Настройка синхронизации LDAP

Created: августа 10, 2022 | Updated: августа 12, 2022 | Applies to version: 5.5

Вы просматриваете версию 5.5. Для самой новой информации, перейдите на страницу Настройка синхронизации LDAP для версии 8.0

Parent page: Расширенные темы

Чтобы упростить процесс подключения к корпоративным сетям и доступа к ним, Enterprise Server обеспечивает поддержку служб каталогов через свой браузерный интерфейс.

Это предоставляет синхронизацию доменных пользователей на основе Lightweight Directory Access Protocol (LDAP), который выполняет запрос к центральному LDAP‑серверу сети для получения информации о членстве доменных пользователей в группах и ролях. Аутентификация доменных пользователей через настроенные службы каталогов таким образом дает возможность единого входа для доступа ко всем корпоративным системам, включая Enterprise Server.

Синхронизация LDAP в Enterprise Server выполняет запросы к сетевым службам на основе ролей пользователей, при этом информация о членстве в ролях собирается для авторизации доступа пользователей Enterprise Server. Опрос членства в домене через службу LDAP (синхронизация) позволяет системе отреагировать на изменение конфигурации доменного пользователя в пределах цикла синхронизации.

Дополнительные сведения о принципах LDAP, возможностях и синтаксисе реализации см. в https://tools.ietf.org/html/rfc4510 и связанных страницах документации.

Синхронизация LDAP

Синхронизация LDAP позволяет администратору Workspace в Enterprise Server использовать существующие в сетевом домене учетные данные (имя пользователя и пароль), чтобы не создавать учетные записи пользователей вручную по одной на Users странице браузерного интерфейса Workspace. При корректной настройке Users страница будет автоматически заполняться учетными данными пользователей, и любой пользователь из списка сможет получить доступ к Workspace, используя свое обычное корпоративное имя пользователя и пароль.

При доступе к Workspace, чтобы использовать учетные данные входа Windows — пользуясь поддержкой Windows Authentication в Workspace — включите параметр Use Windows Session (в браузерном интерфейсе) или параметр Use Windows Session credentials (в диалоге Sign in в Altium Designer).

Enterprise Server поддерживает как Standard LDAP, так и LDAPS (LDAP через SSL).

В этой статье описан проверенный подход, который успешно применялся при настройке синхронизации LDAP в домене. Попробуйте этот подход при настройке синхронизации LDAP в вашем домене.

Что мне нужно?

Административный доступ к Workspace.
Дополнительно: крайне полезная утилита — приложение LDAP Admin (скачать LdapAdminExe-<version>.zip с https://sourceforge.net/projects/ldapadmin/ )

LDAP Adminможет использоваться для определения точных строк запросов к группам пользователей и синтаксиса, необходимых для настройки страницы LDAP в Workspace.

Получение строки поиска LDAP (Distinguished Name)

При настройке задачи синхронизации LDAP через браузерный интерфейс Workspace необходимо указать LDAP Distinguished Name (DN). Он вводится в виде строки и определяет базовый объект LDAP‑поиска. Чтобы получить эту строку, мы воспользуемся утилитой LDAP Admin, поэтому сначала убедитесь, что zip‑файл скачан, и извлеките из него исполняемый файл LdapAdmin.

Скачайте и распакуйте файл LdapAdmin.exe.

Запустите исполняемый файл LdapAdmin.exe от имени администратора (просто щелкните по нему правой кнопкой мыши и выберите Run as administrator).

Когда откроется панель LDAP Admin, выберите Start » Connect, чтобы открыть диалог Connections , затем дважды щелкните New connection, чтобы открыть диалог Connection properties.

Создание нового подключения в утилите LDAP Admin.

На вкладке General диалога Connection properties настройте параметры подключения в соответствии с вашим доменом; пример может быть таким:

Connection name: любое произвольное имя, которое будет использоваться для значка подключения.
Host: testsite.com
Port: 389

Если вы настраиваете LDAPS (LDAP over SSL), то порт должен быть 636.

Base: DC=testsite, DC=com
Включите параметр GSS-API.

Если вы настраиваете LDAPS (LDAP over SSL), то также нужно включить параметр SSL .

Account: просто оставьте параметр Use current user credentials включенным.

Пример настроенного подключения при использовании стандартного LDAP. Если используется LDAPS (LDAP over SSL), измените Port на 636 и включите параметр SSL.

После настройки свойств подключения нажмите кнопку Test connection. Если все задано правильно, вы увидите сообщение Connection is successful. Нажмите OK , чтобы завершить создание нового подключения.

Теперь нужно определить строку, которая указывает на базовый объект LDAP‑поиска. Для этого:

Выберите только что созданное подключение и нажмите OK в диалоге Connections — будет показана иерархия вашего сетевого домена и групп пользователей.
Разверните соответствующий путь папок, пока не дойдете до папки, содержащей нужных пользователей.
Щелкните правой кнопкой мыши по этой папке и выберите команду Search в контекстном меню. Откроется панель Search . Ключевая информация, которая вам нужна, — строка, уже заполненная в поле Path . Если читать слева направо, эта строка представляет путь к данной папке пользователей снизу вверх в структуре домена. В нашем примере предположим папку конкретных пользователей — Engineers — которая является дочерней по отношению к родительской папке — Users. В этом случае наша строка: OU=Engineers,OU=Users,DC=testsite,DC=com.
Скопируйте и вставьте эту строку в текстовый файл для дальнейшего использования в процессе настройки или, при желании, просто оставьте панель Search открытой.

На этом этапе утилита LDAP Admin больше не требуется для дальнейших шагов.

Настройка Workspace для использования синхронизации LDAP

Теперь войдите в целевой Workspace через его браузерный интерфейс как администратор. Если вы планируете автоматически создавать учетные данные пользователей из LDAP, то, вероятно, стоит удалить всех существующих пользователей, созданных вручную. Поэтому в идеале начните только с пользователя‑администратора по умолчанию — admin (на странице Admin - Users интерфейса).

Пример целевого Workspace только с пользователем‑администратором по умолчанию admin.

Если вы хотите, чтобы пользователи из синхронизации LDAP были связаны с определенной ролью, можно перейти на страницу Roles и создать новую роль по необходимости (например, Electrical Designers, Mechanical Designers, PCB Specialists и т. д.), оставив ее без пользователей. В примере здесь используется роль по умолчанию из установленных демонстрационных данных, которая называется Engineers.

Теперь перейдите на страницу LDAP Sync и нажмите кнопку (или ссылку Create a new one в данном случае), чтобы открыть окно LDAP Sync Creation.

Добавление новой задачи синхронизации LDAP через браузерный интерфейс Workspace.

Заполните следующую информацию (на основе примерной структуры домена из предыдущего раздела):

Общие

Target Role: Engineers
Distinguished Name: OU=Engineers,OU=Users,DC=testsite,DC=com

Это строка, полученная из поля Path панели Search при использовании утилиты LDAP Admin в предыдущем разделе.
Url: LDAP://testsite.com:389

Если настраивается LDAPS (LDAP over SSL), то Url в этом примере будет: LDAPS://testsite.com:636.
Scope: sub
Attributes: sAMAccountName
Filter: оставьте это поле пустым, чтобы получить всех пользователей из указанной группы, определенной в домене (в поле DN ). Если выбранная область структуры домена содержит дополнительные группировки пользователей, можно извлечь только подмножество этих пользователей, указав здесь подходящую строку фильтрации.

Например, представим, что под группой Engineers была отдельная группа пользователей, которым назначены административные права (CN=Administrators). Чтобы выбрать только эту группу пользователей, а не всех Engineers (в области структуры домена OU=Engineers), можно написать строку запроса, нацеленную на эту точку в структуре домена:

(&(objectClass=user)(memberof=CN=Administrators,OU=Engineers,OU=Users,DC=testsite,DC=com))

Хотя поле Filter можно оставить пустым, возвращая всех пользователей по пути, заданному полем DN , это может быть довольно опасно. Этот путь может указывать на область структуры домена с огромным количеством пользователей и способен «положить» всю организацию из‑за чрезмерной нагрузки на Enterprise Server и Active Directory. Действительно лучше нацеливаться на один или несколько наборов конкретных пользователей, используя специализированную фильтрацию.

Сопоставление атрибутов

First Name: givenName
Last Name: sn
Email: mail
User Name: sAMAccountName
Overwrite existing users – если включено, синхронизация LDAP будет переопределять пользователей, созданных вручную, пользователями, возвращенными запросом синхронизации, при условии, что имена пользователей совпадают полностью.

Аутентификация

User Name: domain\<your username> (например, testsite\jason.howie)
Password: <your password>
User authentication type: Windows
Domain: testsite.com

Пример задачи синхронизации LDAP, настроенной со всей необходимой информацией при использовании стандартного LDAP. Если используется LDAPS (LDAP over SSL), значение Url будет изменено на LDAPS://testsite.com:636.

После завершения ввода всех параметров нажмите . Это запустит процесс синхронизации, который может занять минуту‑две, пока обрабатываются введенные вами данные.

Теперь откройте страницу Users . Этот список должен быть заполнен всеми пользователями, определенными параметром OU=<GroupName> (см. пример изображения ниже). Теперь любой сможет получить доступ к Workspace, используя свой обычный вход Windows.

Обратите внимание: дополнительных пользователей можно добавлять вручную вне группы синхронизации LDAP — то есть действительно можно иметь смесь пользователей, созданных вручную, и пользователей, заданных LDAP (созданных автоматически).

Пример заполнения списка пользователей для Workspace с использованием синхронизации LDAP.

Версия для печати

Локализовано с помощью ИИ

Если вы обнаружили проблему, выделите текст/изображение и нажмитеCtrl + Enter, чтобы отправить нам свой отзыв.