Начиная с версии 2.0 в системе управления ECCM поддержана полноценная интеграция с внешним LDAP-сервером (MS AD, OpenLDAP).
Интеграцию с LDAP можно настроить следующим образом:
- Аутентификация пользователей через LDAP: логин и пароль для входа в ЕССМ определяются настройками LDAP. Требуется создание учетной записи пользователя в ECCM с логином LDAP-пользователя и указанием роли и групп доступа.
- Авторизация пользователей через LDAP: логин, пароль, роль и группы доступа пользователя ЕССМ определяются настройками LDAP. Не требуется создание учетной записи пользователя в ECCM.
Настройка аутентификации через LDAP
При настроенной аутентификации через LDAP логин и пароль для доступа к системе определяются соответствующей учетной записью на LDAP-сервере.
Для настройки аутентификации через LDAP необходимо:
- Включить способ аутентификации "LDAP" в настройках ЕССМ;
- Настроить подключение к LDAP-серверу и соответствие атрибутов LDAP параметрам учетной записи пользователя ECCM;
- Создать в ECCM учетную запись пользователя с типом аккаунта "LDAP".
Включение LDAP-аутентификации
Чтобы включить LDAP-аутентификацию, выполните следующие действия:
1. Перейдите на страницу "Настройки" → "Система" → "Авторизация":
С подробным описанием интерфейса можно ознакомиться в разделе "Настройки" → "Система" → "Авторизация" Руководства пользователя.
2. В виджете "Разрешенные способы аутентификации" активируйте переключатель "LDAP" и нажмите кнопку "Сохранить":
Активированный переключатель "Локальная" разрешает пользователям с типом аккаунта "ECCM" выполнять аутентификацию в системе. Если его выключить, то будет работать только аутентификация через LDAP, локальная аутентификация работать не будет.
3. Внимательно ознакомьтесь с информацией в окне подтверждения действия и нажмите кнопку "Да":
Настройка подключения к LDAP-серверу
Перейдите на страницу "Настройки" → "Система" → "Авторизация":
Настройка параметров для подключения к серверу
На вкладке "Основные настройки" виджета "LDAP" укажите данные, необходимые для подключения к LDAP-серверу:
- В поле "Адрес сервера" введите доменное имя или IP-адрес LDAP-сервера;
- В поле "Порт" введите порт для подключения к LDAP-серверу;
- Активируйте переключатель "Авторизованный доступ", если для подключения к LDAP-серверу необходима учетная запись (опционально). При активации переключателя становятся доступны следующие параметры:
- "Полный DN учетной записи" — введите в поле полный DN учетной записи пользователя, от имени которого будет происходить подключение к LDAP-серверу. Пример: uid=ldap-integration,ou=Management system,ou=Admins,dc=company,dc=com;
- "Пароль учетной записи" — введите в поле пароль для DN пользователя, указанного в предыдущем поле.
- Активируйте флаг "Защищенное соединение", если необходимо настроить защищенное подключение к LDAP-серверу (опционально). При активации флага становятся доступны следующие параметры:
- Флаг "Отключить проверку адреса сервера" — активируйте флаг, если нужно отключить проверку адреса сервера на соответствие корневому сертификату (опционально);
- Флаг "Использовать корневой сертификат" — активируйте флаг, если необходимо использовать пользовательский сертификат при защищенном подключении к LDAP-серверу (опционально). Для корректной работы необходимо загрузить корневой сертификат.
- Для загрузки пользовательского корневого сертификата нажмите кнопку "Импортировать", в открывшемся окне выберите сертификат, который будет использоваться при подключении к LDAP-серверу.
Проверка подключения к серверу
Чтобы протестировать соединение с LDAP-сервером, нажмите кнопку "Проверить", расположенную справа от заголовка раздела.
В случае, если подключение к LDAP-серверу прошло успешно, рядом с кнопкой "Проверить" отобразится иконка
При возникновении ошибки подключения к серверу с настроенными параметрами рядом с кнопкой отобразится иконка :
Проверьте корректность настроенных параметров в разделе "Подключение к серверу", при необходимости скорректируйте их и повторите процедуру проверки подключения.
Настройка параметров для поиска пользователей
dc=company,dc=loc.
Проверка аутентификации
Чтобы протестировать работу аутентификации через LDAP, в разделе "Поиск пользователей" нажмите кнопку "Проверить". В открывшемся окне введите логин и пароль существующего LDAP-пользователя и нажмите кнопку "Проверить".
В случае успешной аутентификации
Результат последней проверки будет отображаться рядом с кнопкой "Проверить", расположенной справа от названия раздела:
- По умолчанию для большинства серверов LDAP установлено значение 'givenName'.
- По умолчанию для большинства серверов LDAP установлено значение 'sn'.
- Если атрибут отсутствует на сервере, оставьте поле пустым.
- В поле По умолчанию для большинства LDAP-серверов установлено значение 'mail'.
- В поле
Проверка получения атрибутов
Чтобы проверить правильность настройки соответствия атрибутов LDAP и параметров учетной записи пользователей ECCM, в разделе "Соответствие атрибутов LDAP" нажмите кнопку "Проверить".
В открывшемся окне введите логин существующего LDAP-пользователя и нажмите кнопку "Проверить", после чего в диалоговом окне отобразятся новые поля.
Если поле диалога заполнено корректной информацией, то атрибут LDAP был указан верно.
Если после проверки какое-либо из полей оказалось пустым, то указанный атрибут или отсутствует в LDAP, или не содержит информации.
Результат последней проверки будет отображаться рядом с кнопкой "Проверить", расположенной справа от названия раздела:
Сохранение настроек
После того как все параметры вкладки "Основные настройки" заполнены и все проверки успешно пройдены, нажмите кнопку "Сохранить" в левом нижнем углу виджета для сохранения изменений.
3. Нажмите кнопку "Войти".
Настройка авторизации через LDAP
При настроенной авторизации через LDAP логин и пароль для доступа к системе определяются соответствующей учетной записью на LDAP-сервере, а роль и группы доступа определяются членством LDAP-пользователя в соответствующих LDAP-группах.
Для настройки авторизации через LDAP необходимо:
- Включить способ аутентификации "LDAP" в настройках ЕССМ (см. "Включение LDAP-аутентификации");
- Настроить аутентификацию через LDAP (см. "Настройка аутентификации через LDAP");
- Настроить соответствия ролей и групп доступа из LDAP;
- Настроить ограничение пользователей (опционально).
Настройка соответствия атрибутов для получения ролей и групп доступа из LDAP
На виджете "LDAP" перейдите на вкладку "Роли и группы доступа":
В поле "Базовый DN для поиска групп" введите базовый DN, с которого начинается поиск групп в каталогах LDAP-сервера.
В поле "Атрибут DN" введите атрибут, в котором на LDAP-сервере хранятся DN записей (distinguished name — уникальный идентификатор записи в рамках LDAP-каталога).
В поле "Атрибут членства пользователя в группе" введите атрибут группы, в котором на LDAP-сервере хранится информация о входящих в эту группу пользователях.
Настройка соответствия ролей/групп доступа
В блоке "Соответствие ролей" устанавливается соответствие группы LDAP и системной роли ECCM, которая будет присваиваться пользователю при авторизации в системе.
Для присвоения системных ролей пользователям, которые проходят авторизацию в ECCM через LDAP, активируйте переключатель "Получать роли для LDAP пользователей из LDAP" и выберите политику, которая будет по умолчанию применяться к LDAP-пользователям, для которых не получилось определить роль.
Для присвоения системных групп доступа пользователям, которые проходят авторизацию в ECCM через LDAP, активируйте переключатель "Получать группы доступа для LDAP пользователей из LDAP" и выберите политику, которая будет по умолчанию применяться к LDAP-пользователям, для которых не получилось определить группу доступа.
Политики будут применяться к LDAP-пользователям в случае если:
- LDAP-пользователь не обнаружен ни в одной группе LDAP сервера, указанной в разделе "Соответствие ролей/групп доступа";
- LDAP-пользователь находится в более чем одной группе LDAP, указанной в разделе "Соответствие ролей/групп доступа";
- некорректно настроены параметры раздела "Соответствие атрибутов для получения ролей и групп доступа из LDAP";
- некорректно настроены параметры вкладки "Основные настройки".
Нажмите кнопку "Добавить" в разделе "Соответствие ролей": отобразится строка настройки соответствия "Роль в ЕССМ ↔ Группа в LDAP":
В поле "Роль" выберите системную роль ECCM, которая будет автоматически присвоена LDAP-пользователю определенной LDAP-группы.
Нажмите кнопку "Выбрать группу в LDAP": откроется диалог выбора группы. В диалоге выберите LDAP-группу, членам которой будет выдана соответствующая системная роль в момент их первой авторизации в системе, и нажмите "Выбрать":
Настроенное соответствие будет отображено в разделе "Соответствие ролей":
Для проверки настроенного соответствия нажмите кнопку "Проверить": откроется диалог с результатами поиска пользователей в указанной группе LDAP:
Результат проверки будет отображен в форме после закрытия диалога:
Аналогичным образом в разделе "Соответствие групп доступа" настройте соответствие групп доступа ЕССМ каталогам LDAP.
Сохранение настроек
После заполнения параметров вкладки "Роли и группы доступа" и успешного прохождения всех проверок нажмите кнопку "Сохранить" в левом нижнем углу виджета для сохранения изменений.
Настройка ограничения пользователей
Настройка ограничения LDAP-пользователей требуется, когда нужно ограничить доступ к системе для пользователей, которые попадают под определенные условия (истёк срок действия пароля, пользователя заблокировали и т. д.).
Если включена проверка ограничений, то при авторизации LDAP-пользователя система проверит соответствующие атрибуты его LDAP-записи и, если условие ограничения будет выполняться, автоматически заблокирует ему доступ.
На виджете "LDAP" перейдите на вкладку "Ограничения пользователей":
Активируйте переключатель "Проверять ограничения пользователей".
Нажмите на поле "Используемый сервер LDAP" и выберите используемый сервер:
Если выбран "Другой LDAP сервер", нажмите кнопку "Добавить" в разделе "Параметры-индикаторы ограничения пользователей": отобразятся поля для настройки соответствия "Название атрибута ↔ Значение атрибута". Заполните поля согласно настройкам LDAP-сервера:
Если выбран "Microsoft Active Directory", то проверка ограничений учетной записи пользователя осуществляется по следующим индикаторам:
- Аккаунт отключен — учетная запись пользователя в MS AD отключена (атрибут userAccountControl включает флаг ACCOUNTDISABLE);
- Аккаунт заблокирован — учетная запись пользователя в MS AD заблокирована (атрибут userAccountControl включает флаг LOCKOUT);
- Срок действия пароля истек — срок действия пароля учетной записи пользователя в MS AD истек (атрибут userAccountControl включает флаг PASSWORD_EXPIRED).
Отметьте требуемые условия блокировки:
Для проверки корректности настроек ограничений пользователей нажмите на кнопку "Проверить": откроется диалоговое окно. Введите имя пользователя в соответствующее поле и нажмите кнопку "Проверить". Если условие ограничения не выполняется, то будет отображена иконка(доступ разрешен):
Если условие ограничения выполняется, то будет отображена иконка (доступ запрещен):
Сохранение настроек
После заполнения параметров вкладки "Ограничения пользователей" и успешного прохождения всех проверок нажмите кнопку "Сохранить" в левом нижнем углу виджета для сохранения изменений.
- Нажмите кнопку "Войти".