Начиная с версии 1.12 в системе управления ECCM появилась возможность аутентификации пользователей через LDAP-сервер.
Для включения аутентификации LDAP необходимо:
- Включить способ аутентификации "LDAP" в настройках ЕССМ.
- Настроить подключение к LDAP-серверу и соответствие атрибутов LDAP параметрам учетной записи пользователя ECCM.
- Создать в ECCM учетную запись пользователя с типом аккаунта "LDAP".
Включение LDAP-аутентификации
Чтобы включить LDAP-аутентификацию, выполните следующие действия:
1. Перейдите на страницу "Настройки" → "Система" → "Авторизация":
С подробным описанием интерфейса можно ознакомиться в разделе "Настройки" → "Система" → "Авторизация" Руководства пользователя.
2. В виджете "Разрешенные способы аутентификации" активируйте переключатель "LDAP" и нажмите кнопку "Сохранить":
Активированный переключатель "ECCM" разрешает пользователям с типом аккаунта "ECCM" выполнять аутентификацию в системе. Если его выключить, то будет работать только аутентификация через LDAP, локальная аутентификация работать не будет.
3. Внимательно ознакомьтесь с информацией в окне подтверждения действия и нажмите кнопку "Да":
Настройка подключения к LDAP-серверу
Перейдите на страницу "Настройки" → "Система" → "Авторизация":
Настройка параметров для подключения к серверу
В виджете "LDAP" в разделе "Подключение к серверу" укажите данные, необходимые для подключения к LDAP-серверу:
- В поле "Адрес сервера" введите доменное имя или IP-адрес LDAP-сервера;
- В поле "Порт" введите порт для подключения к LDAP-серверу;
- Активируйте переключатель "Авторизованный доступ", если для подключения к LDAP-серверу необходима учетная запись (опционально). При активации переключателя становятся доступны следующие параметры:
- "Полный DN учетной записи" — введите в поле полный DN учетной записи пользователя, от имени которого будет происходить подключение к LDAP-серверу;
- "Пароль учетной записи" — введите в поле пароль для DN пользователя, указанного в предыдущем поле.
- Активируйте флаг "Защищенное соединение", если необходимо настроить защищенное подключение к LDAP-серверу (опционально). При активации флага становятся доступны следующие параметры:
- Флаг "Отключить проверку адреса сервера" — активируйте флаг, если нужно отключить проверку адреса сервера на соответствие корневому сертификату (опционально);
- Флаг "Использовать корневой сертификат" — активируйте флаг, если необходимо использовать пользовательский сертификат при защищенном подключении к LDAP-серверу (опционально). Для корректной работы необходимо загрузить корневой сертификат.
- Для загрузки пользовательского корневого сертификата нажмите кнопку "Импортировать", в открывшемся окне выберите сертификат, который будет использоваться при подключении к LDAP-серверу.
Проверка подключения к серверу
Чтобы протестировать соединение с LDAP-сервером, нажмите кнопку "Проверить подключение".
В случае если подключение к LDAP-серверу прошло успешно, рядом с кнопкой "Проверить подключение" отобразится иконка
При возникновении ошибки подключения к серверу с настроенными параметрами рядом с кнопкой отобразится иконка
:Проверьте корректность настроенных параметров в разделе "Подключение к серверу", при необходимости скорректируйте их и повторите процедуру проверки подключения.
Настройка параметров для поиска пользователей
uid=ldap-integration,ou=Management system,ou=Admins,dc=company,dc=loc"
Проверка аутентификации
Чтобы протестировать работу аутентификации через LDAP, в разделе "Поиск пользователей" нажмите кнопку "Проверить аутентификацию". В открывшемся окне введите логин и пароль существующего LDAP-пользователя и нажмите кнопку "Проверить".
В случае успешной аутентификации
- По умолчанию для большинства серверов LDAP установлено значение 'givenName'.
- По умолчанию для большинства серверов LDAP установлено значение 'sn'.
- Если атрибут отсутствует на сервере, оставьте поле пустым.
- В поле По умолчанию для большинства LDAP-серверов установлено значение 'mail'.
- В поле
Проверка получения атрибутов
Чтобы проверить правильность настройки соответствия атрибутов LDAP и параметров учетной записи пользователей ECCM, нажмите кнопку "Проверить получение атрибутов".
В открывшемся окне введите логин существующего LDAP-пользователя и нажмите кнопку "Проверить", после чего в диалоговом окне отобразятся новые поля.
Если поле диалога заполнено корректной информацией, то атрибут LDAP был указан верно.
Если после проверки какое-либо из полей оказалось пустым, то указанный атрибут или отсутствует в LDAP, или не содержит информации.
Сохранение настроек
После того как все параметры виджета "LDAP" заполнены и все проверки успешно пройдены, нажмите кнопку "Сохранить" в нижнем левом углу виджета для сохранения изменений.