Общие сведения
Avanpost FAM обладает встроенной функциональностью LDAP-синхронизации и LDAP-аутентификации. В статье описывается настройка интеграции с Avanpost Directory Service (Avanpost DS) в качестве поставщика учётных данных и в качестве средства проверки паролей. Интеграция осуществляется посредством протокола LDAP.
Ознакомьтесь подробнее с функциональными возможностями продукта Avanpost DS на странице продукта.
Механизм интеграции Avanpost FAM с Avanpost DS посредством LDAP может применяться при решении следующих задач:
- Первичная загрузка данных о пользователях из домена Avanpost DS.
- Поддержка актуальности данных о пользователях при их изменении в домене Avanpost DS.
- Загрузка информации о членстве пользователей в группах в Avanpost DS.
- Проверка пароля в Avanpost DS при 2FA/MFA для корпоративных ресурсов.
- Проверка пароля в Avanpost DS при 2FA для серверов и компьютеров под управлением Windows и Linux.
Avanpost FAM поддерживает одновременную интеграцию с неограниченным количеством доменов, в качестве которых могут выступать несколько LDAP-каталогов как на базе Avanpost DS, так и на базе других служб каталогов (MS AD, FreeIPA, Avanpost DS и т.д.).
Системные требования для интеграции Avanpost FAM:
- Сервер с установленным Avanpost DS.
- Сервер Avanpost FAM 1.3+.
Настройка
Настройка на стороне Avanpost DS
Необходимо создать служебную УЗ с установленным паролем.
Также на стороне Avanpost DS необходимо зафиксировать значения параметров, которые потребуются для настройки
- Значение IP-адреса или DNS-имя сервера Avanpost DS;
- Значение порта LDAP-интерфейса сервера Avanpost DS;
- Значение Base Distinguished Name (Base DN).
Настройка на стороне Avanpost FAM
В разделе «Настройки LDAP-провайдеров» создать новый провайдер, указав следующие параметры:
Параметр Что указать Примеры значений Вкладка/шаг визарда «Подключение» Имя Произвольное имя LDAP-провайдера Avanpost DS
Группы по умолчанию Начать ввод имён групп (минимум три символа), которые должны быть выданы новым пользователям, создаваемым в результате LDAP-синхронизации Имя группы, созданной в Avanpost FAM: lk-client
Host IP-адрес или DNS имя контроллера домена Avanpost DS Пример IP-адреса:
10.10.17.91
,Пример имени контроллера домена:
ads.avanpost.demo
Port Порт подключения к LDAP-каталогу Без TLS:
38900
.С TLS:
636
.SSL Функция включения поддержки подключения к LDAP-каталогу по протоколу LDAPS BaseDN Объект каталога, начиная с которого производится поиск dc=ads,dc=demo Имя пользователя Имя служебной учетной записи в виде DN, используемая для импорта учетных записей, а также для проверки существования учетной записи в LDAP при попытке аутентифицироваться с использованием пароля от учетной записи в домене uid=ads_user1,ou=users,dc=ads,dc=demo Пароль Пароль от служебной учетной записи P@ssw0rd! Расписание запуска синхронизации (Cron с секундами)
5-ти символьный формат cron / 6-ти символьный формат quartz (с секундами) 0 30 12 * * *
Вкладка/шаг визарда «Интеграция» Фильтр поиска пользователей LDAP-фильтр для импорта пользователей (&(objectClass=krbPrincipal)(memberOf=cn=ADS_Users,ou=groups,dc=ads,dc=demo)) Фильтр поиска аутентифицируемого пользователя LDAP-фильтр для поиск пользователей, чей пароль будет проверен в Avanpost DS (&(objectClass=krbPrincipal)(uid=%v)) LDAP атрибут, содержащий логин пользователя Параметр, на основании которого будет сформирован логин в FAM . Атрибут пользователя username Внешний ключ учетной записи Уникальный ключ (атрибут пользователя) в Avanpost DS id Атрибут для связывания учетной записи из LDAP c учетной записью IDP Параметр для проверки уникальности учетной записи между Avanpost DS и FAM. Атрибут пользователя id Атрибут пользователя(или DN), перечисляемый в поле member группы LDAP Наименование атрибута пользователя, по которому будет производится поиск пользователей по группам. Например за факт наличия пользователей в группе отвечает атрибут группы memberUid, он в свою очередь является атрибутом uid у пользователя dn Импорт дополнительных атрибутов учетной записи Настройка импорт дополнительных атрибутов из AD в FAM Приложение B Фильтр поиска групп LDAP-фильтр для импорта групп. Если в данной настройке будут найдены пользователи из "Фильтр поиска пользователей", то их учетные записи автоматически попадут в эту группу в FAM (&(objectClass=posixGroup)(cn=ADS_Users)) Атрибут наименования группы Атрибут группы в Avanpost DS с наименование группы cn Атрибут описания группы Атрибут группы в Avanpost DS с описанием группы cn Атрибут со списком участников группы Атрибут группы в Avanpost DS со списком пользователей группы member - Убедиться, что провайдер находится в статусе «Active».
Проверка настройки
- Открыть журнал событий безопасности.
- Убедиться в наличии сообщений об успешно выполненной синхронизации с Avanpost DS.
Сценарии использования
Первичная загрузка/импорт пользователей из домена на базе Avanpost DS в Avanpost FAM
Система Avanpost FAM может выполнить первичную загрузку и создание пользователей, импортировав данные из домена Avanpost DS. Загрузка всех пользователей будет выполнена в результате первой синхронизации в соответствии с заданным расписанием.
После выполнения синхронизации в каталог Avanpost FAM будут автоматически добавлены пользователи, соответствующие заданному LDAP-фильтру. В качестве источника у таких пользователей автоматически будет указан соответствующий LDAP-каталог, а также будет зафиксирована дата и время создания пользователя.
Автоматическое создание пользователя в Avanpost FAM при его добавлении в домене Avanpost DS
При добавлении пользователей в Avanpost DS, подключенном к Avanpost FAM, система будет автоматически создавать пользователей, которые попадают под правила заданного LDAP-фильтра поиска пользователей.
Обновление атрибутов пользователя при их изменении в домене Avanpost DS
При изменении атрибутов пользователя в домене Avanpost DS, подключенном к Avanpost FAM, система будет автоматически обновлять значения атрибутов, которые настроены в правилах маппинга.
Аутентификация с проверкой пароля через LDAP BIND в домене Avanpost DS
Если пользователь найден в домене Avanpost DS, подключенном к Avanpost FAM, в соответствии с заданным фильтром поиска аутентифицируемого пользователя, то пароль проверяется в LDAP-каталоге. Иначе проверка пароля пользователя выполняется внутренними средствами Avanpost FAM.
Приложение А. Примеры LDAP-фильтров для выборки пользователей, синхронизируемых из Avanpost DS в Avanpost FAM
Выгрузка пользователей из нескольких групп:
|
Приложение Б. Примеры LDAP-фильтров для выборки групп, синхронизируемых из Avanpost DS в Avanpost FAM
Выгрузка нескольких групп:
|
Приложение В. Примеры импортируемых атрибутов пользователей при синхронизации из Avanpost DS в Avanpost FAM
Таблица с указанием наиболее часто импортируемых атрибутов пользователя в Avanpost DS:
Атрибут | Значение | Пример значения |
---|---|---|
displayName | ФИО | Петров Иван Сергеевич |
firstname | Фамилия | Петров |
lastname | Имя | Иван |
displayName | ФИО | Петров Иван Сергеевич |
email | petrovis@avanpost.ru | |
username | Имя входа пользователя | petrovIS |
dn | Уникальное имя (Distinguished Name) | uid=petrovis,OU=ИТ отдел,DC=open,DC=ldap |
id | Уникальный идентификатор ( GUID) | 212685e1-4b95-46e6-abfb-a37bf1d0d055 |
memberOf | Группы пользователя в виде DN | cn=ADS_VPNusers,ou=groups,dc=ads,dc=demo |
Исчерпывающий перечень доступных для загрузки атрибутов содержится в документации на Avanpost DS.