Создание LDAP-подключения
Вам нужно создать LDAP-подключение, чтобы ваши пользователи могли аутентифицироваться в веб-интерфейсе оркестратора, используя учетные данные, хранящиеся на удаленном LDAP-сервере. Поддерживаются следующие LDAP-серверы:
- OpenLDAP с Simple-аутентификацией и Simple SSL-аутентификацией.
- Microsoft Active Directory с Kerberos-аутентификацией и Kerberos SSL-аутентификацией.
Оркестратор не может вносить изменения на подключенном LDAP-сервере.
Чтобы настроить подключение оркестратора к удаленному LDAP-серверу:
- В меню перейдите в раздел Пользователи.
Отобразится страница управления пользователями. По умолчанию выбрана вкладка Пользователи, на которой отображается таблица пользователей.
- Выберите вкладку LDAP-подключение.
Отобразится таблица LDAP-подключений.
- Вверху страницы нажмите на кнопку + LDAP.
- В отобразившейся области настройки в поле Имя введите имя LDAP-подключения.
- В поле Домен введите FQDN домена, в котором находится LDAP-сервер.
- В поле Альтернативное имя домена введите альтернативное имя домена (как правило, NETBIOS-имя). Альтернативное имя используется при создании и аутентификации пользователей наряду с FQDN домена. Например, если FQDN домена – example.com, а альтернативное имя – example, пользователи могут ввести следующие значения при аутентификации:
admin@example.com
;admin@example
;example.com\admin
;example\admin
.
- В поле LDAP-хост введите имя хоста LDAP-сервера. Поддерживаются следующие форматы имени хоста:
- ldap://<
имя хоста
>:<номер порта
> – для стандартного LDAP-сервера. Порт по умолчанию: 389. - ldaps://<
имя хоста
>:<номер порта
> – для LDAP-сервера с SSL-аутентификацией. Порт по умолчанию: 636.
Например, если вы вводите
ldap://example.com:100
, имя хоста LDAP-сервера – example.com, а номер порта – 100. - ldap://<
- В поле Базовое различающееся имя введите базовое различающееся имя (англ. base distinguished name), которое оркестратор должен использовать как начальную точку поиска учетных записей пользователей в директории LDAP-сервера. Поддерживаются следующие форматы базового различающегося имени:
- OU=<
значение
>,OU=<значение
> – для аутентификации в OpenLDAP. Базовое различающееся имя состоит из одного или нескольких атрибутов OU, обозначающих структуру организационных единиц (англ. organizational units) в директории LDAP-сервера. Например, если вы вводитеOU=OU_example1,OU=OU_example2
, начальной точкой поиска учетных записей пользователей является организационная единица OU_example2, находящаяся внутри OU_example1. - DC=<
значение
>,DC=<значение
> – для аутентификации в Microsoft Active Directory. Базовое различающееся имя состоит из двух атрибутов DC, обозначающих компоненты домена (англ. domain components) LDAP-сервера. Например, если вы вводите DC=example,DC=com, начальной точкой поиска учетных записей пользователей является домен example.com.
- OU=<
- В раскрывающемся списке Атрибут поиска выберите атрибут, который оркестратор должен использовать для поиска учетных записей пользователей в директории LDAP-сервера:
- uid (OpenLDAP) – идентификатор пользователя uid (user ID) для поиска в OpenLDAP. Это значение выбрано по умолчанию.
- sAMAccountName (Active Directory) – пре-Windows 2000 имя пользователя (англ. pre-Windows 2000 logon name) для поиска в Microsoft Active Directory.
- В поле Различающееся имя введите различающееся имя (англ. distinguished name) для аутентификации оркестратора в LDAP-сервере. Поддерживаются следующие форматы различающегося имени:
- UID=<
значение
>,OU=<значение
> – для аутентификации в OpenLDAP. Различающееся имя состоит из одного атрибута UID и одного или нескольких атрибутов OU. Атрибут UID обозначает идентификатор пользователя, в то время как атрибуты OU обозначают структуру организационных единиц в директории LDAP-сервера, в которой находится этот пользователь. Например, если вы вводитеUID=user_example,OU=OU_example
, для аутентификации оркестратора в LDAP-сервере используется пользователь с идентификатором user_example, который находится в организационной единице OU_example. - CN=<
значение
>,OU=<значение
>,DC=<значение
>,DC=<значение
> – для аутентификации в Microsoft Active Directory. Различающееся имя состоит из одного атрибута CN, одного или нескольких атрибутов OU, а также двух атрибутов DC. Атрибут CN обозначает общее имя (англ. common name) пользователя, в то время как атрибуты OU обозначают структуру организационных единиц в директории LDAP-сервера, в которой находится этот пользователь. Последние два атрибута DC обозначают компоненты домена, в котором находится пользователь. Например, если вы вводитеCN=user_example,OU=OU_example,DC=example,DC=com
, для аутентификации оркестратора в LDAP-сервере используется пользователь с именем user_example, который находится в организационной единице OU_example в домене example.com.
- UID=<
- В поле Пароль привязки введите пароль для аутентификации оркестратора в LDAP-сервере.
- При необходимости убедиться в доступности LDAP-сервера нажмите на кнопку Проверить аутентификацию.
- Нажмите на кнопку Создать.
LDAP-подключение будет создано и отобразится в таблице. Теперь LDAP-сервер можно использовать при создании пользователей или групп пользователей.