Как подключить пользователей из Active Directory #344

В Панели управления доступна опция Поддержка LDAP, которая позволяет буквально за несколько минут импортировать в онлайн-офис нужных пользователей и группы с сервера LDAP (например, OpenLDAP Server или Microsoft Active Directory). В свою очередь, новым пользователям не придется запоминать новые логины и пароли, поскольку они смогут заходить на портал под своими учетными данными, сохраненными на сервере LDAP.

 

Чтобы открыть Панель управления, войдите на портал и нажмите на ссылку 'Панель управления' на Стартовой странице. Можно также перейти в 'Настройки' портала и нажать на ссылку 'Панель управления' на левой боковой панели.

Импорт пользователей и групп

Перед началом импорта

Если вы подключаетесь к серверу каталогов Active Directory, который содержит более 1000 пользователей, вам потребуется увеличить лимит AD MaxPageSize с помощью утилиты ntdsutil.
Например до значения 5000.
Для этого нужно запустить в командной строке ntdsutil.exe
Ввести команды:
LDAP policies
Set MaxPageSize to 5000
quit

Более подробную информацию об утилите ntdsutil можно найти в статье https://learn.microsoft.com/en-us/troubleshoot/windows-server/identity/view-set-ldap-policy-using-ntdsutil

  1. В Панели управления откройте страницу LDAP
  2. Нажмите на переключатель Включить аутентификацию LDAP и используйте ссылку Показать рядом с заголовком Настройки LDAP, чтобы отобразить форму для ввода параметров.
  3. Установите флажок Включить StartTLS, если вы хотите обеспечить безопасное соединение с помощью технологии StartTLS (в этом случае используется стандартный порт 389). Установите флажок Включить SSL, если хотите использовать протокол SSL (в этом случае номер порта автоматически изменится на 636)
  4. Заполните поля, необходимые для импорта пользователей (обязательные поля помечены звездочкой):

 

Обратите внимание: в случае, если вы уже импортировали каких-то пользователей и меняете настройки (например, Сервер, Фильтр пользователей, DN каталога пользователей, Фильтр групп, DN каталога групп), существующие пользователи и все их данные, включая документы, сообщение электронной почты, другие, отсеянные новыми настройками, будут ОТКЛЮЧЕНЫ. Мы настоятельно рекомендуем сделать резервное копирование данных, прежде чем вы измените какие- либо настройки.

  • в поле Сервер введите URL-адрес сервера LDAP в формате protocol://host, например, LDAP://example.com для обычного соединения с сервером LDAP или LDAPS://example.com для безопасного соединения с сервером LDAP по протоколу SSL. Вместо доменного имени можно также указать IP-адрес сервера:  LDAP://192.168.3.202,
  • укажите Номер порта, используемый для соединения с сервером LDAP. Для обычного соединения с сервером LDAP по умолчанию используется порт 389. Если вы включили опцию StartTLS, также используется стандартный порт 389. Если включена опция SSL, номер порта автоматически изменяется на 636.
  • в поле DN каталога пользователей (англ. User Distinguished Name) укажите абсолютный путь к каталогу верхнего уровня, содержащему пользователей, которых требуется импортировать. Этот параметр определяет узел, с которого начинается поиск.  Можно указать корневой каталог, например, dc=example,dc=com, чтобы осуществлять поиск пользователей по всему каталогу, или задать определенную область поиска, например, ou=groupname,dc=example,dc=com, чтобы осуществлять поиск пользователей внутри указанной  группы.
  • заполните поле Фильтр пользователей, если необходимо импортировать пользователей, соответствующих указанным критериям поиска. Значение фильтра, заданное по умолчанию (uid=*), позволяет импортировать всех пользователей.

 Примеры синтаксиса фильтра поиска можно посмотреть здесь:
https://docs.microsoft.com/en-us/windows/desktop/ADSI/search-filter-syntax

 

  • укажите Атрибут логина (атрибут в записи пользователя, соответствующий логину, который пользователи сервера LDAP будут использовать для входа в Р7- Офис)

Пожалуйста, обратите внимание: настройки по умолчанию указаны для OpenLDAP Server. Для Active Directory необходимо изменить следующие настройки:

Фильтр пользователей - (userPrincipalName=*)

 

Атрибут логина - sAMAccountName

 

 

5. В разделе Сопоставление атрибутов можно установить соответствие между полями с данными пользователя на портале и атрибутами в записи пользователя на сервере LDAP. Нажмите кнопку Добавить атрибут, выберите из списка нужное поле данных и укажите атрибут пользователя, используемый на вашем сервере LDAP. Значения следующих параметров заданы по умолчанию, но в случае необходимости их можно изменить:

  • Имя (атрибут в записи пользователя, соответствующий имени пользователя)
  • Фамилия (атрибут в записи пользователя, соответствующий фамилии пользователя)
  • Почта (атрибут в записи пользователя, соответствующий адресу электронной  почты пользователя)
  • Должность (атрибут в записи пользователя, соответствующий должности пользователя) 
  • Основной мобильный телефон (атрибут в записи пользователя, соответствующий номеру мобильного телефона пользователя)
  • Местоположение (атрибут в записи пользователя, соответствующий местоположению  пользователя)

Вы также можете добавить следующие атрибуты: Дополнительная

почта, Дополнительный мобильный телефон, Дополнительный телефон, Дата рождения, Фото профиля, Пол, Skype.

 

 

6. Нажмите на переключатель Принадлежность к группе, если вы хотите добавить на портал группы с сервера LDAP, и заполните нужные поля:

 

Пожалуйста, обратите внимание: если вы решите добавить группы, будут добавлены только те пользователи, которые состоят хотя бы в одной группе.

 

Обратите внимание: в случае, если вы уже импортировали каких-то пользователей и меняете настройки (например. Сервер, Фильтр пользователей, DN каталога пользователей, Фильтр групп, DN каталога групп), существующие пользователи и все их данные, включая документы, сообщение электронной почты, другие, отсеянные новыми настройками, будут ОТКЛЮЧЕНЫ. Мы настоятельно рекомендуем сделать резервное копирование данных, прежде чем вы измените какие- либо настройки.

  • в поле DN каталога групп (англ. Group Distinguished Name) укажите абсолютный путь к каталогу верхнего уровня, содержащему группы, которые требуется импортировать, например, ou=Groups,dc=example,dc=com.
  • заполните поле Фильтр групп, если необходимо импортировать группы, соответствующие указанным критериям поиска. Значение фильтра, заданное по умолчанию (objectClass=posixGroup), позволяет импортировать все группы.
  • значения следующих параметров заданы по умолчанию, но в случае необходимости их можно изменить:
  • Атрибут пользователя (атрибут, который определяет, состоит ли этот пользователь  в группах)
  • Атрибут названия группы (атрибут, который соответствует названию группы, в которой  состоит пользователь)
  • Атрибут группы (атрибут, который указывает, какие пользователи состоят в этой группе)

Пожалуйста, обратите внимание: настройки по умолчанию указаны для OpenLDAP Server. Для Active Directory необходимо изменить следующие настройки:

Фильтр групп - (objectClass=group) Атрибут пользователя - distinguishedName Атрибут группы - member

 

7. Задайте Настройки прав администратора: нажмите на соответствующую кнопку, выберите полный доступ и укажите группу, которая должна иметь права администраторов с полным доступом. Выберите из списка какой-либо модуль портала и укажите группу, у которой должны быть права администратора в выбранном модуле.

8. Включите переключатель Аутентификация. В полях Логин и Пароль введите учетные данные пользователя, у которого есть права на чтение данных с сервера LDAP.

9. Нажмите кнопку СОХРАНИТЬ.

10. В открывшемся окне 'Подтверждение импорта' нажмите кнопку OK, чтобы начать импорт пользователей.

 

 

Импорт займет некоторое время в зависимости от количества пользователей, групп, технических характеристик компьютера и т.д

Пожалуйста, обратите внимание: адрес электронной почты пользователя портала будет взят из настройки Атрибут почты. Если он отсутствует, то он будет формироваться следующим образом: Атрибут логина + @ + Домен LDAP.

Если на портале есть ранее созданный пользователь с таким адресом электронной почты, этот пользователь автоматически будет синхронизирован с LDAP-пользователем.

Если такой адрес электронной почты не существует, пользователь не будет получать никаких оповещений  с портала.

 

Аутентификация  LDAP-пользователей

Каждый импортированный пользователь сможет заходить на портал, используя логин, формируемый по следующим схемам:

  • Атрибут  логина,  например Andrew.Stone
  • Атрибут логина + @ + Домен LDAP, например Andrew.Stone@example.com
  • Домен LDAP + \ + Атрибут логина (поддерживаются неполные имена доменов), например example\Andrew.Stone

Профили импортированных пользователей в модуле Люди будут отмечены значком

“LDAP” для администратора портала. Поля профиля пользователя, импортированные по LDAP,  заблокированы для  редактирования.

 

 

Синхронизация  данных LDAP

Если вы измените данные на сервере LDAP (например, добавите новых пользователей или группы, переименуете существующие группы или отредактируете какую-то информацию в записи пользователя), данные на портале можно легко синхронизировать с новой информацией с LDAP-сервера.

 

Чтобы настроить параметры синхронизации, включите переключатель Автоматическая синхронизация и задайте нужное время выполнения автоматической синхронизации: данные можно синхронизировать каждый час в указанные минуты, каждый день в указанное время, а также каждую неделю или месяц в указанный день и время. Нажмите кнопку Сохранить, чтобы применить настройки. Также можно синхронизировать данные вручную, нажав кнопку СИНХРОНИЗИРОВАТЬ внизу страницы LDAP. Можно также использовать кнопку СОХРАНИТЬ внизу раздела Настройки LDAP.

 

Информация об отдельном пользователе также будет синхронизирована после того, как этот пользователь войдет на  портал.

 

Использование общего доверенного сертификата

 

В этом случае портал будет выступать как клиент при подключении по LDAPs к вашему контроллеру домена.

По ссылке описан процесс добавления сертификата на сервер и требования к нему. Если вы будете выпускать сертификат Let’s Encrypt, то этот УЦ уже добавлен у нас как доверенный, в остальных случаях необходимо будет прислать нам используемый вами сертификат в виде всей цепочки, чтобы мы могли добавить ваш УЦ в доверенные.