Создание подключения

Чтобы создать LDAP-подключение к Active Directory:

  1. Откройте раздел ПараметрыLDAP веб-интерфейса KUMA.
  2. Выберите тенант, для которого хотите создать подключение к LDAP.

    Откроется окно Подключения по протоколу LDAP.

  3. Нажмите на кнопку Добавить подключение по протоколу LDAP.

    Откроется окно Подключение по протоколу LDAP.

  4. Добавьте секрет с учетными данными для подключения к серверу Active Directory. Для этого выполните следующие действия:
    1. Если вы добавили секрет ранее, в раскрывающемся списке Секрет выберите существующий ресурс секрета (тип credentials).

      Выбранный секрет можно изменить, нажав на кнопку EditResource.

    2. Если вы хотите создать новый секрет, нажмите на кнопку AddResource.

      Откроется окно Секрет.

    3. В поле Название (обязательно) введите название ресурса: от 1 до 128 символов Юникода.
    4. В полях Пользователь и Пароль (обязательно) введите учетные данные для подключения к серверу Active Directory.

      Вы можете указать имя пользователя в одном из следующих форматов: <имя пользователя>@<домен> или <домен><имя пользователя>.

    5. В поле Описание введите описание ресурса: до 256 символов Юникода.
    6. Нажмите на кнопку Сохранить.
  5. В поле Название (обязательно) введите уникальное имя LDAP-подключения.

    Длина должна быть от 1 до 128 символов Юникода.

  6. В поле URL (обязательно) введите адрес контроллера домена в формате <hostname или IP-адрес сервера>:<порт>.

    Вы можете указать через запятую адреса нескольких серверов с контроллерами домена на случай, если один из них будет недоступен. Все указанные серверы должны находиться в одном домене.

  7. С помощью раскрывающегося списка Режим TLS укажите, хотите ли вы использовать TLS-шифрование для соединения с контроллером домена. При использовании шифрованного соединения невозможно указать IP-адрес в качестве URL.
  8. Если на предыдущем шаге вы включили TLS-шифрование, добавьте TLS-сертификат. Для этого выполните следующие действия:
    1. Если вы загрузили сертификат ранее, выберите его в раскрывающемся списке Сертификат.
    2. Если вы хотите загрузить новый сертификат, справа от списка Сертификат нажмите на кнопку AD_plus.

      Откроется окно Секрет.

    3. В поле Название введите название, которое будет отображаться в списке сертификатов после его добавления.
    4. По кнопке Загрузить файл сертификата добавьте файл с сертификатом Active Directory. Поддерживаются открытые ключи сертификата X.509 в Base64.
    5. Если требуется, укажите любую информацию о сертификате в поле Описание.
    6. Нажмите на кнопку Сохранить.

    Сертификат будет загружен и отобразится в списке Сертификат.

  9. В поле Время ожидания в секундах укажите, сколько времени требуется ожидать ответа от сервера контроллера домена.

    Если в поле URL указано несколько адресов, то KUMA будет ждать ответа от первого сервера указанное количество секунд. Если за это время ответ не будет получен, программа обратится к следующему указанному серверу и т.д. Если ни один из указанных серверов не ответит в течение заданного времени, подключение будет прервано с ошибкой.

  10. При необходимости в поле Запросов в секунду укажите количество запросов в секунду в формате cron. По умолчанию данные запрашиваются один раз в день.
  11. При необходимости в поле Фильтр укажите фильтр LDAP. Например, "(&(sAMAccountType=805306368)(!(userAccountControl:1.2.840.113556.1.4.803:=2))".

    Фильтр sAMAccountType=805306368 является обязательным. Если он отсутствует в выражении для пользовательского фильтра, он автоматически добавляется в запрос Active Directory.

  12. В поле База поиска (Base DN)  введите базовое отличительное имя каталога, в котором должен выполняться поисковый запрос.
  13. При необходимости в поле Ограничение размера запроса введите максимальный размер запроса.
  14. Установите флажок Выключено, если не хотите использовать это LDAP-подключение.

    По умолчанию флажок снят.

  15. Нажмите на кнопку Сохранить.

LDAP-подключение к Active Directory создано и отображается в окне Подключение по протоколу LDAP.

Информация об учетных записях из Active Directory будет запрошена в течение 12 часов. Чтобы данные стали доступны сразу, перезапустите сервер Ядра KUMA. Информация об учетных записях обновляется каждые 12 часов.

Если вы хотите использовать одновременно несколько LDAP-подключений для одного тенанта, вам нужно убедиться, что адрес контроллера домена, указанный в каждом из этих подключений, является уникальным. В противном случае KUMA позволяет включить только одно из этих подключений. Порт при проверке адреса контроллера домена на уникальность не проверяется.

В начало