Altium Designer Documentation

Настройка LDAP-синхронизации

Последнее изменение: Pavel Demidov; 22.07.2019
Эта страница документации относится к Altium Vault – продукту, который больше не поддерживается. Altium Vault и его функциональные возможности по управлению компонентами теперь доступны в Altium Concord Pro.

Для упрощения процесса подключения и доступа из сети предприятия, Altium Concord Pro поддерживает работу со службами каталогов через свой веб-интерфейс.

Здесь предлагается синхронизация пользователей домена на основе облегченного протокола доступа к каталогам (Lightweight Directory Access Protocol – LDAP), с помощью которого осуществляется доступ к информации о группе пользователей домена и их участия в роли от центрального сервера LDAP сети. Аутентификация пользователей домена через эти службы обеспечивает доступ ко всем системам предприятия, в том числе к серверу Altium Concord Pro, с помощью единых учетных данных.

LDAP-синхронизация Altium Concord Pro опрашивает службы сети на основе роли пользователя, где берется информация об участии в роли для авторизации доступа пользователя к серверу Concord Pro. Опрос принадлежности к домену через службу LDAP (синхронизацию) позволяет системе отвечать на изменении настроек учетной записи пользователя домена в цикле синхронизации.

Для получения более подробной информации о принципах, возможностях и синтаксисе внедрения LDAP см. https://tools.ietf.org/html/rfc4510 и связанные страницы.

LDAP-синхронизация

LDAP-синхронизация позволяет администратору Altium Concord Pro использовать существующие в домене сети учетные данные, поэтому нет необходимости создавать учетные записи пользователей по одной на странице Users веб-интерфейса Concord Pro. При правильной настройке учетные данные пользователей будут автоматически появляться на странице Users, что позволит этим пользователям входить в Altium Concord Pro с помощью корпоративного имени пользователя и пароля.

Чтобы войти на сервер с помощью своих учетных данных Windows, воспользуйтесь поддержкой аутентификации Windows сервером Concord Pro – включите параметр Use Windows Session (Использовать сессию Windows) или параметр Use Windows Session credentials (Использовать учетные данные сессии Windows) в диалоговом окне Sign in в Altium Designer.
Altium Concord Pro поддерживает как стандартный протокол LDAP, так и LDAPS (LDAP через SSL).

На этой странице описан проверенный на практике подход, который был успешно использован для настройки LDAP-синхронизации. Попробуйте этот подход, когда будете настраивать синхронизацию в собственном домене.

Что необходимо?

  • Вход с правами администратора на Altium Concord Pro.
  • Не обязательная, но крайне полезная утилита – приложение под названием LDAP Admin (можно загрузить архив LdapAdminExe-<версия>.zip с сайта http://www.ldapadmin.org/)
Приложение LDAP Admin можно использовать для точного определения строк и синтаксиса опроса групп пользователей, необходимых для настройки задачи LDAP-синхронизации Altium Concord Pro.

Получение строки поиска LDAP (Уникальное имя)

При настройке задачи LDAP-синхронизации через веб-интерфейс Altium Concord Pro вам необходимо уникальное имя LDAP (Distinguished Name – DN), которое вводится в строковом формате. Это имя определяет базу объектов поиска LDAP. Чтобы получить эту строку, мы использовали утилиту LDAP Admin, поэтому сначала загрузите zip-архив и распакуйте исполняемый файл LdapAdmin.


Загрузите и распакуйте файл LdapAdmin.exe.

Запустите исполняемый файл LdapAdmin.exe от имени администратора – щелкните по нему ПКМ и выберите Run as administrator (Запустить от имени администратора).

Когда откроется панель LDAP Admin, выберите Start » Connect (Пуск » Соединение) – откроется диалоговое окно Connections (Соединения), затем дважды кликните по New connection (Новое соединение), чтобы открыть диалоговое окно Connection properties (Свойства соединения).


Создание нового соединения с помощью утилиты LDAP Admin.

На вкладке General (Главная) диалогового окна Connection properties настройте соединение в соответствии с вашим доменом. Пример:

  • Connection name (Имя соединения) – произвольное имя, которое будет использоваться для отображения соединения.
  • Host (Хост): testsite.com
  • Port (Порт): 389
Если вы настраиваете LDAPS (LDAP через SSL), укажите порт 636.
  • Base (База): DC=testsite, DC=com
  • Включите параметр GSS-API.
Если вы настраиваете LDAPS (LDAP через SSL), то также включите параметр SSL.
  • Account (Аккаунт): просто оставьте параметр Use current user credentials (Использовать учетные данные текущего пользователя).


Пример настройки соединения при использовании стандартного LDAP. При использовании LDAPS (LDAP через SSL) нужно изменить порт на 636 и включить параметр SSL.

После настройки свойств соединения нажмите кнопку Test connection (Проверить соединение). Если все настроено правильно, вы увидите сообщение Connection is successful (Соединение успешно установлено). Нажмите OK, чтобы завершить создание нового соединения.

Теперь вам необходимо определить строку для объекта базы поиска LDAP. Для этого:

  1. Выберите созданное соединение и нажмите OK в диалоговом окне Connections. Будет показана иерархия вашего домена сети и группы пользователей.
  2. Разверните дерево папок, пока не найдете папку с нужными пользователями.
  3. Щелкните ПКМ по этой папке и выберите из контекстного меню команду Search (Поиск). Откроется панель Search. Ключевой частью информации является строка, которой уже заполнено поле Path (Путь). Если читать эту строку слева направо, то она укажет путь к папке пользователей внутри структуры домена. В нашем примере предположим, что папка пользователей – Engineers, которая является дочерней по отношению к папке Users. В этом случае строка будет выглядеть так: OU=Engineers,OU=Users,DC=testsite,DC=com.
  4. Скопируйте и вставьте эту строку в текстовый файл для ее последующего использования при настройке. Либо просто оставьте панель Search доступной.

На этом этапе в утилите LDAP Admin больше нет необходимости.

Настройка Altium Concord Pro для использования LDAP-синхронизации

Теперь перейдем к Altium Concord Pro. Войдите в веб-интерфейс Altium Concord Pro как администратор. Если вы собираетесь создавать учетные данные пользователей автоматически посредством LDAP, скорее всего, вы захотите удалить учетные записи, созданные вручную. Поэтому лучше всего, если здесь будет только пользователь-администратор по умолчанию admin (на странице Users веб-интерфейса, в разделе Team).


Пример Altium Concord Pro только с пользователем по умолчанию admin.

Если вы хотите, чтобы созданные с помощью LDAP пользователи были назначены определенной роли, вы можете переключиться на вкладку Roles (Роли) и создать новую роль (например, Electrical Designers, Mechanical Designers, PCB Specialists и т.д.) и оставить ее пустой (не назначать участников). В этом примере будет использоваться роль по умолчанию Engineers, которая была создана при установке вместе с примером структуры сервера.

Теперь переключитесь на страницу LDAP Sync и нажмите кнопку , чтобы открыть окно ADD LDAP SYNC TASK.


Добавление новой задачи LDAP-синхронизации через веб-интерфейс Altium Concord Pro.

Введите следующую информацию (пример – на основе структуры домена, которая была использована в предыдущем разделе):

General (Главное)

  • Target Role (Целевая роль): Engineers
  • Distinguished Name (Уникальное имя): OU=Engineers,OU=Users,DC=testsite,DC=com
Эта строка взята из поля Path (Путь) панели Search (Поиск) из утилиты LDAP Admin, которая использовалась в предыдущем разделе.
  • Url (URL-адрес): LDAP://testsite.com:389
При настройке LDAPS (LDAP через SSL) в этом примере Url был бы: LDAPS://testsite.com:636.
  • Scope (Глубина поиска): sub
  • Attributes (Атрибуты): sAMAccountName
  • Filter (Фильтр) – оставьте это поле пустым, чтобы получить учетные записи всех пользователей из группы, определенной доменом (полем DN). Если эта область структуры домена в свою очередь содержит группу пользователей, вы можете взять только эту группу с помощью строки в этом поле.

Например, предположим, что в группе Engineers есть пользователи с правами администраторов (CN=Administrators). Чтобы указать лишь это подмножество пользователей, а не всех инженеров (в области OU=Engineers структуры домена), следует ввести строку, которая указывает именно на эту точку в структуре домена:

(&(objectClass=user)(memberof=CN=Administrators,OU=Engineers,OU=Users,DC=testsite,DC=com))

Хотя поле Filter можно оставить пустым, что вернет всех пользователей по пути из поля DN, делать это достаточно опасно. Этот путь может указывать на область в структуре домена, которая содержит большое количество пользователей, и из-за большой нагрузки на Altium Concord Pro и Active Directory работа всего предприятия может приостановиться. Лучше указать одну или несколько групп определенных пользователей с помощью фильтра. Для получения более подробной информации о запросах LDAP, которые можно использовать для указания определенных наборов пользователей, перейдите по следующим ссылкам:
  • Common LDAP Queries (Общие запросы LDAP) – информация по запросам по работе с пользователями. Эта страница является частью подробного руководства от Google, которое относится к синхронизации каталогов приложений Google, но оно может быть полезно при работе с LDAP.
  • LDAP Query Basics (Основы запросов LDAP)

Attribute Mapping (Отображение атрибутов)

  • First Name (Имя): givenName
  • Last Name (Фамилия): sn
  • Email: mail
  • User Name (Имя пользователя): sAMAccountName
  • Overwrite existing users (Перезаписывать существующих пользователей) – когда этот параметр включен, LDAP-синхронизация перезапишет пользователей, созданных вручную, теми, которые соответствуют запросу синхронизации, если имена пользователей совпадают.

Authentication (Аутентификация)

  • User Name (Имя пользователя): domain\<ваше_имя_пользователя> (например, testsite\jason.howie)
  • Password (Пароль): <ваш_пароль>
  • User authentication type (Тип аутентификации пользователей): Windows
  • Domain (Домен): testsite.com


Пример задачи LDAP-синхронизации, настроенной для стандартного LDAP. При использовании LDAPS (LDAP через SSL), в поле Url нужно ввести LDAPS://testsite.com:636.

По завершении всех настроек нажмите . Это запустит процесс синхронизации, который может занять несколько минут, поскольку обрабатывается введенная вами информация.

По завершении процесса перейдите на страницу Users, в списке которой появятся учетные записи всех пользователей, заданных параметром OU=<НазваниеГруппы> (см. пример на изображении ниже). Теперь пользователи смогут входить в Altium Concord Pro с помощью своих учетных данных Windows.

Чтобы войти в Altium Concord Pro с помощью своих учетных данных Windows, воспользуйтесь поддержкой аутентификации Windows в Altium Concord Pro – включите параметр Use Windows Session (веб-интерфейс) или Use Windows Session credentials (диалоговое окно Sign in в Altium Designer).
Дополнительные пользователи могут быть созданы вручную вне процесса LDAP-синхронизации. Таким образом, в одном списке могут быть как пользователи, созданные вручную, так и добавленные с помощью LDAP-синхронизации.


Пример учетных записей пользователей Altium Concord Pro, добавленных с помощью LDAP-синхронизации.

Обнаружили проблему в этом документе? Выделите область и нажмите Ctrl+Enter, чтобы оповестить нас.

Связаться с нами

Связаться с нашими Представительствами напрямую

Вы сообщаете о проблеме, связанной со следующим выделенным текстом
и/или изображением в активном документе:
Бесплатная пробная версия Altium Concord Pro

Заполните форму ниже, чтобы получить бесплатную пробную версию Altium Concord Pro