LDAP
Настройте каталог пользователей Indeed CM. Поддерживаются следующие службы LDAP-каталогов:
- Active Directory;
- FreeIPA;
- ALD Pro.
Каталог пользователей LDAP может быть составным. В этом случае пользователи будут расположены в разных контейнерах одного домена или в нескольких доменах.
Чтобы настроить каталог пользователей:
- Active Directory
- FreeIPA
- ALD Pro
- Подготовьте в Active Directory объект (домен, контейнер, подразделение) с конечными пользователями.
- Создайте сервисную учетную запись для чтения и записи атрибутов пользователей. Вы можете распределить права между несколькими сервисными учетными записями или создать одну сервисную учетную запись с максимальным набором прав доступа к объектам Active Directory.
- Откройте свойство Безопасность (Security) объекта, где хранятся пользователи Indeed CM.
- Нажмите Дополнительно (Advanced). Нажмите Добавить (Add)→Выбрать субъект (Select a principal).
- В текстовом поле Введите имена выбираемых объектов (Enter the object name to select) введите имя сервисной учетной записи и нажмите ОК.
- В выпадающем списке Применяется к (Applies to) выберите Дочерние объекты: Пользователь (Descendant User objects).
- В списке Разрешений (Permissions) выберите:
- Список содержимого (List contents).
- Прочитать все свойства (Read all properties). По умолчанию разрешение на чтение всех свойств пользователя имеется у всех учетных записей домена.
- Сброс пароля (Reset password) для возможности сбросить пароль пользователя.
- В списке Свойств (Properties) отметьте пункты:
- Запись: pwdLastSet (Write pwdLastSet) для возможности сбросить пароль пользователя.
- Запись: thumbnailPhoto (Write thumbnailPhoto) или Запись: jpegPhoto (Write jpegPhoto) для загрузки фотографии пользователя в Active Directory.
- Запись: userAccountControl (Write userAccountControl) для работы опции Требовать логон по смарт-карте.
- Запись: userCertificate (Write userCertificate) для публикации сертификата КриптоПро 2.0 в профиле пользователя Active Directory.
- Нажмите ОК и Применить (Apply).
Информация
Установите одинаковый набор прав сервисной учетной записи для каждого объекта, где хранятся пользователи Indeed CM.
Предоставление прав на чтение данных
Если политики безопасности домена запрещают чтение всех свойств пользователя, выдайте сервисной учетной записи права на чтение атрибутов пользователей и атрибутов объекта, где хранятся пользователи Indeed CM:
В оснастке Редактирование ADSI (ADSI edit) откройте свойство Безопасность (Security) объекта, где хранятся пользователи Indeed CM.
Для области применения Этот объект и все дочерние объекты (This object and all descendant objects):
- В списке Разрешений (Permissions) отметьте Список содержимого (List contents).
- В списке Свойств (Properties) отметьте пункты:
- Чтение: сanonicalName (Read сanonicalName);
- Чтение: Distinguished Name (Read Distinguished Name);
- Чтение: objectClass (Read objectClass);
- Чтение: objectGuid (Read objectGuid);
- Чтение: showInAdvancedViewOnly (Read showInAdvancedViewOnly).
Для области применения Дочерние объекты:Пользователь (Descendant user objects):
- В списке Разрешений (Permissions) отметьте Список содержимого (List contents).
- В списке Свойств (Properties) выберите чтение/запись следующих наборов свойств и атрибутов:
- Чтение: личные сведения (Read personal Information);
- Чтение: общие сведения (Read general Information);
- Чтение: ограничения учетной записи (Read account restrictions);
- Чтение: открытые сведения(Read public Information);
- Запись: pwdLastSet (Write pwdLastSet);
- Запись: thumbnailPhoto (Write thumbnailPhoto) или Запись: jpegPhoto (Write jpegPhoto);
- Запись: userAccountControl (Write userAccountControl);
- Запись: userCertificate (Write userCertificate).
Информация
Приведены отображаемые имена LDAP (LDAP Display Name).
Предоставление прав доступа к набору свойств значительно улучшает производительность и упрощает управление безопасностью (подробнее на сайте компании Microsoft).
Атрибуты, используемые Indeed CM при работе с каталогом пользователей Microsoft AD
| Атрибут (LDAP Display Name) | Common Name | Комментарий |
|---|---|---|
| c | Country/Region или Country/Region Abbreviation | Входит в набор свойств «Личные сведения» (Personal Information). |
| сanonicalName | Canonical Name | Входит в набор свойств «Открытые сведения» (Public Information). |
| cn | Common Name | Входит в набор свойств «Открытые сведения» (Public Information). |
| company | Company | Входит в набор свойств «Открытые сведения» (Public Information). |
| department | Department | Входит в набор свойств «Открытые сведения» (Public Information). |
| distinguishedName | Distinguished Name | Входит в набор свойств «Открытые сведения» (Public Information). |
| givenName | Given Name | Входит в набор свойств «Открытые сведения» (Public Information). |
| l | Locality Name | Входит в набор свойств «Личные сведения» (Personal Information). |
| E-mail Addresses | Входит в набор свойств «Открытые сведения» (Public Information). | |
| manager | Manager | Входит в набор свойств «Открытые сведения» (Public Information). |
| objectClass | Object Class | Входит в набор свойств «Открытые сведения» (Public Information). |
| objectGUID | Оbject GUID | Входит в набор свойств «Открытые сведения» (Public Information). |
| objectSid | Object Sid | Входит в набор свойств «Общие сведения» (General Information). |
| otherMailbox | Other Mailbox | Входит в набор свойств «Открытые сведения» (Public Information). |
| proxyAddresses | Proxy Addresses | Входит в набор свойств «Открытые сведения» (Public Information). |
| pwdLastSet | Pwd Last Set | Входит в набор свойств «Ограничения учетной записи» (Account Restrictions). |
| sAMAccountName | SAM Account Name | Входит в набор свойств «Общие сведения» (General Information). |
| sn | Surname | Входит в набор свойств «Открытые сведения» (Public Information). |
| st | State or Province Name | Входит в набор свойств «Личные сведения» (Personal Information). |
| streetAddress | Address (или Street) | Входит в набор свойств «Личные сведения» (Personal Information). |
| telephoneNumber | Telephone Number | Входит в набор свойств «Личные сведения» (Personal Information). |
| thumbnailPhoto или jpegPhoto | Picture | Входит в набор свойств «Личные сведения» (Personal Information). |
| userAccountControl | User Account Control | Входит в набор свойств «Ограничения учетной записи» (Account Restrictions). |
| userCertificate | User Certificate | Входит в набор свойств «Личные сведения» (Personal Information). |
| userPrincipalName | User Principal Name | Входит в набор свойств «Открытые сведения» (Public Information). |
- Войдите в веб-версию FreeIPA под учетной записью администратора.
- Создайте сервисную учетную запись для работы с каталогом пользователей. На вкладке Идентификация (Identity)→Пользователи (Users) нажмите Добавить (Add) и создайте пользователя. По умолчанию созданный пользователь состоит в служебной доменной группе ipausers.
- Создайте разрешение для чтения и поиска данных в каталоге:
- На вкладке IPA-сервер (IPA Server) в выпадающем списке Управление доступом на основе ролей (Role-Based Access Control) выберите Разрешения (Permissions) и нажмите Добавить (Add).
- Укажите имя разрешения.
- В строке Тип правила привязки (Bind rule type) выберите permission.
- В строке Предоставленные права (Granted Rights) выберите
read,search. - В строке Поддерево (Subtree) введите имя домена в формате Distinguished name.
- Выберите Действующие атрибуты (Effective attributes):
entryUUID.
- Создайте разрешение для записи данных в каталог:
- На вкладке IPA-сервер (IPA Server) в выпадающем списке Управление доступом на основе ролей (Role-Based Access Control) выберите Разрешения (Permissions) и нажмите Добавить (Add).
- Укажите имя разрешения.
- В строке Тип правила привязки (Bind rule type) выберите permission.
- В строке Предоставленные права (Granted Rights) выберите
write. - В выпадающем списке Тип (Type) выберите Пользователь.
- Выберите Действующие атрибуты (Effective attributes):
userPasswordдля возможности сбросить пароль пользователя;krbPasswordExpirationдля возможности указать срок действия пароля пользователя;userCertificateдля публикации сертификата КриптоПро 2.0 в профиле пользователя;jpegPhotoдля загрузки фотографии пользователя.
- В выпадающем списке Управление доступом на основе ролей (Role-Based Access Control) выберите Привилегии (Privileges) и нажмите Добавить (Add).
- Создайте привилегию и добавьте в нее созданные разрешения.
- В выпадающем списке Управление доступом на основе ролей (Role-Based Access Control) выберите Роли (Roles), нажмите Добавить (Add) и создайте роль.
- В разделе Роли (Roles) перейдите на вкладку Привилегии (Privileges) и добавьте созданную привилегию в роль.
- Назначьте роль на пользователя:
- В разделе Роли (Roles) выберите созданную роль.
- В открывшемся списке пользователей нажмите Добавить (Add) и выберите созданного пользователя.
Атрибуты, используемые Indeed CM при работе с каталогом пользователей FreeIPA
| Атрибут пользователя | Описание |
|---|---|
| entryUUID | Универсальный уникальный идентификатор записи |
| entryDN | Уникальное имя записи в каталоге |
| uid | Идентификатор пользователя |
| Адрес электронной почты | |
| telephoneNumber | Телефон |
| givenName | Имя |
| sn | Фамилия |
| cn | Общее имя |
| krbPrincipalName | Имя участника-пользователя Kerberos (UPN) |
| jpegPhoto | Фото |
| userPassword | Пароль |
| krbPasswordExpiration | Атрибут, хранящий дату и время истечения срока действия текущего пароля |
| userCertificate | Сертификат |
- Войдите в веб-версию ALD Pro под учетной записью администратора.
- Создайте сервисную учетную запись для работы с каталогом пользователей и назначьте необходимые привилегии:
- Запустите оснастку ALD Pro Пользователи и компьютеры, в выпадающем меню выберите Пользователи.
- Нажмите Новый пользователь и создайте пользователя. По умолчанию созданный пользователь состоит в служебной доменной группе ipausers.
- Чтобы создать разрешения, привилегии и роль для работы с каталогом пользователей, используйте оболочку FreeIPA в ALD Pro: в адресной строке замените ad на ipa. Например,
https://dc/ipa/ui/#/login. - Создайте разрешение для чтения и поиска данных в каталоге:
- На вкладке IPA-сервер (IPA Server) в выпадающем списке Управление доступом на основе ролей (Role-Based Access Control) выберите Разрешения (Permissions) и нажмите Добавить (Add).
- Укажите имя разрешения.
- В строке Тип правила привязки (Bind rule type) выберите permission.
- В строке Предоставленные права (Granted Rights) выберите
read,search. - В строке Поддерево (Subtree) укажите имя объекта с пользователями или имя домена в формате Distinguished name.
- Выберите Действующие атрибуты (Effective attributes):
entryUUID.
- Создайте разрешение для записи данных в каталог:
- На вкладке IPA-сервер (IPA Server) в выпадающем списке Управление доступом на основе ролей (Role-Based Access Control) выберите Разрешения (Permissions) и нажмите Добавить (Add).
- Укажите имя разрешения.
- В строке Тип правила привязки (Bind rule type) выберите permission.
- В строке Предоставленные права (Granted Rights) выберите
write. - В выпадающем списке Тип (Type) выберите Пользователь.
- Выберите Действующие атрибуты (Effective attributes):
userPasswordдля возможности сбросить пароль пользователя;krbPasswordExpirationдля возможности указать срок действия пароля пользователя;userCertificateдля публикации сертификата КриптоПро 2.0 в профиле пользователя;jpegPhotoдля загрузки фотографии пользователя.
- В выпадающем списке Управление доступом на основе ролей (Role-Based Access Control) выберите Привилегии (Privileges) и нажмите Добавить (Add).
- Создайте привилегию и добавьте в нее созданные разрешения.
- В выпадающем списке Управление доступом на основе ролей (Role-Based Access Control) выберите Роли (Roles), нажмите Добавить (Add) и создайте роль.
- В разделе Роли (Roles) перейдите на вкладку Привилегии (Privileges) и добавьте созданную привилегию в роль.
- Назначьте роль на пользователя:
- В разделе Роли (Roles) выберите созданную роль.
- В открывшемся списке пользователей нажмите Добавить (Add) и выберите созданного пользователя.
Атрибуты, используемые Indeed CM при работе с каталогом пользователей ALD Pro
| Атрибут пользователя | Описание |
|---|---|
| entryUUID | Универсальный уникальный идентификатор записи |
| entryDN | Уникальное имя записи в каталоге |
| uid | Идентификатор пользователя |
| Адрес электронной почты | |
| telephoneNumber | Телефон |
| givenName | Имя |
| sn | Фамилия |
| cn | Общее имя |
| krbPrincipalName | Имя участника-пользователя Kerberos (UPN) |
| jpegPhoto | Фото |
| userPassword | Пароль |
| krbPasswordExpiration | Атрибут с датой и временем истечения срока действия текущего пароля |
| userCertificate | Сертификат |