Avanpost FAM/MFA+ : 5.5.1. Управление LDAP-источниками

Общие сведения

Система может использовать корпоративный каталог Microsoft Active Directory (MS AD) или любую другую LDAP-систему (FreeIPA) в качестве источника для учетных записей пользователей. Система выполняет подключение к LDAP-каталогу по протоколу LDAP/LDAPS.

В зависимости от реализуемого типа интеграции, возможно использование следующих сценариев:

  • Первичная загрузка/импорт пользователей из домена в Avanpost FAM.
  • Автоматическое создание пользователя в Avanpost FAM при его добавлении в домене. 
  • Обновление атрибутов пользователя при их изменении в домене.
  • Аутентификация с проверкой пароля в домене.

Управление LDAP-провайдерами осуществляется во вкладке "Настройки LDAP-провайдеров" режима "Сервис". Вкладка содержит:

  • Список настроенных LDAP-провайдеров с информацией о них:
    • Имя - Наименование LDAP-провайдера;
    • Синхронизация - Статус синхронизации Avanpost FAM с LDAP-провайдером:
      • Active - Синхронизация включена;
      • Inactive - Синхронизация выключена;
  • Кнопка "Добавить" - Требуется нажать для добавления нового LDAP-провайдера.

Добавление LDAP-провайдера

Для добавления нового LDAP-провайдера необходимо нажать кнопку "Добавить" во вкладке "Настройки LDAP-провайдеров" и последовательно заполнить данные в следующих разделах:

  1. Шаг 1. Основные настройки.
  2. Шаг 2. Настройки подключения.
  3. Шаг 3. Настройки интеграции.
  4. Шаг 4. Завершение.
Наименование параметраОписание параметра

Обязательность

Шаг 1. Основные настройки

ИмяНаименование LDAP-провайдера.Да
ДоменДомен LDAP-провайдера.Нет

Группы по умолчанию

Группы, в которые по умолчанию добавляются пользователи, загружаемые с LDAP-провайдера. В текстовое поле требуется ввести существующие в Avanpost FAM группы.Нет

Шаг 2. Настройки подключения

Тип LDAP

Тип службы каталогов LDAP-сервера. Выбрать из выпадающего списка:

  • LDAP (FreeIPA, OpenLDAP) - служба каталогов на базе FreeIPA или OpenLDAP;
  • Active Directory - служба каталогов Microsoft Active Directory.
Да
HostIP-адрес хоста LDAP-сервераДа
PortНомер порта LDAP-сервераДа
SSL

Переключатель "Использовать SSL-подключение":

  • при включенном переключателе () соединение с LDAP-провайдером осуществляется с использованием протокола безопасности
  • при выключенном переключателе () соединение с LDAP-провайдером протокол безопасности не используется.
Да
Устанавливать TLS-соединение после успешного ответа от сервера

Данная функция устарела и находится в процессе ликвидации. Появляется при включенном переключателе "SSL".

Нет
Версия TLS

Выбрать версию протокола TLS, если выбор версии TLS обязателен для установки соединения с сервером LDAP-провайдера (например, некоторые серверы Novell):

  • TLS 1.0;
  • TLS 1.1;
  • TLS 1.2;
  • TLS 1.3;
  • None - Устанавливается актуальная версия по умолчанию.

Настройка параметра доступна при включенном переключателе "Устанавливать TLS соединение после успешного ответа от сервера".

Нет
BaseDN

База для поиска: корневой объект LDAP-каталога, в котором производится поиск. Можно указать несколько баз для поиска, используя точку с запятой в качестве разделителя.

Формат ввода: dc=example,dc=com, где dc = Domain Component.

Да
Имя пользователя

Техническая учетная запись администратора LDAP-провайдера. Может быть добавлен только один пользователь.

Формат ввода: cn=admin,cn=users,dc=example,dc=com, где dc = Domain Component, cn = Common Name.

Да
ПарольПароль администратора.Да
Расписание синхронизации (Cron или Quartz)

Частота выполнения синхронизации. Формат временного интервала задается в Cron-выражении или в формате Quartz.

Да
Управление паролями

Разрешить задавать доменные пароли:

  • при включенном переключателе () разрешается задавать пароли для домена LDAP-провайдера;
  • при выключенном переключателе () запрещается задавать пароли для домена LDAP-провайдера.

При настройке парольной политики для LDAP-источника типа MS AD следует учитывать, что после смены пароля в течение 60 минут остается действительным старый пароль, если иное не было настроено. Настройка срока действия старого пароля производится на стороне MS AD и описана в статье Особенности парольной политики для MS AD раздела Настройка политики паролей.


Да

Шаг 3. Настройки интеграции

Настройки импорта пользователей
Фильтр поиска пользователей

Фильтр, ограничивающий зону поиска пользователей для импорта пользователя из LDAP-каталога в Avanpost FAM. Чтобы ввести несколько фильтров требуется открыть поле ввода нажатием кнопки .

Пример ввода фильтра: (&(objectClass=person)(uid=%v))

Да
Фильтр поиска аутентифицируемого пользователя

Фильтр, ограничивающий зону поиска по LDAP-каталогу для пользователя, который проходят аутентификацию в Avanpost FAM, но еще не импортированы из LDAP-каталога. Чтобы ввести несколько фильтров требуется открыть поле ввода нажатием кнопки .

Пример ввода фильтра: (&(objectClass=user)(sAMAccountName=%s))

Да
LDAP-атрибут, содержащий логин пользователяНаименование атрибута, содержащего логин импортируемого пользователя. Атрибут на стороне LDAP-провайдера.Да
Внешний ключ учетной записиНаименование атрибута, содержащего идентификатор безопасности (значение, используемое для идентификации) пользователя. Атрибут на стороне LDAP-провайдера.Да
Атрибут для связывания учетной записи из LDAP c учетной записью IDP

Наименование атрибута, по которому осуществляется идентификация и привязка данных пользователя из LDAP-провайдера к IdP Avanpost FAM. Атрибут на стороне LDAP-провайдера.

Нет
Атрибут пользователя(или DN), перечисляемый в поле member группы LDAP

Название атрибута или DN (Distinguished Name), значения которого перечисляются в перечне участников группы (в поле member). Атрибут на стороне LDAP-провайдера.

ПРи включенной синхронизации группы и выключенной синхронизации пользователей данный позволяет ранее загруженного пользователя из LDAP

Нет
Импорт дополнительных атрибутов учетной записи

Список дополнительных атрибутов, которые импортируются из LDAP-каталога в Avanpost FAM. Если не настраивать данное поле, по умолчанию импортируются только основные атрибуты

Для добавления импортируемого атрибута следует нажать. Для удаления атрибута из списка требуется нажать . При добавлении атрибуты заполняются поля:

  • Атрибут LDAP - Наименование импортируемого дополнительного атрибута на стороне LDAP-провайдера;
  • Атрибут IDP - Наименование импортируемого дополнительного атрибута на стороне Avanpost FAM (заполнение доступно при включенном чекбоксе "Отображение атрибута");
  • Чекбокс "Отображение атрибута":
    • флажок устанавливается, когда на стороне Avanpost FAM есть атрибут, значение которого соответствует значению импортируемого LDAP-атрибута
    • если флажок не установлен, заполнение поля Атрибут IDP недоступно.

Импорт дополнительных атрибутов из LDAP-каталога

Администратор при настройке интеграции Avanpost FAM совершил ряд ошибок при заполнении граф с атрибутами и хочет понять, что произошло с импортированными атрибутами в Avanpost FAM в зависимости от введенных условий. Эффект от действий отображается в таблице.

Атрибут LDAPАтрибут IDP

Отображение

атрибута

Полученный результат
Соответствует значению в LDAP-каталоге.Поле заполнено. Соответствует значению атрибута в Avanpost FAM. ВклЗначение атрибута LDAP успешно успешно присвоено значению атрибута IDP.
Не задан/отсутствует в LDAP-каталоге.Соответствует/не соответствует значению в Avanpost FAM или не введенВкл/ВыклLDAP-атрибут не найден и не импортирован.
Соответствует значению в LDAP-каталоге.Поле оставлено пустым. Одноименный атрибут отсутствует.ВклВ Avanpost FAM создан новый атрибут с названием и значением LDAP-атрибута.
Соответствует значению в LDAP-каталоге.Поле оставлено пустым. Существует одноименный атрибут.Вкл 
Соответствует значению в LDAP-каталоге.Поле оставлено пустым. Одноименный атрибут отсутствует.Выкл
Соответствует значению в LDAP-каталоге.Поле оставлено пустым. Существует одноименный параметр.Выкл
Соответствует значению в LDAP-каталоге.Поле заполнено, но атрибута не существует в Avanpost FAMВкл

.

Нет

Настройки импорта групп

Импортировать группы

Установить/убрать флажок из чекбокса:

  • при установленном флажке Avanpost FAM импортирует группы пользователей со стороннего LDAP-провайдера в соответствии с настройками ниже;
  • при выключенном флажке Avanpost FAM не импортирует группы пользователей с данного LDAP-провайдера.
Да
Искать группу с учётом домена

Установить/убрать флажок из чекбокса: 

  • при установленном флажке импортируемые группы должны принадлежать тому же домену, что задан для LDAP-провайдера в соответствующем параметре;
  • при выключенном флажке домен не учитывается при поиске групп.
Да
Фильтр поиска групп

Фильтр, ограничивающий зону поиска групп для импорта пользователя из LDAP-каталога в Avanpost FAM. Чтобы ввести несколько фильтров, требуется открыть поле ввода нажатием кнопки .

Нет
Атрибут наименования группыНаименование атрибута, содержащего наименование импортируемой группы. Атрибут на стороне LDAP-провайдера.Нет
Фильтр для поиска пользователей для привязки к группам

Фильтр предназначен для добавления/удаления из групп пользователей, по какой-либо причине отсутствующих в фильтре "Фильтр поиска групп", но при этом уже существующих в Avanpost FAM.

Фильтр ускоряет привязку импортированных пользователей и групп. Чтобы ввести несколько фильтров, требуется открыть поле ввода нажатием кнопки .

Нет
Атрибут для поиска существующего пользователя

Атрибут пользователя, добавленного в Avanpost FAM. Атрибут на стороне Avanpost FAM, который связывается с атрибутом для связывания учетной записи из LDAP c учетной записью IDP на стороне LDAP-провайдера. По связанному атрибуту осуществляется поиск пользователя во внешнем LDAP-каталоге для синхронизации данных (актуализации членства в группах). 

Выбирается из выпадающего списка с атрибутами, настроенными для Avanpost FAM.

Нет
Атрибут для связывания учетной записи из LDAP c учетной записью IDP

Атрибут пользователя на стороне LDAP-каталога, при помощи которого осуществляется поиск в LDAP-каталоге и синхронизация данных (актуализации членства в группах). Атрибут связывается с атрибутом для поиска существующего пользователя на стороне Avanpost FAM. 

Нет

Атрибут или DN (Distinguished Name) пользователя, по которому пользователь добавляется в список участников группы. Атрибут на стороне LDAP-провайдера.Нет
Атрибут описания группыАтрибут на стороне LDAP-провайдера, содержащий описание группы. Нет
Атрибут со списком участников группыАтрибут, содержащий перечень участников группы. Атрибут на стороне LDAP-провайдера.Нет
Шаг 4. Завершение
Сделать активным

Установить/убрать флажок из чекбокса:

  • при установленном флажке LDAP-провайдер включается сразу после создания;
  • при выключенном флажке приложение LDAP-провайдер выключен: для включения потребуется нажать "Включить синхронизацию" (кнопка )в профиле LDAP-провайдера.
Да

Для перехода на следующий шаг требуется нажать "Далее", для возврата на предыдущий шаг - "Назад". Для отказа от создания LDAP-провайдера следует нажать "Отмена".

Настройка существующего LDAP-провайдера

Настройка добавленных LDAP-провайдеров осуществляется в профиле LDAP-провайдера. Переход в профиль осуществляется нажатием на название провайдера во вкладке "Настройки LDAP-провайдеров" режима "Сервис". В профиле представлены следующие возможности:

  • проверить соединение (кнопка ) - проверка соединения с LDAP-провайдером, по результатам которой сообщается об успехе или выдается лог ошибки;
  • провести внеплановую синхронизацию (кнопка ) - запуск внеплановой синхронизации (во избежание параллельного запуска двух импортов функция доступна, когда синхронизация выключена и импорт данных не осуществляется);
  • включить синхронизацию (кнопка )/выключить синхронизацию (кнопка ) - включение/выключение синхронизации с LDAP-провайдером и перевод в статус Active/Inactive;
  • удалить (кнопка)  - удаление (после подтверждения) существующего LDAP-провайдера;
  • изменить настройки - для редактирования параметров следует нажать в одном из разделов:
    • Основное;
    • Подключение; 
    • Интеграция.

В профиле возможна настройка параметров, часть из которых воспроизводит параметры из добавления нового LDAP-провайдера. 

Название параметраОписание параметра
Основное
ИмяСоответствуют параметрам, используемым при добавлении приложения.
Домен
Группы по умолчанию
Подключение
Тип LDAPСоответствуют параметрам, используемым при добавлении приложения.
Host
Port
SSL
Устанавливать TLS соединение после успешного ответа от сервера
Версия TLS
BaseDN
Имя пользователя
Расписание синхронизации (Cron или Quartz)
Управление паролями
Смена пароля

Для смены пароля следует нажать и ввести новый пароль в графу "Новый пароль". Для сохранения - нажать "Сохранить", для отмены действия - "Отмена".

Интеграция
Настройки интеграции
Синхронизировать данные пользователей

Установить/убрать флажок из чекбокса:

  • при установленном флажке Avanpost FAM импортирует атрибуты пользователей со стороннего LDAP-провайдера в соответствии с настройками;
  • при выключенном флажке Avanpost FAM не импортирует атрибуты пользователей с данного LDAP-провайдера.
Вести запись в журнал безопасности

Установить/убрать флажок из чекбокса:

  • при установленном флажке в Журнале безопасности ведется запись событий, связанных с актуализацией данных пользователей через данный LDAP-провайдер (например, создание/удаление пользователя или добавление/удаление пользователя из группы); 
  • при выключенном флажке запись событий в журнал безопасности не осуществляется.
Создавать новых пользователей

Установить/убрать флажок из чекбокса:

  • при установленном флажке Avanpost FAM автоматически создает новых пользователей на основе данных от LDAP-провайдера, полученных во время очередной синхронизации;
  • при выключенном флажке Avanpost FAM запрещено создавать новых пользователей на основе данных от этого LDAP-провайдера.
Обновлять данные пользователя

Установить/убрать флажок из чекбокса:

  • при установленном флажке Avanpost FAM автоматически обновляет данные пользователей на основе данных от LDAP-провайдера, полученных во время очередной синхронизации;
  • при выключенном флажке Avanpost FAM запрещено автоматически обновлять данные  на основе данных от этого LDAP-провайдера.

При включенном флажке, если пользователь, загруженный в Avanpost FAM из внешнего LDAP-провайдера изменит свои данные в личном кабинете, то Avanpost FAM автоматически восстановит данные из LDAP-провайдера при очередной синхронизации.


Фильтр поиска пользователейСоответствуют параметрам, используемым при добавлении приложения.
LDAP-атрибут, содержащий логин пользователя
Внешний ключ учетной записи
Атрибут для связывания учетной записи из LDAP c учетной записью IDP
Атрибут пользователя(или DN), перечисляемый в поле member группы LDAP
Новые пользователи должны сменить пароль

Установить/убрать флажок из чекбокса:

  • при установленном флажке Avanpost FAM для новых пользователей, добавляемых посредством LDAP-провайдера, назначена принудительная смена пароля;
  • при выключенном флажке смена пароля от новых пользователей, добавленных через LDAP-провайдер, смена пароля не требуется.
Импорт дополнительных атрибутов учетной записиСоответствует параметру, используемому при добавлении приложения.
Удалять пользователей, отсутствующих в текущей выборке

Установить/убрать флажок из чекбокса:

  • при установленном флажке Avanpost FAM автоматически удаляет пользователей, которые отсутствуют (удалены) в подключенном LDAP-каталоге;
  • при выключенном флажке Avanpost FAM не удаляет автоматически пользователей, если те удалены на стороне LDAP-провайдера.
Настройки импорта групп
Включить синхронизацию групп

Установить/убрать флажок из чекбокса:

  • при установленном флажке Avanpost FAM импортирует группы пользователей со стороннего LDAP-провайдера в соответствии с настройками;
  • при выключенном флажке Avanpost FAM не импортирует группы пользователей с данного LDAP-провайдера.
Искать группу с учётом доменаСоответствуют параметрам, используемым при добавлении приложения.
Фильтр поиска групп
Атрибут наименования группы
Фильтр для поиска пользователей для привязки к группам
Атрибут для поиска существующего пользователя
Атрибут для связывания учетной записи из LDAP c учетной записью IDPАтрибут пользователя на стороне LDAP-каталога, при помощи которого осуществляется поиск в LDAP-каталоге и синхронизация данных (актуализации членства в группах). Устанавливается в разделе настройки импорта групп при включенной синхронизации групп и выключенной синхронизации пользователей.
Атрибут пользователя(или DN), перечисляемый в поле member группы LDAPСоответствуют параметрам, используемым при добавлении приложения.
Атрибут описания группы
Атрибут со списком участников группы
Настройки проверки пароля
Разрешить проверку пароля

Установить/убрать флажок из чекбокса:

  • При установленном флажке Avanpost FAM разрешено импортировать данные о паролях из внешнего LDAP-каталога для дальнейшей проверки;
  • При выключенном флажке Avanpost FAM не обращается к внешнему LDAP-каталогу для проверки введенного пароля.
Фильтр поиска пользователя

Фильтр, ограничивающий зону поиска пользователей, для которых разрешается проверка пароля.

Пример ввода фильтра: (&(objectClass=person)(uid=%v))

Создавать пользователя в процессе аутентификации

Установить/убрать флажок из чекбокса:

  • При установленном флажке, если пользователь не существует в Avanpost FAM, Avanpost FAM делает запрос LDAP-провайдеру в процессе аутентификации пользователя. При успешном прохождении аутентификации пользователь автоматически создается в Avanpost FAM.
  • При выключенном флажке Avanpost FAM не создает нового пользователя, если тот не был импортирован и отсутствует в Avanpost FAM.
Обновлять данные пользователя в процессе аутентификации

Установить/убрать флажок из чекбокса:

  • При установленном флажке  Avanpost FAM после ввода пароля делает запрос LDAP-провайдеру на обновление данных пользователя вне зависимости от настроек расписания синхронизации;
  • При выключенном флажке Avanpost FAM не осуществляет дополнительный запрос на обновление данных пользователя при каждой его аутентификации.
Обновлять пароль в процессе аутентификации

Установить/убрать флажок из чекбокса:

  • При установленном флажке при вводе пароля осуществляется запрос к настроенному LDAP-каталогу для актуализации данных о пароле вне зависимости от настроек расписания синхронизации;
  • При выключенном флажке использует данные, полученные при последней синхронизации. 

Установить/убрать флажок из чекбокса:

  • При установленном флажке идентификация импортированных пользователей в Avanpost FAM происходит через UPN (UserPrincipalName) формата username@domain.com, где usename - импортированный из LDAP-каталога логин пользователя (user logon name в MS AD), domain.com - DNS-имя домена LDAP-провайдера;
  • При выключенном флажке идентификация импортированных пользователей по UPN не осуществляется.


Обсуждение