В отличие от MS Active Directory, в случае с OpenLDAP существует большая вариативность в схемах каталога. Для поддержки схемы конкретного экземпляра LDAP необходимо указать атрибуты, которые отвечают за определение групп, пользователей и связи между ними.
Глобально связь пользователей и групп может быть определена одним из двух вариантов:
Рассмотрим примеры настройки для обоих вариантов при следующей структуре каталога:
Для добавления внешнего источника идентификации необходимо открыть раздел "Администрирование" → "Управление идентификацией" → "Внешние источники идентификации" и нажать кнопку 
над таблицей.
Примем, что пользователь и группы содержат следующие атрибуты:
| Объект пользователя (пример) | Объект группы (пример) |
|---|---|
|
|
В таком случае настройка схемы внешнего источника может выглядеть следующим образом:
Примем, что пользователь и группы содержат следующие атрибуты:
| Объект пользователя (пример) | Объект группы (пример) |
|---|---|
|
|
В таком случае настройка схемы внешнего источника может выглядеть следующим образом:
Пример настроек блоков настроек "Подключение" и "Структура каталога" для описанной структуры каталога:
."Subject search base" и "Group search base" могут совпадать и даже принимать значение корневого каталога, однако для уменьшения количества и объема запросов выгрузки данных рекомендуется указывать как можно более близкий к конечному каталогу путь. |
После ввода указанных параметров можно провести проверку связи с сервером. Во время проверки связи из LDAP, помимо проверки доступности службы каталогов, высчитывается количество пользователей и групп.
В случае успешной проверки результат будет выглядеть следующим образом:
При проверке соединения запрашивается не более 5 предметов и групп, чтобы не вызывать лишнюю нагрузку на сервер. Поэтому если реальных пользователей или групп больше, то будет все равно показано число "5" - это не свидетельствует о проблеме. |
Для перехода к следующему этапу настройки необходимо нажать 
, а затем 
.
Добавление групп пользователей не является обязательным, однако позволит более гибко конфигурировать условия попадания сессии под политики аутентификации и авторизации.
Для добавления групп пользователей необходимо нажать кнопку над таблицей, и в появившемся списке выбрать опцию "Выбрать группы из службы каталогов".
В появившемся окне можно по определенному запросу вычитать группы из службы каталогов и добавить все или некоторые из них в систему. После выбора групп для добавления нажмите "Сохранить", и они добавятся в список групп этого источника идентификации:
Для перехода к следующему этапу настройки необходимо нажать .
Добавление атрибутов в источник не является обязательным, однако позволит назначать в качестве VLAN и ACL пользователю параметры пользователя из LDAP.
Для добавления групп пользователей необходимо нажать кнопку над таблицей, и в появившемся списке выбрать опцию "Выбор атрибутов из службы каталогов".
В появившемся окне можно по определенному запросу вычитать атрибуты объектов из службы каталогов и добавить все или некоторые из них в систему. После выбора групп для добавления нажмите "Сохранить", и они добавятся в список атрибутов этого источника идентификации.
Для выгруженных атрибутов для удобства можно задать собственное имя в системе Eltex-NAICE, которое в дальнейшем будет отображаться при выборе этого атрибута при настройке, например, логического условия. Для перехода в режим редактирования необходимо нажать на 
, для завершения редактирования и сохранения атрибута - 
.
Значение по умолчанию будет использоваться для объектов, у которых нет данного атрибута. Если значение по умолчанию не указано, то объекты без этого атрибута будут игнорироваться.
Открыть раздел "Администрирование" → "Управление идентификацией" → "Цепочки идентификации" и нажать кнопку над таблицей:
После создания цепочки идентификации с использованием ранее созданного источника нажать кнопку "Добавить".
Открыть раздел "Политика" → "Элементы" → "Результаты" → "Профили авторизации" и нажать кнопку над таблицей. В открывшемся окне, после выбора профиля сетевого устройства, в блоке "Общие задачи" включить галочку "VLAN", после этого нажать на кнопку выбора атрибута справа 
, выбрать словарь с именем ранее созданного источника идентификации, затем - ранее созданный атрибут.
Если в выбранном профиле сетевого устройства не включена возможность использовать VLAN, то чекбокс в профиле авторизации будет неактивен! |
В разделе "Политика" → "Наборы политик" добавим новую политику, в которой условием попадания под данную политику будет, например, "NAS-IP-Address" равно <IP-адрес устройства>.
Сохранить новую политику нажав 
и перейти к настройке политик аутентификации и авторизации нажатием кнопки 
справа от добавленной политики.
Добавить правило в политику аутентификации, которое использует созданную цепочку идентификаций (с использованием, например, признака типа подключения):
Добавить политику авторизации, которая использует в качестве условия принадлежность пользователя к ранее созданной группе в источнике идентификации или равенство определенного атрибута, а в качестве профиля авторизации - ранее созданный профиль:
И нажать 
.
Подробнее настройка клиентского конечного устройства для подключения описана в v0.7_8. Настройка подключения клиента.
Подключиться клиентом и после авторизации перейти в раздел "Мониторинг" → "RADIUS" → "Пользовательские сессии":
Для подробно просмотра можно в колонке "Подробнее" нажать кнопку 
:
