Настройка интеграции со службой каталогов

<< Click to Display Table of Contents >>

Настройка интеграции со службой каталогов

Настройка интеграции со службой каталогов выполняется в конфигурационном файле Ascon.Common.Web.Server.config. В этом файле в разделе Integration находится секция Ldap, содержащая элементы, с помощью которых указываются параметры подключения к службе каталогов и правила импорта через LDAP. Описание этих элементов, а также правила заполнения значений приведены в таблице ниже. 

 

Название элемента

Описание

Значение элемента

ControllerHost

Имя контроллера домена, по которому он доступен в сети.

Тип значения — string.
Имя сервера необходимо задавать без указания домена. Не рекомендуется указывать IP-адрес вместо имени домена, так как результат может быть неопределенным.

DomainName

Имя домена, которым управляет контроллер.

Тип значения — string. Например, значение может быть следующего вида: dc-01.dom.local.


Login

Учетная запись, от имени которой выполняется подключение к серверу.

Значение элемента Login может отличаться в зависимости от типа службы каталогов:

Для служб AD, Samba, Alt Domain значение указывается в следующем виде:
Login@DomainName

Для служб Ald, FreeIPA значение указывается в следующем виде:
uid=user,cn=users,cn=accounts,dc=ald,dc=pro

Password

Пароль пользователя, от имени которого происходит подключение к серверу LDAP.

Тип значения — string.

AuthenticationType

Способ аутентификации в домене.

Данный параметр используется, если ОСА работает на ОС Windows.

Тип значения — целое число в диапазоне от 1 до 9.

0 Anonymous — подключение должно быть установлено без передачи учетных данных. Значение 0 не используется, так как оно несовместимо с использованием пары логин-пароль.

1 Basic — для подключения следует использовать базовую аутентификацию.

2 Negotiate — для подключения следует использовать аутентификацию Microsoft Negotiate.

3 Ntlm — для подключения следует использовать аутентификацию Windows NT Challenge/Response (NTLM).

4 Digest — для соединения следует использовать дайджест-аутентификацию.

5 Sicily — для выбора MSN, DPA или NTLM будет использоваться механизм согласования (Sicily). Следует использовать только для серверов LDAPv2.

6 Dpa — для подключения следует использовать распределенную аутентификацию по паролю (DPA).

7 Msn — аутентификация выполнена службой сетевой аутентификации Microsoft.

8 External — для аутентификации соединения будет использоваться внешний метод.

9 Kerberos — для подключения следует использовать аутентификацию Kerberos.

DomainType

Тип домена.

Допустимые значения: AD, Samba, Alt, Ald, Red.

Ssl

Группа элементов, управляющих шифрованием подключения. Позволяет включить/отключить настройки шифрованного соединения с использованием сертификатов.

Enabled

Определяет, включено ли безопасное соединение. Если значение true — соединение шифруется.

Возможные значения: true, false.

UseTls

Определяет, нужно ли использовать протокол TLS.

Если значение true, то сервер получает команду STARTTLS и LDAP‑соединение становится зашифрованным в рамках того же порта (389).
Если сервер не поддерживает TLS, соединение прервется.

Данный параметр используется, если ОСА работает на ОС‑Linux.

Возможные значения: true, false.

CertificateProcessingMethod

Метод обработки сертификата, полученного от домена. Указывает, как проверять SSL‑сертификат в зависимости от заданного значения.

Тип значения — целое число в диапазоне от 0 до 2.

0 Default — обработка зависит от параметров системы.

1 CompareWithLocal — полученный сертификат сравнивается с указанным в настройках.

2 AlwaysTrust — всегда доверять полученному сертификату.

CertificatePath

Путь к локальному файлу сертификата (если используется привязка к конкретному сертификату).

Используется, если значение элемента CertificateProcessingMethod = 1.

UsersAttributes

Группа элементов позволяет задать правила сопоставления атрибутов пользователей при интеграции со службой каталогов.

Name

Имя атрибута в службе каталогов.

Тип значения — string.

Если атрибута с таким именем не существует, то значение принимается равным пустой строке.

DestinationName

Наименование поля в системе ОСА, куда будет импортировано значение атрибута, указанного в поле Name.

Допустимые значения: ExternalId, Login, FirstName, MiddleName, LastName, Description, Email, Phone

TransformationRule

Правило преобразования атрибутов.

Регулярное выражение, которое будет применено к импортируемому значению атрибута. Если преобразование атрибутов не нужно, то значение элемента указывается как пустая строка.

ValueType

Тип данных атрибута.

Допустимые значения: string, guid.
sec_closeПример настройки правил импорта

...

   {

     "Name": "objectguid",

     "DestinationName": "ExternalId",

     "TransformationRule": "",

     "ValueType": "guid"

   },

   {

     "Name": "userPrincipalName",

     "DestinationName": "Login",

     "TransformationRule": "",

     "ValueType": "string"

   },

   {

     "Name": "sn",

     "DestinationName": "FirstName",

     "TransformationRule": "(?<=^\\S+\\s+)\\S+",

     "ValueType": "string"

   },

   {

     "Name": "sn",

     "DestinationName": "MiddleName",

     "TransformationRule": "(?<=^\\S+\\s+\\S+\\s+)\\S+",

     "ValueType": "string"

   },

   {

     "Name": "sn",

     "DestinationName": "LastName",

     "TransformationRule": "^\\w+",

     "ValueType": "string"

   },

...

Расшифровка настройки, указанной в приведенном примере:

1.Значения атрибута objectguid с типом данных guid импортируется из службы каталогов и записывается в поле ExternalId без изменений.

2.Значение атрибута userPrincipalName с типом данных string импортируется из службы каталогов и записывается в поле Login без изменений.

3.Значение атрибута sn с типом данных string при импорте из службы каталогов преобразуется через регулярное выражение (?<=^\\S+\\s+)\\S+ (получить второе слово с строке) и записывается в поле FirstName.

4.Значение атрибута sn с типом данных string при импорте из службы каталогов преобразуется через регулярное выражение (?<=^\\S+\\s+\\S+\\s+)\\S+ (получить третье слово в строке) и записывается в поле MiddleName.

5.Значение атрибута sn с типом данных string при импорте из службы каталогов преобразуется через регулярное выражение ^\\w+ (получить первое слово в строке) и записывается в поле LastName.

note

При настройке правил импорта убедитесь, что в учетных записях заполнен атрибут, сопоставляемый с полем Login. Записи с незаполненным атрибутом не импортируются.

В большинстве случаев для заполнения поля Login используется атрибут userPrincipalName службы каталогов, как приведено в примере:

        {

     "Name": "userPrincipalName",

     "DestinationName": "Login",

     "TransformationRule": "",

     "ValueType": "string"

   }

note

При настройке правил импорта необходимо указывать имена атрибутов в соответствии со схемой выбранной службы каталогов, так как атрибуты записей о пользователях в разных каталогах могут иметь разные имена или отсутствовать.

Например, для указания уникального имени пользователя (или логина) в правилах импорта используются разные атрибуты в зависимости от службы каталогов:

в MS Active Directory — атрибут userPrincipalName;

в FreeIPA — атрибут krbPrincipalName;

в ALD Pro — атрибут uid и т.д.