Дерево страниц
Перейти к концу метаданных
Переход к началу метаданных

Начиная с версии 2.0 в системе управления ECCM поддержана полноценная интеграция с внешним LDAP-сервером (MS AD, OpenLDAP).

Интеграцию с LDAP можно настроить следующим образом:

  • Аутентификация пользователей через LDAP: логин и пароль для входа в ЕССМ определяются настройками LDAP. Требуется создание учетной записи пользователя в ECCM с логином LDAP-пользователя и указанием роли и групп доступа.
  • Авторизация пользователей через LDAP: логин, пароль, роль и группы доступа пользователя ЕССМ определяются настройками LDAP. Не требуется создание учетной записи пользователя в ECCM.

Настройка аутентификации через LDAP

При настроенной аутентификации через LDAP логин и пароль для доступа к системе определяются соответствующей учетной записью на LDAP-сервере.

Для настройки аутентификации через LDAP необходимо:

  1. Включить способ аутентификации "LDAP" в настройках ЕССМ;
  2. Настроить подключение к LDAP-серверу и соответствие атрибутов LDAP параметрам учетной записи пользователя ECCM;
  3. Создать в ECCM учетную запись пользователя с типом аккаунта "LDAP".

Включение LDAP-аутентификации

Чтобы включить LDAP-аутентификацию, выполните следующие действия:

1. Перейдите на страницу "Настройки" → "Система" → "Авторизация":

С подробным описанием интерфейса можно ознакомиться в разделе "Настройки" → "Система" → "Авторизация" Руководства пользователя.

2. В виджете "Разрешенные способы аутентификации" активируйте переключатель "LDAP" и нажмите кнопку "Сохранить":

Активированный переключатель "Локальная" разрешает пользователям с типом аккаунта "ECCM" выполнять аутентификацию в системе. Если его выключить, то будет работать только аутентификация через LDAP, локальная аутентификация работать не будет.

3. Внимательно ознакомьтесь с информацией в окне подтверждения действия и нажмите кнопку "Да":

Настройка подключения к LDAP-серверу

Перейдите на страницу "Настройки" → "Система" → "Авторизация":

Настройка параметров для подключения к серверу

На вкладке "Основные настройки" виджета "LDAP" укажите данные, необходимые для подключения к LDAP-серверу: 

  • В поле "Адрес сервера" введите доменное имя или IP-адрес LDAP-сервера;
  • В поле "Порт" введите порт для подключения к LDAP-серверу;
  • Активируйте переключатель "Авторизованный доступ", если для подключения к LDAP-серверу необходима учетная запись (опционально). При активации переключателя становятся доступны следующие параметры:
    • "Полный DN учетной записи" — введите в поле полный DN учетной записи пользователя, от имени которого будет происходить подключение к LDAP-серверу. Пример: uid=ldap-integration,ou=Management system,ou=Admins,dc=company,dc=com;
    • "Пароль учетной записи" — введите в поле пароль для DN пользователя, указанного в предыдущем поле.
  • Активируйте флаг "Защищенное соединение", если необходимо настроить защищенное подключение к LDAP-серверу (опционально). При активации флага становятся доступны следующие параметры:
    • Флаг "Отключить проверку адреса сервера" — активируйте флаг, если нужно отключить проверку адреса сервера на соответствие корневому сертификату (опционально);
    • Флаг "Использовать корневой сертификат" — активируйте флаг, если необходимо использовать пользовательский сертификат при защищенном подключении к LDAP-серверу (опционально). Для корректной работы необходимо загрузить корневой сертификат.
  • Для загрузки пользовательского корневого сертификата нажмите кнопку "Импортировать", в открывшемся окне выберите сертификат, который будет использоваться при подключении к LDAP-серверу.

Проверка подключения к серверу

Чтобы протестировать соединение с LDAP-сервером, нажмите кнопку "Проверить", расположенную справа от заголовка раздела. 

В случае, если подключение к LDAP-серверу прошло успешно, рядом с кнопкой "Проверить" отобразится иконка:

При возникновении ошибки подключения к серверу с настроенными параметрами рядом с кнопкой отобразится иконка:

Проверьте корректность настроенных параметров в разделе "Подключение к серверу", при необходимости скорректируйте их и повторите процедуру проверки подключения.

Настройка параметров для поиска пользователей

В поле "Базовый DN для поиска пользователей" введите базовый DN, с которого начинается поиск пользователей в каталоге LDAP-сервера при создании нового пользователя или аутентификации существующего. Пример: dc=company,dc=loc.

В поле "Атрибут username" введите атрибут, в котором на LDAP-сервере хранится информация о логине пользователя.

Проверка аутентификации

Чтобы протестировать работу аутентификации через LDAP, в разделе "Поиск пользователей" нажмите кнопку "Проверить". В открывшемся окне введите логин и пароль существующего LDAP-пользователя и нажмите кнопку "Проверить".

В случае успешной аутентификации рядом с кнопкой "Проверить" отобразится иконка:


Если возникла ошибка авторизации и рядом с кнопкой отобразилась иконка :

  1. Проверьте правильность введенных данных пользователя, с которыми проводилась проверка аутентификации.
  2. Проверьте корректность параметров, указанных в разделе "Поиск пользователей".
  3. Повторите процедуру проверки аутентификации.

Результат последней проверки будет отображаться рядом с кнопкой "Проверить", расположенной справа от названия раздела:

Настройка соответствия атрибутов LDAP

В параметрах раздела "Соответствие атрибутов LDAP" установите соответствие атрибутов LDAP параметрам учетной записи пользователя системы управления ECCM:

  • В поле "Атрибут имя" введите название атрибута, в котором на LDAP-сервере хранится информация об имени пользователя. По умолчанию для большинства серверов LDAP установлено значение 'givenName'.
  • В поле "Атрибут фамилия" введите название атрибута, в котором на LDAP-сервере хранится информация о фамилии пользователя. По умолчанию для большинства серверов LDAP установлено значение 'sn'.
  • В поле "Атрибут отчество" введите название атрибута, в котором на LDAP-сервере хранится информация об отчестве пользователя. Если атрибут отсутствует на сервере, оставьте поле пустым.
  • В поле "Атрибут e-mail" введите название атрибута, в котором на LDAP-сервере хранится адрес электронной почты пользователя. По умолчанию для большинства LDAP-серверов установлено значение 'mail'.
  • В поле "Атрибут номер телефона" введите название атрибута, в котором на LDAP-сервере хранится номер телефона пользователя. Если атрибут отсутствует на сервере, оставьте поле пустым.

Проверка получения атрибутов

Чтобы проверить правильность настройки соответствия атрибутов LDAP и параметров учетной записи пользователей ECCM, в разделе "Соответствие атрибутов LDAP" нажмите кнопку "Проверить".

В открывшемся окне введите логин существующего LDAP-пользователя и нажмите кнопку "Проверить", после чего в диалоговом окне отобразятся новые поля.

Если поле диалога заполнено корректной информацией, то атрибут LDAP был указан верно.

Если после проверки какое-либо из полей оказалось пустым, то указанный атрибут или отсутствует в LDAP, или не содержит информации.

Результат последней проверки будет отображаться рядом с кнопкой "Проверить", расположенной справа от названия раздела:

Сохранение настроек

После того как все параметры вкладки "Основные настройки" заполнены и все проверки успешно пройдены, нажмите кнопку "Сохранить" в левом нижнем углу виджета для сохранения изменений.

Создание LDAP-пользователя

Для аутентификации в ЕССМ через LDAP-сервер в системе управления необходимо создать пользователя с типом аккаунта "LDAP".

Чтобы создать пользователя, выполните следующие действия:

1. Перейдите на страницу "Настройки" → "Система" → "Пользователи и роли" → "Пользователи":

2. Нажмите кнопку "Создать". Откроется окно создания пользователя:

3. Переведите переключатель "LDAP" в состояние "включено".

4. В поле "Имя пользователя" введите имя существующего LDAP-пользователя, для которого необходимо создать учетную запись в ECCM. После заполнения поля автоматически будет проведена проверка существования пользователя с данным логином на LDAP-сервере. Если проверка прошла успешно, рядом с полем отобразится иконка:

5. В поле "Роль" выберите роль для нового пользователя.

6. Нажмите кнопку "Получить из LDAP" для автоматического заполнения полей блока "Личные данные".
Поля будут заполнены при условии корректной настройки соответствия атрибутов LDAP параметрам учетной записи пользователя системы управления ECCM в разделе "Соответствие атрибутов LDAP" в виджете "LDAP" на странице "Настройки" → "Авторизация".

7. В поле "Язык" укажите язык веб-интерфейса системы управления для данного пользователя.

8. В поле "Часовой пояс" укажите часовой пояс пользователя.

9. В блоке "Группы доступа" нажмите кнопку "Добавить". В открывшемся окне выберите группу доступа, доступ до которой будет открыт пользователю, и нажмите кнопку "Выбрать":

10. После заполнения всех обязательных полей нажмите кнопку "Создать":

Учетная запись пользователя будет отображена в таблице на странице "Настройки" → "Система" → "Пользователи и роли" → "Пользователи":

Авторизация под учетной записью LDAP

Заключительный шаг — проверка работы LDAP-аутентификации. Для выполнения проверки:

1. Перейдите на страницу авторизации ECCM.

2. В форме авторизации введите логин и пароль созданного LDAP-пользователя, учетная запись которого была создана в разделе "Создание LDAP-пользователя".

3. Нажмите кнопку "Войти".

В случае успешной авторизации пользователя в системе откроется веб-интерфейс ЕССМ.

Настройка авторизации через LDAP

При настроенной авторизации через LDAP логин и пароль для доступа к системе определяются соответствующей учетной записью на LDAP-сервере, а роль и группы доступа определяются членством LDAP-пользователя в соответствующих LDAP-группах.

Для настройки авторизации через LDAP необходимо:

  1. Включить способ аутентификации "LDAP" в настройках ЕССМ (см. "Включение LDAP-аутентификации");
  2. Настроить аутентификацию через LDAP (см. "Настройка аутентификации через LDAP");
  3. Настроить соответствия ролей и групп доступа из LDAP;
  4. Настроить ограничение пользователей (опционально).
Создавать нового LDAP-пользователя в ЕССМ при настроенной авторизации не требуется.

Настройка соответствия атрибутов для получения ролей и групп доступа из LDAP

На виджете "LDAP" перейдите на вкладку "Роли и группы доступа":

В поле "Базовый DN для поиска групп" введите базовый DN, с которого начинается поиск групп в каталогах LDAP-сервера.

В поле "Атрибут DN" введите атрибут, в котором на LDAP-сервере хранятся DN записей (distinguished name — уникальный идентификатор записи в рамках LDAP-каталога).

В поле "Атрибут членства пользователя в группе" введите атрибут группы, в котором на LDAP-сервере хранится информация о входящих в эту группу пользователях.

Настройка соответствия ролей/групп доступа

В блоке "Соответствие ролей" устанавливается соответствие группы LDAP и системной роли ECCM, которая будет присваиваться пользователю при авторизации в системе.  

Для присвоения системных ролей пользователям, которые проходят авторизацию в ECCM через LDAP, активируйте переключатель "Получать роли для LDAP пользователей из LDAP" и выберите политику, которая будет по умолчанию применяться к LDAP-пользователям, для которых не получилось определить роль.  

Для присвоения системных групп доступа пользователям, которые проходят авторизацию в ECCM через LDAP, активируйте переключатель "Получать группы доступа для LDAP пользователей из LDAP" и выберите политику, которая будет по умолчанию применяться к LDAP-пользователям, для которых не получилось определить группу доступа.  

Политики будут применяться к LDAP-пользователям в случае если:

  • LDAP-пользователь не обнаружен ни в одной группе LDAP сервера, указанной в разделе "Соответствие ролей/групп доступа";
  • LDAP-пользователь находится в более чем одной группе LDAP, указанной в разделе "Соответствие ролей/групп доступа";
  • некорректно настроены параметры раздела "Соответствие атрибутов для получения ролей и групп доступа из LDAP";
  • некорректно настроены параметры вкладки "Основные настройки".

Нажмите кнопку "Добавить" в разделе "Соответствие ролей": отобразится строка настройки соответствия "Роль в ЕССМ ↔ Группа в LDAP":

В поле "Роль" выберите системную роль ECCM, которая будет автоматически присвоена LDAP-пользователю определенной LDAP-группы. 

Нажмите кнопку "Выбрать группу в LDAP": откроется диалог выбора группы. В диалоге выберите LDAP-группу, членам которой будет выдана соответствующая системная роль в момент их первой авторизации в системе, и нажмите "Выбрать":

Настроенное соответствие будет отображено в разделе "Соответствие ролей":

Для проверки настроенного соответствия нажмите кнопку "Проверить": откроется диалог с результатами поиска пользователей в указанной группе LDAP:

Результат проверки будет отображен в форме после закрытия диалога:

Аналогичным образом в разделе "Соответствие групп доступа" настройте соответствие групп доступа ЕССМ каталогам LDAP.

Сохранение настроек

После заполнения параметров вкладки "Роли и группы доступа" и успешного прохождения всех проверок нажмите кнопку "Сохранить" в левом нижнем углу виджета для сохранения изменений.

Настройка ограничения пользователей

Настройка ограничения LDAP-пользователей требуется, когда нужно ограничить доступ к системе для пользователей, которые попадают под определенные условия (истёк срок действия пароля, пользователя заблокировали и т. д.).

Если включена проверка ограничений, то при авторизации LDAP-пользователя система проверит соответствующие атрибуты его LDAP-записи и, если условие ограничения будет выполняться, автоматически заблокирует ему доступ.

На виджете "LDAP" перейдите на вкладку "Ограничения пользователей":

Активируйте переключатель "Проверять ограничения пользователей".

Нажмите на поле "Используемый сервер LDAP" и выберите используемый сервер:

Если выбран "Другой LDAP сервер", нажмите кнопку "Добавить" в разделе "Параметры-индикаторы ограничения пользователей": отобразятся поля для настройки соответствия "Название атрибута ↔ Значение атрибута". Заполните поля согласно настройкам LDAP-сервера:

Если выбран "Microsoft Active Directory", то проверка ограничений учетной записи пользователя осуществляется по следующим индикаторам:

  • Аккаунт отключен — учетная запись пользователя в MS AD отключена (атрибут userAccountControl включает флаг ACCOUNTDISABLE);
  • Аккаунт заблокирован — учетная запись пользователя в MS AD заблокирована (атрибут userAccountControl включает флаг LOCKOUT);
  • Срок действия пароля истек — срок действия пароля учетной записи пользователя в MS AD истек (атрибут userAccountControl включает флаг PASSWORD_EXPIRED).

Отметьте требуемые условия блокировки:

Для проверки корректности настроек ограничений пользователей нажмите на кнопку "Проверить": откроется диалоговое окно. Введите имя пользователя в соответствующее поле и нажмите кнопку "Проверить". Если условие ограничения не выполняется, то будет отображена иконка(доступ разрешен):

Если условие ограничения выполняется, то будет отображена иконка (доступ запрещен):

Сохранение настроек

После заполнения параметров вкладки "Ограничения пользователей" и успешного прохождения всех проверок нажмите кнопку "Сохранить" в левом нижнем углу виджета для сохранения изменений.

Авторизация под учетной записью LDAP

Заключительный шаг — проверка работы LDAP-авторизации. Для выполнения проверки:

  1. Перейдите на страницу авторизации ECCM.
  2. В форме авторизации введите логин и пароль LDAP-пользователя, который соответствует настроенным параметрам авторизации.

  3. Нажмите кнопку "Войти".

В случае успешной авторизации пользователя в системе откроется веб-интерфейс ЕССМ.

Учетная запись пользователя будет автоматически создана и отображена в таблице на странице "Настройки" → "Система" → "Пользователи и роли" → "Пользователи":

  • Нет меток