Создание LDAP-подключения

21 ноября 2023

ID 251545

Вам нужно создать LDAP-подключение, чтобы ваши пользователи могли аутентифицироваться в веб-интерфейсе оркестратора, используя учетные данные, хранящиеся на удаленном LDAP-сервере. Поддерживаются следующие LDAP-серверы:

  • OpenLDAP с Simple-аутентификацией и Simple SSL-аутентификацией.
  • Microsoft Active Directory с Kerberos-аутентификацией и Kerberos SSL-аутентификацией.

Оркестратор не может вносить изменения на подключенном LDAP-сервере.

Чтобы настроить подключение оркестратора к удаленному LDAP-серверу:

  1. В меню перейдите в раздел Пользователи.

    Отобразится страница управления пользователями. По умолчанию выбрана вкладка Пользователи, на которой отображается таблица пользователей.

  2. Выберите вкладку LDAP-подключение.

    Отобразится таблица LDAP-подключений.

  3. Вверху страницы нажмите на кнопку + LDAP.
  4. В отобразившейся области настройки в поле Имя введите имя LDAP-подключения.
  5. В поле Домен введите FQDN домена, в котором находится LDAP-сервер.
  6. В поле Альтернативное имя домена введите альтернативное имя домена (как правило, NETBIOS-имя). Альтернативное имя используется при создании и аутентификации пользователей наряду с FQDN домена. Например, если FQDN домена – example.com, а альтернативное имя – example, пользователи могут ввести следующие значения при аутентификации:
    • admin@example.com;
    • admin@example;
    • example.com\admin;
    • example\admin.
  7. В поле LDAP-хост введите имя хоста LDAP-сервера. Поддерживаются следующие форматы имени хоста:
    • ldap://<имя хоста>:<номер порта> – для стандартного LDAP-сервера. Порт по умолчанию: 389.
    • ldaps://<имя хоста>:<номер порта> – для LDAP-сервера с SSL-аутентификацией. Порт по умолчанию: 636.

    Например, если вы вводите ldap://example.com:100, имя хоста LDAP-сервера – example.com, а номер порта – 100.

  8. В поле Базовое различающееся имя введите базовое различающееся имя (англ. base distinguished name), которое оркестратор должен использовать как начальную точку поиска учетных записей пользователей в директории LDAP-сервера. Поддерживаются следующие форматы базового различающегося имени:
    • OU=<значение>,OU=<значение> – для аутентификации в OpenLDAP. Базовое различающееся имя состоит из одного или нескольких атрибутов OU, обозначающих структуру организационных единиц (англ. organizational units) в директории LDAP-сервера. Например, если вы вводите OU=OU_example1,OU=OU_example2, начальной точкой поиска учетных записей пользователей является организационная единица OU_example2, находящаяся внутри OU_example1.
    • DC=<значение>,DC=<значение> – для аутентификации в Microsoft Active Directory. Базовое различающееся имя состоит из двух атрибутов DC, обозначающих компоненты домена (англ. domain components) LDAP-сервера. Например, если вы вводите DC=example,DC=com, начальной точкой поиска учетных записей пользователей является домен example.com.
  9. В раскрывающемся списке Атрибут поиска выберите атрибут, который оркестратор должен использовать для поиска учетных записей пользователей в директории LDAP-сервера:
    • uid (OpenLDAP) – идентификатор пользователя uid (user ID) для поиска в OpenLDAP. Это значение выбрано по умолчанию.
    • sAMAccountName (Active Directory) – пре-Windows 2000 имя пользователя (англ. pre-Windows 2000 logon name) для поиска в Microsoft Active Directory.
  10. В поле Различающееся имя введите различающееся имя (англ. distinguished name) для аутентификации оркестратора в LDAP-сервере. Поддерживаются следующие форматы различающегося имени:
    • UID=<значение>,OU=<значение> – для аутентификации в OpenLDAP. Различающееся имя состоит из одного атрибута UID и одного или нескольких атрибутов OU. Атрибут UID обозначает идентификатор пользователя, в то время как атрибуты OU обозначают структуру организационных единиц в директории LDAP-сервера, в которой находится этот пользователь. Например, если вы вводите UID=user_example,OU=OU_example, для аутентификации оркестратора в LDAP-сервере используется пользователь с идентификатором user_example, который находится в организационной единице OU_example.
    • CN=<значение>,OU=<значение>,DC=<значение>,DC=<значение> – для аутентификации в Microsoft Active Directory. Различающееся имя состоит из одного атрибута CN, одного или нескольких атрибутов OU, а также двух атрибутов DC. Атрибут CN обозначает общее имя (англ. common name) пользователя, в то время как атрибуты OU обозначают структуру организационных единиц в директории LDAP-сервера, в которой находится этот пользователь. Последние два атрибута DC обозначают компоненты домена, в котором находится пользователь. Например, если вы вводите CN=user_example,OU=OU_example,DC=example,DC=com, для аутентификации оркестратора в LDAP-сервере используется пользователь с именем user_example, который находится в организационной единице OU_example в домене example.com.
  11. В поле Пароль привязки введите пароль для аутентификации оркестратора в LDAP-сервере.
  12. При необходимости убедиться в доступности LDAP-сервера нажмите на кнопку Проверить аутентификацию.
  13. Нажмите на кнопку Создать.

LDAP-подключение будет создано и отобразится в таблице. Теперь LDAP-сервер можно использовать при создании пользователей или групп пользователей.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!