Konfigurowanie synchronizacji LDAP
Parent page: Zarządzanie użytkownikami
Aby uprościć proces łączenia się z sieciami firmowymi i uzyskiwania do nich dostępu, Altium Infrastructure Server zapewnia obsługę usług katalogowych za pośrednictwem swojego interfejsu przeglądarkowego.
Umożliwia to synchronizację użytkowników domeny w oparciu o Lightweight Directory Access Protocol (LDAP), który odpytuje centralny serwer LDAP w sieci w celu pobrania informacji o przynależności użytkowników domeny do grup i ról. Uwierzytelnianie użytkowników domeny poprzez istniejące usługi katalogowe w ten sposób daje możliwość pojedynczego logowania (single sign-on) do wszystkich systemów firmowych, w tym do Altium Infrastructure Server.
Synchronizacja LDAP w Infrastructure Server odpytuje usługi sieciowe na podstawie ról użytkowników, gdzie informacje o przynależności do ról są zbierane na potrzeby autoryzacji dostępu użytkowników do Infrastructure Server. Odpytywanie członkostwa w domenie poprzez usługę LDAP (synchronizacja) pozwala systemowi reagować na zmianę konfiguracji użytkownika domenowego w ramach cyklu synchronizacji.
Synchronizacja LDAP
Synchronizacja LDAP (LDAP Sync) pozwala administratorowi Altium Infrastructure Server wykorzystać istniejące w domenie sieciowej poświadczenia nazwy użytkownika i hasła, dzięki czemu nie trzeba ręcznie tworzyć poświadczeń użytkowników pojedynczo na stronie USERS w interfejsie przeglądarkowym Infrastructure Server. Przy poprawnej konfiguracji strona USERS zostanie automatycznie wypełniona poświadczeniami użytkowników, umożliwiając każdemu użytkownikowi z listy logowanie do Altium Infrastructure Server przy użyciu standardowej firmowej nazwy użytkownika i hasła.
W tym artykule opisano sprawdzone podejście, które z powodzeniem zastosowano przy konfigurowaniu synchronizacji LDAP w domenie. Wypróbuj to podejście podczas konfigurowania LDAP Sync we własnej domenie.
Czego potrzebuję?
- Dostępu administracyjnego do Altium Infrastructure Server.
- Opcjonalnie, niezwykle pomocnym narzędziem jest aplikacja o nazwie LDAP Admin (pobierz LdapAdminExe-<version>.zip z http://www.ldapadmin.org/)
Pozyskanie ciągu wyszukiwania LDAP (Distinguished Name)
Podczas konfigurowania zadania LDAP Sync poprzez interfejs przeglądarkowy Altium Infrastructure Server musisz podać LDAP Distinguished Name (DN). Wprowadza się go w postaci ciągu znaków i identyfikuje on obiekt bazowy wyszukiwania LDAP. Aby uzyskać ten ciąg, użyjemy narzędzia LDAP Admin, więc najpierw upewnij się, że plik zip został pobrany, a następnie wypakuj znajdujący się w nim plik wykonywalny LdapAdmin.
Pobierz i wypakuj plik LdapAdmin.exe.
Uruchom plik wykonywalny LdapAdmin.exe jako Administrator (kliknij go prawym przyciskiem i wybierz Run as administrator).
Gdy otworzy się panel LDAP Admin, wybierz Start » Connect, aby przejść do okna Connections , a następnie kliknij dwukrotnie New connection, aby przejść do okna Connection properties.
Tworzenie nowego połączenia w narzędziu LDAP Admin.
Na karcie General w oknie Connection properties skonfiguruj informacje o połączeniu w odniesieniu do swojej domeny, na przykład:
- Connection name: dowolna nazwa, która będzie użyta dla ikony połączenia.
- Host: testsite.com
- Port: 389
- Base: DC=testsite, DC=com
- Włącz opcję GSS-API.
- Account: po prostu pozostaw włączoną opcję Use current user credentials .
Przykładowo skonfigurowane połączenie przy użyciu standardowego LDAP. Jeśli używasz LDAPS (LDAP przez SSL),
zmień Port na 636 i włącz opcję SSL.
Po skonfigurowaniu właściwości połączenia naciśnij przycisk Test connection. Jeśli wszystko jest ustawione poprawnie, powinien pojawić się komunikat Connection is successful. Kliknij OK , aby zakończyć tworzenie nowego połączenia.
Teraz musisz zidentyfikować ciąg, który wskazuje obiekt bazowy wyszukiwania LDAP. Aby to zrobić:
- Wybierz nowo utworzone połączenie i kliknij OK w oknie Connections — zostanie wyświetlona hierarchia domeny sieciowej i grup użytkowników.
- Rozwiń odpowiednią ścieżkę folderów, aż dojdziesz do folderu zawierającego wymaganych użytkowników.
- Kliknij prawym przyciskiem ten folder i wybierz polecenie Search z menu kontekstowego. Otworzy to panel Search . Kluczową informacją, której szukasz, jest ciąg już wypełniony w polu Path . Czytany od lewej do prawej, ciąg ten reprezentuje ścieżkę do tego folderu użytkowników „od dołu do góry” w strukturze domeny. W naszym przykładzie załóżmy folder określonych użytkowników — Managers — będący elementem podrzędnym folderu nadrzędnego — Users. W tym przypadku nasz ciąg to: OU=Managers,OU=Users,DC=testsite,DC=com.
- Skopiuj i wklej ten ciąg do pliku tekstowego do późniejszego użycia w procesie konfiguracji lub opcjonalnie pozostaw panel Search otwarty.
Na tym etapie narzędzie LDAP Admin nie jest już potrzebne w kolejnych krokach.
Konfigurowanie Altium Infrastructure Server do użycia LDAP Sync
Teraz skupmy się na Altium Infrastructure Server. Zaloguj się do docelowego Altium Infrastructure Server — przez jego interfejs przeglądarkowy — jako Administrator. Jeśli zamierzasz automatycznie tworzyć poświadczenia użytkowników z LDAP, prawdopodobnie zechcesz usunąć wszystkich istniejących użytkowników utworzonych ręcznie. Najlepiej więc zacząć tylko od domyślnych użytkowników roli Administrator — admin i System.
Przykładowy docelowy Altium Infrastructure Server, zawierający tylko dwóch domyślnych użytkowników administracyjnych, admin i System.
Jeśli chcesz, aby użytkownicy z LDAP Sync byli powiązani z konkretną rolą, możesz przejść na kartę Roles i utworzyć nową rolę według potrzeb, pozostawiając ją bez użytkowników. W naszym przykładzie utworzymy rolę o nazwie Managers.
Teraz przejdź na kartę LDAP Sync i kliknij przycisk 
, aby otworzyć okno Add LDAP Sync Task.
Dodawanie nowego zadania LDAP Sync poprzez interfejs przeglądarkowy Infrastructure Server.
Wypełnij następujące informacje (na podstawie przykładowej struktury domeny użytej w poprzedniej sekcji):
Ogólne
- Target Role: Managers
- Url: LDAP://testsite.com:389
- DN: OU=Managers,OU=Users,DC=testsite,DC=com
- Filter: pozostaw to pole puste, aby pobrać wszystkich użytkowników z określonej grupy wskazanej w domenie (w polu DN ). Jeśli wskazany obszar struktury domeny zawierałby dalsze grupowania użytkowników, możesz wyodrębnić tylko podzbiór tych użytkowników, używając tutaj odpowiedniego ciągu filtrującego.
Na przykład, rozważmy sytuację, w której istniałby zestaw użytkowników w grupie Menedżerów, zebranych w celu nadania uprawnień administracyjnych (CN=Administrators). Aby wskazać tylko ten zestaw użytkowników, a nie wszystkich Menedżerów (w obszarze OU=Managers struktury domeny), można napisać ciąg zapytania, który celuje w ten punkt struktury domeny:
(&(objectClass=user)(memberof=CN=Administrators,OU=Managers,OU=Users,DC=testsite,DC=com))
- Scope: sub
- Attributes: sAMAccountName
Uwierzytelnianie
- User Name: domain\<your username> (np. testsite\jason.howie)
- Password: <your password>
Mapowanie atrybutów
- First Name: givenName
- Last Name: sn
- Email: mail
- User Name: sAMAccountName
Typ uwierzytelniania użytkownika
- Radio button: Windows
- Domain: testsite.com
Przykładowe zadanie LDAP Sync skonfigurowane ze wszystkimi wymaganymi informacjami przy użyciu standardowego LDAP. Jeśli używasz LDAPS (LDAP przez SSL), wpis Url
zostałby zmieniony na LDAPS://testsite.com:636.
Po zakończeniu wprowadzania wszystkich ustawień kliknij 
. Spowoduje to rozpoczęcie procesu synchronizacji, który może potrwać minutę lub dwie, ponieważ przetwarza wprowadzone informacje. Obserwuj komunikaty stanu synchronizacji u góry strony LDAP Sync, aby zobaczyć, kiedy proces się zakończy.
Teraz kliknij kartę Users . Ta lista powinna być teraz wypełniona wszystkimi użytkownikami zgodnie z ustawieniem OU=<GroupName> (zobacz przykładowy obraz poniżej). Od tej pory każdy może zalogować się do Altium Infrastructure Server, używając swojego standardowego logowania Windows.
Przykładowe dodawanie użytkowników do Altium Infrastructure Server za pomocą synchronizacji LDAP.
Tłumaczenie SI