Внутренний каталог пользователей

С помощью внутреннего каталога вы можете создавать в Indeed CM учетные записи для внешних пользователей. Внутренний каталог пользователей настраивается в базе данных Microsoft SQL или PostgreSQL.

Внутренний каталог является дополнительным. Перед тем как подключить внутренний каталог, настройте основной каталог пользователей LDAP или в ЦР КриптоПро УЦ 2.0.

Настройка базы данных

Чтобы настроить базу данных для внутреннего каталога пользователей:

1. Создайте базу данных.
2. Настройте сервисную учетную запись.
3. Используйте скрипт из дистрибутива Indeed CM, чтобы наполнить базу данных.

Microsoft SQL

База данных

Создайте базу данных в среде SQL Server Management Studio с произвольным именем:

1. В окне Обозреватель объектов (Object Explorer) правой кнопкой мыши нажмите на вкладку Базы данных (Databases).
2. Выберите Создать базу данных... (New Database...).
3. Укажите Имя базы данных: (Database name:) и нажмите OK.

Сервисная учетная запись

Используйте локальную учетную запись SQL или учетную запись Active Directory и наделите ее необходимыми правами для работы с созданной базой данных. Эта учетная запись используется для выполнения операций чтения и записи в базу данных.

1. Определите Имя для входа (Logins) для созданной базы.
2. Нажмите Безопасность (Security)→Имя для входа (Logins) и из списка выберите учетную запись.
3. Перейдите на вкладку Сопоставление пользователей (User Mapping).
4. Укажите разрешения db_owner и public и нажмите ОК.

Наполнение базы данных

В Обозревателе объектов (Object Explorer) выберите созданную базу данных и выполните скрипт UserCatalog.sql:

1. Выберите Файл (File) → Открыть (Open) → Файл...(File...), укажите путь к файлу UserCatalog.sql (\IndeedCM.WindowsServer\Misc) и нажмите Открыть (Open).
2. До запуска скрипта раскомментируйте --USE\[<database name>]--GO и укажите название базы данных, для которой применяется скрипт, или выберите базу данных в выпадающем списке.
3. Нажмите Выполнить (Execute).

PostgreSQL

Сервисная учетная запись

1. Откройте pgAdmin, укажите мастер пароль и подключитесь к серверу.
2. В разделе Обозреватель (Browser) правой кнопкой мыши нажмите на вкладку Роли входа/группы (Login/Group Roles).
3. Выберите Создать (Create)→Роль входа/группы (Login/Group Role…).
4. На вкладке Общие (General) в поле Имя (Name) укажите имя пользователя.
5. На вкладке Определение (Definition) в поле Пароль (Password) укажите пароль пользователя. Убедитесь, что в поле Роль активна до (Account Expires) указано значение No Expiry.
6. На вкладке Права (Privileges) включите параметр Вход разрешен? (Can Login?), оставьте остальные значения по умолчанию и нажмите Сохранить (Save).

База данных

Создайте базу данных в среде pgAdmin:

1. В окне Обозреватель (Browser) правой кнопкой мыши нажмите на вкладку Базы данных (Databases).
2. Выберите Создать (Create)→База данных...(Database...).
3. На вкладке Общие (General) укажите имя базы данных, в списке Владелец выберите созданную сервисную учетную запись и нажмите Сохранить (Save).

Наполнение базы данных

Выберите в Обозревателе (Browser) созданную базу данных, выполните скрипт UserCatalog-Postgre.sql и предоставьте сервисной учетной записи привилегии на таблицы базы данных:

1. Выберите Инструменты (Tools)→Запросник (Query Tool).

2. В меню запросника нажмите и укажите путь к файлу UserCatalog-Postgre.sql (\IndeedCM.WindowsServer\Misc). Нажмите Выбрать (Select).

3. В меню запросника нажмите Выполнить (Execute/Refresh).

4. Нажмите и выберите Clear Query, чтобы очистить поле запроса к базе данных.

5. Введите текст запроса, указав в запросе имя учетной записи.

   Пример запроса

   GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA public TO servicepg;

6. Нажмите Выполнить (Execute/Refresh).

Удаленное подключение к базе данных

1. Откройте конфигурационный файл pg_hba.conf.

   Расположение файла pg_hba.conf

   PostgreSQL

   ОС Windows: C:\Program Files\PostgreSQL\<номер версии>\data
   ОС Linux: /etc/postgresql/<номер версии>/main или /var/lib/pgsql/<номер версии>/data

   Postgres Pro

   ОС Linux: /var/lib/pgpro/<номер версии>/data

2. Добавьте строку в следующем формате.

   CONNECTIONTYPE DATABASE USER ADDRESS METHOD

   Где:

• CONNECTIONTYPE – тип подключения. Укажите host, чтобы использовать подключение по TCP/IP.
• DATABASE – имя базы данных, для которой предоставляется доступ.
• USER – имя пользователя, для которого доступно подключение.
• ADDRESS – IP-адрес удаленного сервера Indeed Certificate Manager.
• METHOD – метод аутентификации пользователя.

Пример строки

host IndeedStorage servicepg 192.200.1.0/24 md5

Список атрибутов

Для работы с внутренним каталогом пользователей Indeed CM использует следующие атрибуты.

Основные атрибуты

Атрибут пользователя	Общее имя атрибута	Отображаемое имя атрибута
cn	Common Name	Общее имя
dn	Distinguished Name	Уникальное имя
givenName	First Name	Имя
sn	Last Name	Фамилия
sAMAccountName	Logon Name	Логин
email	E-mail	Адрес электронной почты

Дополнительные атрибуты

Атрибут пользователя	Отображаемое имя атрибута
telephoneNumber	Телефонный номер
countryName	Страна/регион
stateOrProvinceName	Область
localityName	Город
streetAddress	Адрес
organizationName	Организация
organizationUnitName	Подразделение
title	Должность

В Мастере настройки Indeed CM можно редактировать дополнительные атрибуты и добавить собственные.
Как настроить дополнительные атрибуты внутреннего каталога пользователей