ALD Pro

Чтобы настроить каталог пользователей:

1. Войдите в веб-версию ALD Pro под учетной записью администратора.
2. Создайте сервисную учетную запись для работы с каталогом пользователей и назначьте необходимые привилегии:
   1. Запустите оснастку ALD Pro Пользователи и компьютеры, в выпадающем меню выберите Пользователи.
   2. Нажмите Новый пользователь и создайте пользователя. По умолчанию созданный пользователь состоит в служебной доменной группе ipausers.
3. Чтобы создать разрешения, привилегии и роль для работы с каталогом пользователей, используйте оболочку FreeIPA в ALD Pro: в адресной строке замените ad на ipa. Например, https://dc/ipa/ui/#/login.
4. Создайте разрешение для чтения и поиска данных в каталоге:
   1. На вкладке IPA-сервер (IPA Server) в выпадающем списке Управление доступом на основе ролей (Role-Based Access Control) выберите Разрешения (Permissions) и нажмите Добавить (Add).
   2. Укажите имя разрешения.
   3. В строке Тип правила привязки (Bind rule type) выберите permission.
   4. В строке Предоставленные права (Granted Rights) выберите read, search.
   5. В строке Поддерево (Subtree) укажите имя объекта с пользователями или имя домена в формате Distinguished name.
   6. Выберите Действующие атрибуты (Effective attributes): entryUUID.
5. Создайте разрешение для записи данных в каталог:
   1. На вкладке IPA-сервер (IPA Server) в выпадающем списке Управление доступом на основе ролей (Role-Based Access Control) выберите Разрешения (Permissions) и нажмите Добавить (Add).
   2. Укажите имя разрешения.
   3. В строке Тип правила привязки (Bind rule type) выберите permission.
   4. В строке Предоставленные права (Granted Rights) выберите write.
   5. В выпадающем списке Тип (Type) выберите Пользователь.
   6. Выберите Действующие атрибуты (Effective attributes):
   • userPassword для возможности сбросить пароль пользователя;
   • krbPasswordExpiration для возможности указать срок действия пароля пользователя;
   • userCertificate для публикации сертификата КриптоПро 2.0 в профиле пользователя;
   • jpegPhoto для загрузки фотографии пользователя.
6. В выпадающем списке Управление доступом на основе ролей (Role-Based Access Control) выберите Привилегии (Privileges) и нажмите Добавить (Add).
7. Создайте привилегию и добавьте в нее созданные разрешения.
8. В выпадающем списке Управление доступом на основе ролей (Role-Based Access Control) выберите Роли (Roles), нажмите Добавить (Add) и создайте роль.
9. В разделе Роли (Roles) перейдите на вкладку Привилегии (Privileges) и добавьте созданную привилегию в роль.
10. Назначьте роль на пользователя:
    1. В разделе Роли (Roles) выберите созданную роль.
    2. В открывшемся списке пользователей нажмите Добавить (Add) и выберите созданного пользователя.

Список атрибутов для работы с каталогом пользователей

Атрибут пользователя	Описание
entryUUID	Универсальный уникальный идентификатор записи
entryDN	Уникальное имя записи в каталоге
uid	Идентификатор пользователя
mail	Адрес электронной почты
telephoneNumber	Телефон
givenName	Имя
sn	Фамилия
cn	Общее имя
krbPrincipalName	Имя участника-пользователя Kerberos (UPN)
jpegPhoto	Фото
userPassword	Пароль
krbPasswordExpiration	Атрибут с датой и временем истечения срока действия текущего пароля
userCertificate	Сертификат