку "Выбрать":
10. После заполнения всех обязательных полей нажмите кнопку "Создать":
Учетная запись пользователя будет отображена в таблице на странице "Настройки" → "Система" → "Пользователи и роли" → "Пользователи":
Авторизация под учетной записью LDAP
...
2. В форме авторизации введите логин и пароль созданного LDAP-пользователя, учетная запись которого была создана в разделе "Создание LDAP-пользователя".
3. Нажмите кнопку "Войти".
В случае успешной авторизации пользователя в системе откроется веб-интерфейс ЕССМ.
Настройка авторизации через LDAP
...
На виджете "LDAP" перейдите на вкладку "Роли и группы доступа":
В поле "Базовый DN для поиска групп" введите базовый DN, с которого начинается поиск групп в каталогах LDAP-сервера.
...
Для присвоения системных групп доступа пользователям, которые проходят авторизацию в ECCM через LDAP, активируйте переключатель "Получать группы доступа для LDAP пользователей из LDAP" и выберите политику, которая будет по умолчанию применяться к LDAP-пользователям, для которых не получилось определить группу доступа.
| Информация |
|---|
Политики будут применяться к LDAP-пользователям в случае если:
|
Нажмите кнопку "Добавить" в разделе "Соответствие ролей": отобразится строка настройки соответствия "Роль в ЕССМ ↔ Группа в LDAP":
В поле "Роль" выберите системную роль ECCM, которая будет автоматически присвоена LDAP-пользователю определенной LDAP-группы.
...
Настроенное соответствие будет отображено в разделе "Соответствие ролей":
Для проверки настроенного соответствия нажмите кнопку "Проверить": откроется диалог с результатами поиска пользователей в указанной группе LDAP:
Результат проверки будет отображен в форме после закрытия диалога:
Аналогичным образом в разделе "Соответствие групп доступа" настройте соответствие групп доступа ЕССМ каталогам LDAP.
Сохранение настроек
...
На виджете "LDAP" перейдите на вкладку "Ограничения пользователей":
Активируйте переключатель "Проверять ограничения пользователей".
Нажмите на поле "Используемый сервер LDAP" и выберите используемый сервер:
Если выбран "Другой LDAP сервер", нажмите кнопку "Добавить" в разделе "Параметры-индикаторы ограничения пользователей": отобразятся поля для настройки соответствия "Название атрибута ↔ Значение атрибута". Заполните поля согласно настройкам LDAP-сервера:
Если выбран "Microsoft Active Directory", то проверка ограничений учетной записи пользователя осуществляется по следующим индикаторам:
...
Отметьте требуемые условия блокировки:
Для проверки корректности настроек ограничений пользователей нажмите на кнопку "Проверить": откроется диалоговое окно. Введите имя пользователя в соответствующее поле и нажмите кнопку "Проверить". Если условие ограничения не выполняется, то будет отображена иконка(доступ разрешен):
Если условие ограничения выполняется, то будет отображена иконка 
(доступ запрещен):
Сохранение настроек
...
- Перейдите на страницу авторизации ECCM.
- В форме авторизации введите логин и пароль LDAP-пользователя, который соответствует настроенным параметрам авторизации.
- Нажмите кнопку "Войти".
В случае успешной авторизации пользователя в системе откроется веб-интерфейс ЕССМ.
Учетная запись пользователя будет автоматически создана и отображена в таблице на странице "Настройки" → "Система" → "Пользователи и роли" → "Пользователи":
