База знаний FAM/MFA+ : Настройка LDAP с Microsoft Active Directory (MS AD) в качестве источника пользователей

Общие сведения

Avanpost FAM обладает встроенной функциональностью LDAP-синхронизации и LDAP-аутентификации . В статье описывается настройка интеграции с Microsoft Active Directory в качестве поставщика информации о пользователях, членстве пользователей в группах и в качестве средства проверки паролей. Интеграция осуществляется посредством протокола LDAP.

Механизм интеграции Avanpost FAM с MS AD посредством LDAP может применяться при решении следующих задач:

  1. Первичная загрузка данных о пользователях из домена MS AD.
  2. Поддержка актуальности данных о пользователях при их изменении в домене MS AD.
  3. Загрузка информации о членстве пользователей в группах в MS AD.
  4. Проверка пароля в MS AD при 2FA/MFA для корпоративных ресурсов .
  5. Проверка пароля в MS AD при 2FA для серверов и компьютеров под управлением Windows и Linux .

Avanpost FAM поддерживает одновременную интеграцию с несколькими доменами, в качестве которых могут выступать экземпляры MS AD и другие LDAP-каталоги ( OpenLDAP , FreeIPA , Avanpost DS и т.д.).

Системные требования для интеграции Avanpost FAM:

  1. Сервер Microsoft Active Directory на базе Microsoft Windows Server 2012R2, Microsoft Windows Server 2016, Microsoft Windows Server 2019, Microsoft Windows Server 2022.
  2. Сервер Avanpost FAM 1.3+.

Настройка

Настройка на стороне Microsoft Active Directory

  1. Создать служебную УЗ c полномочиями Domain Users.
  2. Убедиться, что открыт LDAP-интерфейс.
  3. На стороне MS AD получить значения параметров, которые далее будут использованы для настройки на стороне Avanpost FAM.
    • значение IP-адреса или DNS-имя сервера MS AD;
    • значение порта LDAP-интерфейса сервера MS AD;
    • значение Base Distinguished Name (Base DN).
    • логин и пароль служебной УЗ в MS AD.

Настройка на стороне Avanpost FAM

  1. В разделе «Настройки LDAP-провайдеров» создать новый провайдер.

  2. На вкладке/шаге визарда создания нового LDAP-провайдера «Подключение» указать значения параметров:

    Параметр Что указать Примеры значений
    Вкладка/шаг визарда «Подключение»
    Имя Произвольное имя LDAP-провайдера. AD
    Группы по умолчанию Начать ввод имён групп, которые должны быть выданы новым пользователям, создаваемым в результате LDAP-синхронизации. Выбрать нужную группу. Имя группы, созданной в Avanpost FAM: lk-client
    Host IP-адрес или DNS имя контроллера домена.

    Пример IP-адреса: 10.10.17.91 ,

    Пример имени контроллера домена: dc-ad.avanpost.demo

    Port Порт подключения к LDAP-каталогу.

    Без TLS (LDAP): 389 .

    С TLS (LDAPS): 636 .

    SSL Функция включения поддержки подключения к LDAP-каталогу по протоколу LDAPS с TLS-шифрованием.

    Включено или выключено; рекомендуется использовать TLS

    BaseDN Объект каталога, с которого производится поиск. dc=avanpost,dc=demo
    Имя пользователя Имя служебной УЗ в виде DN, используемая для импорта УЗ и для проверки существования УЗ в LDAP-каталоге при попытке аутентифицироваться с использованием пароля от УЗ в домене. cn=famuser,ou=special,dc=avanpost,dc=demo
    Пароль Пароль от служебной УЗ. P@ssw0rd!

    Расписание запуска синхронизации (Cron с секундами)

    5-ти символьный формат cron  / 6-ти символьный формат quartz ( с секундами ). 0 30 12 * * *
  3. На вкладке/шаге визарда «Интеграция» в секции «Настройка импорта пользователей» указать значения параметров:

    Параметр Что указать Примеры значений
    Вкладка/шаг визарда «Интеграция», раздел «Настройки импорта пользователей»
    Фильтр поиска пользователей LDAP-фильтр для импорта пользователей. (&(objectClass=user)(objectCategory=person)(memberof=cn=VPN,OU=FAM,DC=avanpost,DC=demo))
    Фильтр поиска аутентифицируемого пользователя

    LDAP-фильтр для поиска пользователей, проверка пароля которых будет выполняться в MS AD.

    Чтобы для пользователей из этого домена MS AD проверка пароля выполнялась в LDAP-каталоге, то необходимо указать значение LDAP-фильтра. Иначе можно оставить пустое значение параметра.

    (&(objectClass=user)(samAccountName=%s))
    LDAP атрибут, содержащий логин пользователя Параметр, на основании которого будет сформирован логин в Avanpost FAM. Для MS AD обычно используется sAMAccountName . sAMAccountName
    Внешний ключ УЗ Уникальный ключ (атрибут пользователя) в MS AD

    objectSid


    Не рекомендуется использовать атрибут DN в качестве внешнего ключа УЗ.

    Атрибут для связывания УЗ из LDAP c УЗ IDP Параметр для проверки уникальности учетной записи в MS AD. userPrincipalName
    Атрибут пользователя (или DN), перечисляемый в поле member группы LDAP Наименование атрибута пользователя, по которому будет производится поиск пользователей по группам. DN
    Импорт дополнительных атрибутов УЗ Маппинг импорта дополнительных атрибутов из AD в FAM Приложение В
  4. На вкладке/шаге визарда «Интеграция» в секции «Настройка импорта групп» указать значения параметров:

    Параметр Что указать Примеры значений
    Вкладка/шаг визарда «Интеграция», раздел «Настройки импорта групп»
    Фильтр поиска групп LDAP-фильтр для импорта групп. Если в  данной настройке будут найдены пользователи из « Фильтр поиска пользователей», то их учетные записи автоматически попадут в эту группу в FAM (&(objectClass=group)(cn=VPN))
    Атрибут наименования группы Атрибут AD с наименование группы cn
    Атрибут описания группы Атрибут AD с описанием группы description
    Атрибут со списком участников группы Атрибут AD со списком пользователей группы member
  5. Убедиться, что провайдер находится в статусе «Active».

Пример настроенной вкладки «Подключение» при подключении к Microsoft Active Directory:

Пример настроенной вкладки «Интеграция» в секции настройки импорта пользователей при подключении к Microsoft Active Directory:

Пример настроенной вкладки «Интеграция» в секции настройки импорта групп при подключении к Microsoft Active Directory:

Проверка настройки

  1. Открыть журнал событий безопасности.
  2. Убедиться в наличии сообщений.

Сценарии использования

Первичная загрузка/импорт пользователей из домена на базе Microsoft Active Directory в Avanpost FAM

Система Avanpost FAM может выполнить первичную загрузку и создание пользователей, импортировав данные из домена Microsoft Active Directory. Загрузка всех пользователей будет выполнена в результате первой синхронизации в соответствии с заданным расписанием.

После выполнения синхронизации в каталог Avanpost FAM будут автоматически добавлены пользователи, соответствующие заданному LDAP-фильтру. В качестве источника у таких пользователей автоматически будет указан соответствующий LDAP-каталог, а также будет зафиксирована дата и время создания пользователя.

Автоматическое создание пользователя в Avanpost FAM при его добавлении в домене Microsoft Active Directory

При добавлении пользователей в Microsoft Active Directory, подключенном к Avanpost FAM, система будет автоматически создавать пользователей, которые попадают под правила заданного LDAP-фильтра поиска пользователей.

Обновление атрибутов пользователя при их изменении в домене Microsoft Active Directory

При изменении атрибутов пользователя в домене Microsoft Active Directory, подключенном к Avanpost FAM, система будет автоматически обновлять значения атрибутов, которые настроены в правилах маппинга.

Аутентификация с проверкой пароля через LDAP BIND в домене Microsoft Active Directory

Если пользователь найден в домене Microsoft Active Directory, подключенном к Avanpost FAM, в соответствии с заданным фильтром поиска аутентифицируемого пользователя, то пароль проверяется в LDAP-каталоге. Иначе проверка пароля пользователя выполняется внутренними средствами Avanpost FAM.

Приложение А. Примеры LDAP-фильтров для выборки пользователей, синхронизируемых из MS AD в Avanpost FAM

Пример LDAP-фильтра для выгрузки пользователей из нескольких групп:

(&(objectClass=user)(objectCategory=person)(|(memberof=cn=VPN,OU=FAM,DC=avanpost,DC=demo)(memberof=cn=Servicedesk,OU=FAM,DC=avanpost,DC=demo)(memberof=cn=1C,OU=FAM,DC=avanpost,DC=demo)))

Приложение Б. Примеры LDAP-фильтров для выборки групп, синхронизируемых из MS AD в Avanpost FAM

Пример LDAP-фильтра для выгрузки нескольких определённых групп:

(&(objectClass=group)(|(cn=1C)(cn=VPN)(cn=Servicedesk)))

Приложение В. Примеры импортируемых атрибутов пользователей при синхронизации из MS AD в Avanpost FAM

Таблица с указанием наиболее часто импортируемых атрибутов пользователя в MS AD:

Атрибут Значение Пример значения
name ФИО Петров Иван Сергеевич
givenName Имя Иван
sn Фамилия Петров
displayName ФИО Петров Иван Сергеевич
mail E-mail (атрибут E-mail-Addresses); загружается в основной атрибут номера телефона petrovis@avanpost.ru
sAMAccountName Имя входа пользователя petrovIS
userPrincipalName Имя входа пользователя petrovis@avanpost.ru
CN Общее имя (Common Name) Петров Иван Сергеевич
OU Подразделение (Organizational Unit) ИТ отдел
DN Уникальное имя (Distinguished Name) CN=Петров Иван Сергеевич,OU=ИТ отдел,DC=avanpost,DC=ru
mobile Мобильный номер телефона (атрибут Mobile в Microsoft Outlook); загружается в основной атрибут номера телефона Значение номера телефона в сохранённом формате
telephoneNumber Рабочий номер телефона (атрибут Business в Microsoft Outlook) Значение номера телефона в сохранённом формате

Исчерпывающий перечень доступных для загрузки атрибутов содержится в документации на Microsoft Active Directory.