Перейти к содержанию

Службы каталогов

Информация

В разделе Безопасность - Службы каталогов основного меню производится настройка интеграции с сервером службы каталогов по Lightweight Directory Access Protocol (LDAP). Данная интеграция позволяет авторизовать в системе управления ECP VeiL пользователей из Active Directory (далее MS AD), FreeIPA, OpenLdap, ALD. После успешной аутентификации пользователь в системе управления ECP VeiL будет создан автоматически. Пароль пользователя хранится только на сервере службы каталогов, т.е. такой пользователь и в дальнейшем проходит аутентификацию только через сервер LDAP.

Создание

Создание записи службы каталогов производится с помощью кнопки Добавить. В открывшемся окне необходимо заполнить следующие поля:

  • название службы каталогов;

  • имя домена;

  • адрес службы каталогов URL (LDAP или LDAPS);

  • тип службы каталогов (выбор из раскрывающегося списка). Может принимать значения: Active Directory, FreeIPA, OpenLDAP, ALD;

  • пользователь (имя администратора);

  • пароль администратора;

  • возможность проверки соединения;

  • роль по умолчанию;

  • описание.

После заполнения полей необходимо подтвердить операцию, нажав кнопку ОК.

В окне службы каталогов существует возможность поиска каталога по имени. Для этого в верхней строчке окна в поле Найти image необходимо ввести название искомого каталога и нажать кнопку image.

После первоначальной настройки службы AD, FreeIPA, OpenLdap, ALD авторизуют пользователей как внешнее хранилище учётных записей LDAP. Предоставляется возможность сопоставлять роли пользователей AD, FreeIPA, OpenLdap, ALD с уровнем доступа в систему управления (администратор или оператор). Для авторизации пользователем домена Windows, Linux в окне ввода имени пользователя и пароля необходимо перевести переключатель авторизации в LDAP.

Интеграцию с MS AD можно расширить, применив настройки Kerberos (keytabs) и указав учётную запись пользователя, авторизованного для проверки учетных данных с контроллера системы управления. При правильном применении настроек появится возможность использования функционала SSO при авторизации пользователей домена MS AD.

Для MS AD также поддерживается работа со связными (доверенными) серверами.

В системе управления реализован автоматический повтор аутентификации при получении соответствующего ответа во время сильной загрузки сервера службы каталогов.

При нажатии на название службы каталогов в открывшемся окне содержатся сведения о ней, разделенные на следующие группы:

  • информация;

  • соответствия;

  • keytabs;

  • события.

SSO

Также существует возможность обновления информации, изменения конфигурации SSO и удаления службы.

При нажатии кнопки Конфигурация SSO в открывшемся окне необходимо заполнить следующие поля:

  • включить или выключить режим SSO;

  • субдомен;

  • admin_server;

  • kds_urls.

После заполнения полей необходимо подтвердить операцию, нажав кнопку Сохранить.

Информация

Во вкладке Информация содержатся следующие сведения:

  • название службы (редактируемый параметр);

  • описание службы (редактируемый параметр);

  • имя домена (редактируемый параметр);

  • тип службы (редактируемый параметр);

  • URL службы (редактируемый параметр, записывается в формате ldap://xxx.xxx.xxx.xxx) (редактируемый параметр);

  • пользователь (редактируемый параметр);

  • пароль (редактируемый параметр);

  • роль по умолчанию (редактируемый параметр, по умолчанию - Read Only);

  • дата и время создания службы;

  • дата изменения;

  • проверка соединения.

Соответствия

Для авторизации пользователей система ECP VeiL использует роли. На сервере LDAP может быть отличная организация пользователей - организационные единицы, группы и тд. С помощью Соответствий система понимает какую роль получит пользователь, прошедший LDAP аутентификацию. При отсутствии подходящих Соответствий пользователь получит роль по умолчанию, если она выбрана (без роли вход невозможен). Может быть применено только одно Соответствие с наивысшим приоритетом из подходящих. Приоритет соответствия является суммой приоритетов его ролей.

Пример

Учетная запись ivanov.i на сервере LDAP состоит в группах Инженер и Офис. В системе ECP VeiL созданы два соответствия типа GROUP. Соответствие 1 - Инженер получает роль Администратор, приоритет 1000. Соответствие 2 - Офис получает роль Оператор ВМ, приоритет 100. После успешной аутентификации пользователь ivanov.i получит роль Администратор.

Во вкладке Соответствия содержится таблица соответствий, возможность обновления, добавления соответствия, а также его удаления.

Для добавления соответствия необходимо нажать кнопку Добавить соответствия и в открывшемся окне заполнить следующие поля:

  • название соответствия;

  • роли пользователей (выбор из раскрывающегося списка);

  • тип атрибута службы каталогов (выбор из раскрывающегося списка). Может принимать значения USER, OU, GROUP;

  • значение атрибутов службы каталогов (выбор из раскрывающегося списка);

  • описание соответствия.

После заполнения полей необходимо подтвердить операцию, нажав кнопку Добавить.

Пример создания соответствия для групп службы каталогов и ролей ECP VeiL:

image.

Пример создания соответствия для пользователей службы каталогов и ролей ECP VeiL:

image.

Пример создания соответствия организационной единицы службы каталогов и ролей ECP VeiL:

image.

Keytabs

Во вкладке Keytabs существует возможность обновления, а также загрузки файлов. При нажатии кнопки Загрузить будет открыто стандартное окно загрузки файлов.

События

Во вкладке События присутствуют все события, зарегистрированные в системе, возникающие при работе служб каталогов с возможностью их сортировки по признакам - По всем типам, Ошибки, Предупреждения, Информационные. Также имеется возможность отображения только непрочитанных сообщений.

Back to top