Общие сведения

Avanpost FAM обладает встроенной функциональностью LDAP-синхронизации и LDAP-аутентификации . В статье описывается настройка интеграции с FreeIPA в качестве поставщика учётных данных и в качестве средства проверки паролей. Интеграция осуществляется посредством протокола LDAP.

Механизм интеграции Avanpost FAM с FreeIPA посредством LDAP может применяться при решении следующих задач:

Avanpost FAM поддерживает одновременную интеграцию с неограниченным количеством доменов , в качестве которых могут выступать несколько LDAP-каталогов как на базе FreeIPA, так и на базе других служб каталогов ( MS AD , Avanpost DS и т.д.).

Системные требования для интеграции Avanpost FAM:

  • Сервер с установленным FreeIPA.
  • Сервер Avanpost FAM 1.3+.

Настройка

Настройка на стороне FreeIPA

Необходимо создать служебную УЗ с установленным паролем .

Также на стороне FreeIPA необходимо зафиксировать значения параметров, которые потребуются для настройки

  • Значение IP-адреса или DNS-имя сервера FreeIPA;
  • Значение порта LDAP-интерфейса сервера FreeIPA;
  • Значение Base Distinguished Name (Base DN).

Настройка на стороне Avanpost FAM

  1. В разделе «Настройки LDAP-провайдеров» создать новый провайдер, указав следующие параметры:

    Параметр Что указать Примеры значений
    Вкладка/шаг визарда «Подключение»
    Имя Произвольное имя LDAP-провайдера FreeIPA
    Группы по умолчанию Начать ввод имён групп, которые должны быть выданы новым пользователям, создаваемым в результате LDAP-синхронизации Имя группы, созданной в Avanpost FAM: lk-client
    Host IP-адрес или DNS имя контроллера домена FreeIPA

    Пример IP-адреса: 10.10.17.91 ,

    Пример имени контроллера домена: freeipa.avanpost.demo

    Port Порт подключения к LDAP-каталогу

    Без TLS: 389 .

    С TLS: 636 .

    SSL Функция включения поддержки подключения к LDAP-каталогу по протоколу LDAPS
    BaseDN Объект каталога, начиная с которого производится поиск dc=free,dc=ipa
    Имя пользователя Имя служебной учетной записи в виде DN, используемая для импорта учетных записей, а также для проверки существования учетной записи в LDAP при попытке аутентифицироваться с использованием пароля от учетной записи в домене uid=ldapauth,cn=users,cn=accounts,dc=free,dc=ipa
    Пароль Пароль от служебной учетной записи P@ssw0rd!

    Расписание запуска синхронизации (Cron с секундами)

    5-ти символьный формат cron  / 6-ти символьный формат quartz ( с секундами ) 0 30 12 * * *
    Вкладка/шаг визарда «Интеграция»
    Фильтр поиска пользователей LDAP-фильтр для импорта пользователей (&(objectClass=posixAccount)(ou:dn:=Users))
    Фильтр поиска аутентифицируемого пользователя LDAP-фильтр для поиск пользователей, чей пароль будет проверен в FreeIPA (&(objectClass=posixAccount)(uid=%v))
    LDAP атрибут, содержащий логин пользователя Параметр, на основании которого будет сформирован логин в FAM. Атрибут пользователя uid
    Внешний ключ учетной записи Уникальный ключ (атрибут пользователя) в FreeIPA uidNumber
    Атрибут для связывания учетной записи из LDAP c учетной записью IDP Параметр для проверки уникальности учетной записи  между FreeIPA и FAM. Атрибут пользователя uidNumber
    Атрибут пользователя(или DN), перечисляемый в поле member группы LDAP Наименование атрибута пользователя, по которому будет производится поиск пользователей по группам. Например за факт наличия пользователей в группе отвечает атрибут группы memberUid , он в свою очередь является атрибутом uid у пользователя DN
    Импорт дополнительных атрибутов учетной записи Настройка импорт дополнительных атрибутов из AD в FAM Приложение B
    Фильтр поиска групп LDAP-фильтр для импорта групп. Если в  данной настройке будут найдены пользователи из " Фильтр поиска пользователей", то их учетные записи автоматически попадут в эту группу в FAM (&(objectClass=ipausergroup)(cn=FreeIPA_FAMusers))
    Атрибут наименования группы Атрибут группы в FreeIPA с наименование группы cn
    Атрибут описания группы Атрибут группы в FreeIPA с описанием группы description
    Атрибут со списком участников группы Атрибут группы в FreeIPA со списком пользователей группы member
  2. Убедиться, что провайдер находится в статусе «Active».

Проверка настройки

  1. Открыть журнал событий безопасности.
  2. Убедиться в наличии сообщений об успешно выполненной синхронизации с FreeIPA.

Сценарии использования

Первичная загрузка/импорт пользователей из домена на базе FreeIPA в Avanpost FAM

Система Avanpost FAM может выполнить первичную загрузку и создание пользователей, импортировав данные из домена FreeIPA. Загрузка всех пользователей будет выполнена в результате первой синхронизации в соответствии с заданным расписанием.

После выполнения синхронизации в каталог Avanpost FAM будут автоматически добавлены пользователи, соответствующие заданному LDAP-фильтру. В качестве источника у таких пользователей автоматически будет указан соответствующий LDAP-каталог, а также будет зафиксирована дата и время создания пользователя.

Автоматическое создание пользователя в Avanpost FAM при его добавлении в домене FreeIPA

При добавлении пользователей в FreeIPA, подключенном к Avanpost FAM, система будет автоматически создавать пользователей, которые попадают под правила заданного LDAP-фильтра поиска пользователей.

Обновление атрибутов пользователя при их изменении в домене FreeIPA

При изменении атрибутов пользователя в домене FreeIPA, подключенном к Avanpost FAM, система будет автоматически обновлять значения атрибутов, которые настроены в правилах маппинга.

Аутентификация с проверкой пароля через LDAP BIND в домене FreeIPA

Если пользователь найден в домене FreeIPA, подключенном к Avanpost FAM, в соответствии с заданным фильтром поиска аутентифицируемого пользователя, то пароль проверяется в LDAP-каталоге. Иначе проверка пароля пользователя выполняется внутренними средствами Avanpost FAM.

Приложение А. Примеры LDAP-фильтров для выборки пользователей, синхронизируемых из FreeIPA в Avanpost FAM

Выгрузка пользователей из нескольких групп и OU:

(&(objectClass=posixAccount)(|(ou:dn:=Users)(ou:dn:=Extension)(memberOf=cn=FreeIPA_VPNUsers,cn=groups,cn=accounts,dc=free,dc=ipa)))

Приложение Б. Примеры LDAP-фильтров для выборки групп, синхронизируемых из FreeIPA в Avanpost FAM

Выгрузка нескольких групп:

(&(objectClass=posixGroup)(|(cn=FreeIPA_FAMusers)(cn=FreeIPA_VPNUsers)))

Приложение В. Примеры импортируемых атрибутов пользователей при синхронизации из FreeIPA в Avanpost FAM

Таблица с указанием наиболее часто импортируемых атрибутов пользователя в FreeIPA:

Атрибут

Значение

Пример значения

displayName ФИО Петров Иван Сергеевич
givenName Имя Иван
sn Фамилия Петров
displayName ФИО Петров Иван Сергеевич
mail E-mail petrovis@avanpost.ru
uid Имя входа пользователя petrovIS
o Наименование организации Аванпост
DN Уникальное имя (Distinguished Name) uid=petrovis,OU=ИТ отдел,DC=open,DC=ldap

Исчерпывающий перечень доступных для загрузки атрибутов содержится в документации на FreeIPA.