FreeIPA
Чтобы настроить каталог пользователей:
- Войдите в веб-версию FreeIPA под учетной записью администратора.
- Создайте сервисную учетную запись для работы с каталогом пользователей:
- На вкладке Идентификация (Identity)→Пользователи (Users) нажмите Добавить (Add).
- Создайте пользователя. По умолчанию созданный пользователь состоит в служебной доменной группе ipausers.
- Создайте разрешение для чтения и поиска данных в каталоге:
- На вкладке IPA-сервер (IPA Server) в выпадающем списке Управление доступом на основе ролей (Role-Based Access Control) выберите Разрешения (Permissions) и нажмите Добавить (Add).
- Укажите имя разрешения.
- В строке Тип правила привязки (Bind rule type) выберите permission.
- В строке Предоставленные права (Granted Rights) выберите
read,search. - В строке Поддерево (Subtree) введите имя домена в формате Distinguished name.
- Выберите Действующие атрибуты (Effective attributes):
entryUUID.
- Создайте разрешение для записи данных в каталог:
- На вкладке IPA-сервер (IPA Server) в выпадающем списке Управление доступом на основе ролей (Role-Based Access Control) выберите Разрешения (Permissions) и нажмите Добавить (Add).
- Укажите имя разрешения.
- В строке Тип правила привязки (Bind rule type) выберите permission.
- В строке Предоставленные права (Granted Rights) выберите
write. - В выпадающем списке Тип (Type) выберите Пользователь.
- Выберите Действующие атрибуты (Effective attributes):
userPasswordдля возможности сбросить пароль пользователя;krbPasswordExpirationдля возможности указать срок действия пароля пользователя;userCertificateдля публикации сертификата КриптоПро 2.0 в профиле пользователя;jpegPhotoдля загрузки фотографии пользователя.
- В выпадающем списке Управление доступом на основе ролей (Role-Based Access Control) выберите Привилегии (Privileges) и нажмите Добавить (Add).
- Создайте привилегию и добавьте в нее созданные разрешения.
- В выпадающем списке Управление доступом на основе ролей (Role-Based Access Control) выберите Роли (Roles), нажмите Добавить (Add) и создайте роль.
- В разделе Роли (Roles) перейдите на вкладку Привилегии (Privileges) и добавьте созданную привилегию в роль.
- Назначьте роль на пользователя:
- В разделе Роли (Roles) выберите созданную роль.
- В открывшемся списке пользователей нажмите Добавить (Add) и выберите созданного пользователя.
Список атрибутов для работы с каталогом пользователей
| Атрибут пользователя | Описание |
|---|---|
| entryUUID | Универсальный уникальный идентификатор записи |
| entryDN | Уникальное имя записи в каталоге |
| uid | Идентификатор пользователя |
| Адрес электронной почты | |
| telephoneNumber | Телефон |
| givenName | Имя |
| sn | Фамилия |
| cn | Общее имя |
| krbPrincipalName | Имя участника-пользователя Kerberos (UPN) |
| jpegPhoto | Фото |
| userPassword | Пароль |
| krbPasswordExpiration | Атрибут, хранящий дату и время истечения срока действия текущего пароля |
| userCertificate | Сертификат |