Внутренний каталог пользователей

С помощью внутреннего каталога вы можете создавать учетные записи для внешних пользователей в Indeed CM. Внутренний каталог пользователей настраивается в базе данных Microsoft SQL или PostgreSQL.

Внутренний каталог является дополнительным. Перед тем как подключить внутренний каталог, настройте основной каталог пользователей LDAP или в ЦР КриптоПро УЦ 2.0.

Подключение к созданной базе данных настраивается в Мастере настройки Indeed CM в разделе Каталог пользователей.

Настройка базы данных

Чтобы настроить базу данных для внутреннего каталога пользователей:

1. Создайте базу данных.
2. Настройте сервисную учетную запись.
3. Используйте скрипт из дистрибутива Indeed CM, чтобы наполнить базу данных.

Microsoft SQL

База данных

Создайте базу данных в среде SQL Server Management Studio с произвольным именем:

1. В окне Обозреватель объектов (Object Explorer) нажмите правой кнопкой мыши по вкладке Базы данных (Databases).
2. Выберите Создать базу данных... (New Database...).
3. Укажите Имя базы данных: (Database name:) и нажмите OK.

Сервисная учетная запись

Используйте локальную учетную запись SQL или учетную запись Active Directory и наделите ее необходимыми правами для работы с созданной базой данных. Эта учетная запись будет использоваться для выполнения операций чтения и записи в базу данных. Подключение к базе с использованием указанной учетной записи настраивается в Мастере настройки Indeed CM.

1. Определите Имя для входа (Logins) для созданной базы.
2. Нажмите Безопасность (Security)→Имя для входа (Logins), из списка выберите учетную запись.
3. Перейдите на вкладку Сопоставление пользователей (User Mapping).
4. Выдайте права на работу с базой для выбранного имени входа, укажите разрешения db_owner и public и нажмите ОК.

Наполнение базы данных

Выберите в Обозревателе объектов (Object Explorer) созданную базу данных и выполните скрипт UserCatalog.sql:

1. Выберите меню Файл (File)→Открыть (Open)→Файл...(File...), укажите путь к файлу UserCatalog.sql (\IndeedCM.WindowsServer\Misc) и нажмите Открыть (Open).
2. До запуска скрипта раскомментируйте --USE\[<database name>]--GO и укажите название базы данных, для которой применяется скрипт, или выберите базу данных в выпадающем списке.
3. Нажмите Выполнить (Execute).

PostgreSQL

База данных

Создайте базу данных в среде pgAdmin с произвольным именем:

1. В окне Обозреватель (Browser) нажмите правой кнопкой мыши по пункту Базы данных (Databases).
2. Выберите Создать (Create)→База данных...(Database...).
3. На вкладке Общие (General) укажите название базы данных в поле База данных (Database), выберите созданную сервисную учетную запись в списке Владелец (Owner) и нажмите Сохранить (Save).

Сервисная учетная запись

1. Откройте pgAdmin, укажите мастер пароль и подключитесь к серверу.
2. В разделе Обозреватель (Browser) правой кнопкой мыши нажмите по пункту меню Роли входа/группы (Login/Group Roles).
3. Выберите Создать→Роль входа/группы (Create→Login/Group Role…).
4. На вкладке Общие (General), в поле Имя (Name), укажите произвольное имя пользователя.
5. На вкладке Определение (Definition), в поле Пароль (Password), укажите пароль пользователя. В поле Роль активна до (Account Expires) должно быть указано значение No Expiry. При создании сервисной учетной записи требуется отключить срок действия пароля.
6. На вкладке Права (Privileges) включите параметр Вход разрешен? (Can Login?).
7. Оставьте остальные значения по умолчанию и нажмите Сохранить (Save).

Наполнение базы данных

Выберите в Обозревателе (Browser) созданную базу данных, выполните скрипт UserCatalog-Postgre.sql и предоставьте сервисной учетной записи привилегии на таблицы базы данных:

1. Выберите меню Инструменты (Tools)→Запросник (Query Tool).
2. В меню запросника нажмите и укажите путь к файлу UserCatalog-Postgre.sql (\IndeedCM.WindowsServer\Misc). Нажмите Выбрать (Select).
3. В меню запросника нажмите на кнопку Выполнить (Execute/Refresh) .
4. Нажмите в меню запросника и выберите Clear Query, чтобы очистить поле запроса к базе данных.
5. Введите текст запроса, указав в запросе имя учетной записи:

GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA public TO "имя сервисной учетной записи";

Пример запроса

GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA public TO servicepg;

6. В меню запросника нажмите на кнопку Выполнить (Execute/Refresh) .

Удаленное подключение к базе данных

1. Откройте конфигурационный файл pg_hba.conf. В ОС Windows файл находится по пути C:\Program Files\PostgreSQL\<номер версии>\data. В ОС Linux – /etc/postgresql/<номер версии>/main.
2. Добавьте строку следующего формата:

CONNECTIONTYPE DATABASE USER ADDRESS METHOD

Где:

• CONNECTIONTYPE – тип подключения. Укажите host, чтобы использовать подключение по TCP/IP.
• DATABASE – имя базы данных, для которой предоставляется доступ.
• USER – имя пользователя, для которого будет доступно подключение.
• ADDRESS – IP-адрес удаленного сервера Indeed Certificate Manager.
• METHOD – метод аутентификации пользователя.

Пример строки

host IndeedStorage servicepg 192.200.1.0/24 md5

Список атрибутов

Для работы с внутренним каталогом пользователей Indeed CM использует следующие атрибуты:

Основные атрибуты

Атрибут пользователя	Общее имя атрибута	Отображаемое имя атрибута
cn	Common Name	Общее имя
dn	Distinguished Name	Уникальное имя
givenName	First Name	Имя
sn	Last Name	Фамилия
sAMAccountName	Logon Name	Логин
email	E-mail	Адрес электронной почты

Дополнительные атрибуты

Атрибут пользователя	Отображаемое имя атрибута
telephoneNumber	Телефонный номер
countryName	Страна/регион
stateOrProvinceName	Область
localityName	Город
streetAddress	Адрес
organizationName	Организация
organizationUnitName	Подразделение
title	Должность

В Мастере настройки Indeed CM можно редактировать дополнительные атрибуты и добавить собственные. Как настроить дополнительные атрибуты внутреннего каталога пользователей