25.4. Настройка интеграции со службой каталогов
Пред. НаверхГлава 25. Интеграция с OpenLDAP и Active DirectoryНачало След.

25.4. Настройка интеграции со службой каталогов #

  1. В файле конфигурации менеджера ppem-manager.yml добавьте раздел ldap и укажите параметры интеграции:

    • OpenLDAP:

      ldap:
type: тип_службы_каталогов
url: сетевой_адрес_службы_каталогов
use_ssl: true или false
base_dn: корневое_отличительное_имя_службы_каталогов
bind_username: имя_пользователя_службы_каталогов
bind_password: пароль_пользователя_службы_каталогов
group_class: класс_для_объекта_группы_пользователей
group_members_attr: атрибут_члена_группы_пользователей
group_name_attr: атрибут_имени_группы_пользователей
prefix_group_dn: префикс_отличительного_имени_для_групп_пользователей
prefix_user_dn: префикс_отличительного_имени_для_пользователей
user_class: класс_для_объекта_пользователя
user_display_name_attr: атрибут_отображаемого_имени_пользователя
user_email_attr: атрибут_электронной_почты_пользователя
user_name_attr: атрибут_учётной_записи_пользователя
user_first_name_attr: атрибут_имени_пользователя
user_last_name_attr: атрибут_фамилии_пользователя
user_job_title_attr: атрибут_должности_пользователя
user_membership_attr: атрибут_списка_групп_пользователя
user_phone_attr: атрибут_номера_телефона_пользователя
user_sync_interval: время_синхронизации_между_менеджером_и_службой_каталогов

    • Active Directory: 

      ldap:
type: тип_службы_каталогов
url: сетевой_адрес_службы_каталогов
base_dn: корневое_отличительное_имя_службы_каталогов
bind_username: имя_пользователя_службы_каталогов
bind_password: пароль_пользователя_службы_каталогов
user_sync_interval: время_синхронизации_между_менеджером_и_службой_каталогов

    Где:

    • type: тип службы каталогов.

      Возможные значения:

      • openldap

      • ms_active_directory

    • url: сетевой адрес службы каталогов.

    • bind_username: имя пользователя службы каталогов для интеграции с PPEM.

      Формат значения зависит от службы каталогов:

      • Для OpenLDAP обычно необходимо полностью указать полное отличительное имя, например cn=admin,ou=users,dc=example,dc=com.

      • Для Active Directory обычно необходимо указать значение в формате имя_пользователя@домен, например admin@example.com.

    • bind_password: пароль пользователя службы каталогов для интеграции с PPEM.

    • base_dn: корневое отличительное имя службы каталогов.

    • prefix_user_dn: префикс отличительного имени для пользователей.

      Если этот параметр указан, поиск пользователей выполняется с помощью отличительного имени префикс_отличительного_имени_для_пользователей,корневое_отличительное_имя. Чтобы выполнять поиск пользователей по всему каталогу, укажите значение "".

      Необязательный параметр.

    • prefix_group_dn: префикс отличительного имени для групп пользователей.

      Если этот параметр указан, поиск групп пользователей выполняется с помощью отличительного имени префикс_отличительного_имени_для_групп_пользователей,корневое_отличительное_имя. Чтобы выполнять поиск групп пользователей по всему каталогу, укажите "".

      Необязательный параметр.

    • group_class: имя класса для объекта пользователя.

      Необязательный параметр для Active Directory.

    • user_name_attr: название атрибута учётной записи (логина) пользователя.

      Значение по умолчанию: для OpenLDAPcn, для Active DirectorysAMAccountName.

      Необязательный параметр для Active Directory.

    • user_first_name_attr: название атрибута имени пользователя.

      Значение по умолчанию: givenName.

      Необязательный параметр.

    • user_last_name_attr: название атрибута фамилии пользователя.

      Значение по умолчанию: sn.

      Необязательный параметр.

    • user_display_name_attr: название атрибута отображаемого имени пользователя.

      Значение по умолчанию: displayName.

      Необязательный параметр.

    • user_email_attr: название атрибута адреса электронной почты пользователя.

      Значение по умолчанию: mail.

      Необязательный параметр.

    • user_phone_attr: название атрибута номера телефона пользователя.

      Значение по умолчанию: telephoneNumber.

      Необязательный параметр.

    • user_job_title_attr: название атрибута должности пользователя.

      Значение по умолчанию: title.

      Необязательный параметр.

    • user_membership_attr: название атрибута списка групп пользователя.

      Значение по умолчанию для Active Directory: memberOf.

      Необязательный параметр.

    • group_class: имя класса для объекта группы пользователей.

      Значение по умолчанию для Active Directory: group.

    • group_name_attr: название атрибута имени группы пользователей.

      Значение по умолчанию: cn.

      Необязательный параметр.

    • group_members_attr: название атрибута списка пользователей группы.

    • group_filter: фильтр для поиска групп пользователей. Например, (&(objectClass=group)(cn=*PPEM*)).

      Необязательный параметр.

    • group_membership_filter: фильтр для поиска групп, в которых состоит указанный пользователь. Например, (&(objectClass=group)(uniqueMember=%USER_DN%)).

      Необязательный параметр.

    • group_list_size_limit: максимальное количество групп пользователей, которые можно получить из службы каталогов.

      Необязательный параметр.

    • user_sync_interval: время синхронизации между менеджером и службой каталогов.

      Значение по умолчанию: 5m.

      Необязательный параметр.

    • ssl_cert_skip_verify: указывает, следует ли пропустить проверку сертификата сервера службы каталога.

      Возможные значения:

      • true

      • false

      Необязательный параметр.

    • ssl_root_ca: путь к файлу в формате PEM с корневым сертификатом (CA certificate) на сервере службы каталогов.

      Необязательный параметр.

  2. Перезагрузите службу PPEM:

    systemctl restart ppem.service
Пред. Наверх След.
25.3. Создание группы пользователей в Active Directory с помощью PowerShell Начало 25.5. Настройка авторизации в PPEM