LDAP-источник пользователей | Avanpost FAM/MFA+


[ Общие сведения ] [ Сценарии использования ]

Общие сведения

Avanpost FAM предоставляет функциональность использования внешних LDAP-каталогов для управления аутентификацией и авторизацией. Стандартизованный протокол LDAP (Lightweight Directory Access Protocol) позволяет централизованно хранить информацию о пользователях и их группах в виде иерархической структуры. Данные о пользователях и группах в LDAP-каталогах представлены в виде записей, состоящих из уникальных идентификаторов (Distinguished Name, DN) и атрибутов с информацией об объектах.

Avanpost FAM реализует набор функций интеграции с LDAP-каталогами:

  • Синхронизация пользователей из LDAP-каталога;

  • Парольная аутентификация с проверкой пароля через LDAP-каталог;

  • Смена пароля в LDAP-каталоге.

К Avanpost FAM одновременно можно подключить неограниченное функционально число служб каталогов в качестве источника пользователей, источника групп пользователей и средства проверки пароля. Также при корректно выполненной настройке продукт позволяет одновременно обслуживать пользователей с разным признаком домена из нескольких служб каталога.

Сценарии использования

Синхронизация пользователей из LDAP-каталога

Синхронизация пользователей выполняется фоновым планировщиком компонента Avanpost FAM Server по расписанию. Настройка параметров интеграции с LDAP-каталогом осуществляется через административную консоль в соответствии с руководством по управление LDAP-источниками.

Парольная аутентификация с проверкой пароля через LDAP-каталог

Для любого из подключенных LDAP-каталогов есть возможность включить функцию проверки пароля. В этом случае при парольной аутентификации пароль будет проверяться не в локальном хранилище паролей в базе данных, а в LDAP-каталоге.

Для парольной аутентификации через LDAP-каталог также существует ряд дополнительных функций:

  • Обработка события истечения пароля со сменой пароля в LDAP-каталоге в процессе аутентификации, если данный режим включен для LDAP-каталога;
  • Обработка события блокировки учётной записи из-за большого количества некорректных попыток ввода пароля.

Смена пароля в LDAP-каталоге

При наличии прав на смену пароля у технологической учётной записи, от имени которой осуществляется взаимодействие с LDAP-каталогом, и при включении функции смены пароля пользователям становится доступен ряд функций:

  • Смена пароля по мере истечения срока действия пароля в LDAP-каталоге;
  • Восстановление забытого пароля с использованием дополнительных методов аутентификации в процессе аутентификации.

Обсуждение