2.3.9 Федерации

В Системе TVS есть возможность подключать сторонние LDAP системы данных о пользователях. Для активации этого функционала необходимо настроить федерацию LDAP (пункт меню Безопасность → Федерации).

В данном разделе можно настроить интеграцию с LDAP или Kerberos. TVS сначала выполняет поиск пользователя во внутреннем хранилище, если он там не найден, то осуществляется поиск первого, соответствующего критериям (поиска), во внешних системах, с учетом приоритета, указанного для федерации. Есть возможность настроить импорт данных из внешнего LDAP и их дальнейшую синхронизацию, или убрать связь с внешним хранилищем, удалить импортированных пользователей. Атрибуты пользователя (ФИО, e-mail и т.д.), группы, роли, хранимые во внешнем LDAP, могут быть перенесены с помощью настройки отображения.

По умолчанию TVS импортирует пользователей из LDAP в локальную базу данных пользователей TVS. Эта копия пользователя синхронизируется либо по запросу (кнопка на форме «Синхронизация пользователей»), либо системой с периодичностью, указанной на вкладке «Настройки синхронизации». Стоит отметить, что пароли единственное, что нельзя импортировать и их проверка всегда делегируется серверу LDAP. Преимущества этого подхода в том, что все функции TVS будут работать, так как любые необходимые дополнительные данные для каждого пользователя хранятся локально. Обратной стороной этого подхода является то, что каждый раз, когда конкретный пользователь запрашивается в первый раз, выполняется сохранение в базу данных TVS.

Синхронизация импорта не требуется в том случае, если отображения LDAP настроены на чтение определенных атрибутов из LDAP, а не из базы данных. Кроме того, можно отказаться от импорта пользователей в базу данных пользователей TVS. В этом случае стандартная пользовательская модель, которую использует TVS, должна поддерживаться сервером LDAP. Это означает, что если LDAP не поддерживает часть данных, которая необходима для выполнения функционала TVS, то этот функционал не будет выполняться. Преимуществом этого подхода является отсутствие накладных расходов на импорт и синхронизацию копии пользователей. Этот режим хранения регулируется полем «Импортировать пользователей» в настройках федерации. Если импорт пользователей отключен, сохранения атрибутов профиля пользователя в базе данных TVS происходить не будет. Также не будут сохраняться метаданные, кроме метаданных профиля пользователя, которые имеют отображения LDAP (вкладка «Настройки отображения»). Это может включать отображение ролей, отображение групп и другие метаданные на основе конфигурации текущих отображений LDAP.

Обновление пользователя невозможно при попытке изменить некоторые данные пользователя, не имеющие отображение LDAP. Например, нельзя отключить пользователя LDAP, если флаг, характеризующий активность пользователя, не имеет отображения на соответствующий атрибут LDAP (это условие обычно не выполняется).

Важные атрибуты настройки федераций:

  • «Атрибут Username в LDAP» - LDAP атрибут, который отображается как имя пользователя. Для прочих серверов LDAP это может быть «uid». Для Active Directory это может быть «sAMAccountName» или «cn». Атрибут должен быть заполнен для всех LDAP записей пользователей, которые необходимо импортировать из LDAP;

  • «Атрибут RDN LDAP» - имя атрибута LDAP, который используется как RDN (верхний атрибут) типичного пользователя DN. Обычно этот атрибут соответствует атрибуту Username LDAP, однако данный атрибут не является обязательным. Например, для Active directory обычно используется «cn» в качестве атрибута RDN, в тоже время, атрибут «username» может иметь значение «sAMAccountName». С обычным каталогом LDAP (не Active Directory), где пользователь DNs обычно uid=XXX,ou=people,dc=example,dc=com, следует использовать «uid». Атрибут RDN фактически используется при создании нового пользователя в TVS. Если в настройках федерации для параметра «Режим редактирования» установлено значение «С возможностью записи», то TVS синхронизирует его обратно в каталог LDAP, т. е. создает новую запись пользователя в LDAP. Для формирования полного DN нового пользователя необходим RDN и «Пользовательский DN».

  • «UUID LDAP атрибут» - имя атрибута LDAP, который используется в качестве уникального идентификатора объекта (UUID) для объектов в LDAP. Для многих поставщиков серверов LDAP это параметр «entryUUID», но могут быть и другие варианты, например, для Active Directory параметр должен иметь значение «objectGUID». Если сервер LDAP все же не поддерживает понятие UUID, то можно использовать любой другой атрибут, который имеет уникальность для пользователей LDAP в дереве. Например, «uid» или «entryDN». Любой стандартный каталог LDAP v3 должен использовать параметр entryUUID (OpenLDAP, OpenDJ…).

  • «Синхронизировать регистрации» – опцию можно включить, если необходимо, чтобы новые пользователи, созданные в TVS, добавлялись в LDAP при условии поддержки LDAP-сервером функции добавления новых пользователей. Пользователи через службу учетных записей пользователей и администраторы через консоль администратора могут изменять метаданные пользователей. В зависимости от настроек можно обладать или не обладать правами на обновление LDAP.

  • Параметр конфигурации «Режим редактирования» определяет политику редактирования в LDAP:

    • «Только для чтения» - имя пользователя, адрес электронной почты,

    имя, фамилия и другие сопоставленные атрибуты нельзя изменить. Система TVS будет показывать ошибку каждый раз, когда кто-нибудь пытается обновить эти поля. Также нет поддержки обновления паролей.

    • «С возможностью записи» - имя пользователя, адрес электронной

    почты, имя, фамилия и другие сопоставленные атрибуты и пароли могут быть обновлены и будут автоматически синхронизированы с LDAP.

    • «Несинхронизированный» - любые изменения имени пользователя,

    электронной почты, имени, фамилии и паролей будут храниться в локальном хранилище системы.

Примечание.

Рекомендуется НЕ обновлять переключатель режима редактирования, сохраняя режим, заданный при создании федерации LDAP. При переключении режимов сложно будет понять какие данные внесены вручную, а какие были импортированы из LDAP. Это также относится к переключателю «Импорт пользователей».

2.3.9.1 Настройки интеграции c одним из протоколов

../../_images/image135.png

Рис. 2.143 Раздел «Федерации»

Для настройки интеграции c одним из протоколов перейдите на страницу:

Домены >> Имя домена >> Безопасность >> Федерации.

Нажмите на кнопку «Создать». Из выпадающего списка выберите один из протоколов.

2.3.9.1.1 Создание федерации Kerberos

В открывшемся окне «Создание федерации Kerberos» заполните поля:

  • Отображаемое имя – отображаемое в консоли администратора имя провайдера;
  • Приоритет – приоритет провайдера при поиске пользователя (меньшее значение – более высокий приоритет, значения от 0 до 1000);
  • Активность (флаг)- если провайдер отключен, то он не будет учитываться для запросов, а импортированные пользователи будут отключены и доступны только для чтения, пока провайдер не будет включен снова;
  • Домен Kerberos – наименование домена Kerberos. (например, TEST.ORG);
  • Основной сервер – полное имя основного сервера для HTTP сервиса, включая серверное и доменное имена;
  • Файл KeyTab – местоположение файла KeyTab в Kerberos, содержащие учетные данные основного сервера;
  • Отладчик (флаг) - вывод отладочных сообщений в стандартный поток вывода;
  • Разрешить аутентификацию по паролю (флаг) - возможность аутентификации по имени пользователя и паролю через базу данных Kerberos;
  • Обновить профиль при первом входе (флаг) - если включено, то профиль будет обновлен при первом входе.

Нажмите на кнопку «Создать»

../../_images/image136.png

Рис. 2.144 Окно создания федерации Kerberos

2.3.9.1.2 Создание федерации LDAP

В открывшемся окне «Создание федерации LDAP» заполните поля:

  • Активность (флаг) - поставщик не будет учитываться для запросов, а импортированные пользователи будут отключены и доступны только для чтения, пока поставщик не будет включен снова;

  • Отображаемое имя – отображаемое в консоли администратора имя провайдера;

  • Приоритет – приоритет провайдера при поиске пользователя, (меньшее значение – более высокий приоритет, значения от 0 до 1000);

  • Импортировать пользователей (флаг) - если включено, пользователи LDAP будут импортированы в базу данных и синхронизированы через сконфигурированные политики синхронизации;

  • Режим редактирования – выберите из выпадающего списка:

    • Только для чтения – означает, что обновление пароля не допускается и пользователь всегда аутентифицируется с паролем Kerberos;
    • «С возможностью записи» – пароль будет записан для пользователя;
    • «Несинхронизированный» – означает, что пользователь может изменить свой пароль и тогда он будет использован вместо пароля Kerberos.
  • «Синхронизировать регистрации» - если включено, то вновь созданные пользователи должны быть созданы в хранилище LDAP. Приоритет определяет какой из поставщиков будет выбран для синхронизации нового пользователя;

  • «Поставщик» – выберите из выпадающего списка LDAP поставщика (провайдер):

    • Microsoft Active Directory;
    • Red Hat Directory Server;
    • Другой.
  • «Атрибут Username в LDAP» – впишите LDAP атрибут, который отображается как имя пользователя. Для прочих серверов LDAP это может быть «uid». Для Active Directory это может быть «sAMAccountName» или «cn». Атрибут должен быть заполнен для всех LDAP записей пользователей, которые вы хотите импортировать из LDAP;

  • «Атрибут RDN и LDAP» – впишите наименование атрибутов LDAP, которое используется как RDN (верхний атрибут) обычного пользователя DN. Обычно значение параметра такое же, как атрибут имени пользователя LDAP, данный параметр не обязателен;

  • «Атрибут UUID и LDAP» – впишите наименование LDAP атрибута, которое используется как уникальный идентификатор объектов (UUID) в LDAP. Для множества LDAP серверов это «entryUUID» (возможны другие значения);

  • «Классы объектов пользователя» – впишите все значения из LDAP, разделенные запятой.

Примечание.

Все значения из LDAP objectClass атрибутов для пользователей в LDAP, разделенные запятой. Например: „inetOrgPerson,organizationalPerson“. Вновь созданные пользователи будут записаны в LDAP вмсете с этими классами объектов, а существующие записи пользователей LDAP будут найдены только если они содержат все эти классы объектов.

  • «URL соединения» – впишите URL соединения с текущим сервером LDAP;

  • «Пользовательский DN» – впишите полный DN из дерева LDAP, где присутствуют ваши пользователи. Этот DN является родителем пользователей LDAP. Он может быть, для примера «ou-users, dc=example, dc=com» при условии, что ваш обычный пользователь будет иметь DN похожий на «uid=john,ou=users, dc=example,dc=com»;

  • «Тип аутентификации» – выберите из выпадающего списка тип аутентификации для сервера:

    • None (например, ldap-сервер без аутентификации с открытым доступом);
    • Simple.
  • «Включить StartTLS» (флаг) - если включено, то будет происходить шифрование с LDAP сервером с помощью StartTLS, опция отключает пул соединений;

  • «DN пользователя» – впишите LDAP DN пользователя, который будет использоваться для аутентификации на сервере;

  • «Пароль» – задайте пароль пользователя для аутентификации на сервере;

  • «Дополнительный LDAP фильтр» – задайте дополнительный фильтр для поиска пользователей. Должно начинаться и заканчиваться круглыми скобками;

  • «Область поиска» – выберите из выпадающего списка область поиска пользователей, один уровень или поддерево;

  • «Проверка пароля на требования» (флаг) - если включено, то определяет, следует ли проверять пароль перед обновлением на требования, определенные для домена (например, минимальная длина);

  • «Подтверждение E-mail» - если включено, то E-mail, предоставленный этим поставщиком, не будет подтвержденным даже если подтверждение включено для домена;

  • «Использовать Truststore SPI» – выберите из выпадающего списка, будет ли система использовать Truststore SPI, настроенный в security-server.json:

    • Всегда;
    • Только для ldaps;
    • Никогда.
  • «Таймаут соединения», мс - задайте таймаут соединения с LDAP в миллисекундах;

  • «Таймаут чтения», мс – задайте таймаут чтения из LDAP в миллисекундах. Этот таймаут применяется к операциям чтения из LDAP;

  • «Постраничный режим» (флаг) – если включено, то LDAP сервер будет поддерживать постраничный режим (Pagination).

../../_images/image138_1.png

Рис. 2.145 Окно создания федерации LDAP

Нажмите на кнопку «Создать».

Примечание.

Максимальная длина пароля 30 символов.

2.3.9.1.3 Настройка федерации

Для редактирования cозданной федерации перейдите на страницу:

Домены >> Имя домена >> Безопасность >> Федерации

Нажмите на кнопку «i» - «Изменить» в строке редактируемой федерации. Откроется окно вкладки «Основное» с полями основных параметров указанных при создании федерации, доступными для изменения. При необходимости поменяйте значения параметров на актуальные. Перейдите на внутреннюю вкладку «Настройка пула соединений» (Рис. 2.146).

2.3.9.1.3.1 Настройка пула соединений

Включите кнопку «Пул соединений», это позволит использовать пул соединений с сервером. Также отобразятся дополнительные параметры для настройки пула:

  • «Аутентификация» – none, simple;
  • «Уровень отладки» – Выкл., Высокий, Все. Определяет уровень вывода отладочной информации для пула соединений;
  • «Начальный размер» – количество первично инициализированных соединений в пуле, используемых для идентификации;
  • «Максимальный размер» – максимальное количество соединений в пуле, используемых для идентификации;
  • «Предпочитаемый размер» - предпочитаемый размер соединений в пуле, используемых для идентификации;
  • «Протокол» – список разделенных пробелами, используемых в пуле протоколов соединений, которые могут содержаться в пуле;
  • «Время простоя», мс – период, в течение которого, неиспользуемое соединение в пуле остается открытым и не будет удалено.
../../_images/image141.png

Рис. 2.146 Настройка пула соединений

После введения всех параметров нажмите кнопку «Сохранить».

2.3.9.1.3.2 Настройка синхронизации

В системе предусмотрена функция синхронизации данных (атрибуты пользователя, роли, группы). Синхронизация возможна по желанию пользователя. При синхронизации пользователей одновременно выполняется синхронизация ролей и групп из LDAP в TVS, при наличии настроенного отображения. Если у группы в LDAP есть настроенные роли, то при синхронизации из LDAP связь не переносится.

На вкладке «Настройки синхронизации» можно настроить период обновления данных в автоматическом режиме. Выполняется обновление пользователей, групп, ролей.

../../_images/image645.png

Рис. 2.147 Синхронизация

Перейдите во вкладку «Настройки синхронизации»:

Нажмите на кнопку «Изменить», следующие параметры станут доступны для редактирования:

  • «Размер пакета» – количество пользователей LDAP, импортируемых с сервера за одну транзакцию;
  • «Период полной синхронизации» - период полной синхронизации пользователей LDAP.

По завершению настроек нажмите на кнопку «Сохранить».

Для отображения групп, ролей можно использовать различные режимы синхронизации:

  • «Только для чтения»: импорт данных из LDAP возможен совместно с «Получение индивидуальной роли»/»Получение индивидуальной группы», но обратный импорт из TVS в LDAP запрещен. Синхронизируются данные при изменении в LDAP.
  • «Импорт»: импорт данных из LDAP возможен совместно с «Получение индивидуальной роли»/»Получение индивидуальной группы», но дальнейшей синхронизации нет. Можно выполнить импорт изменений из TVS в LDAP.
  • «Только LDAP»: выполняется импорт данных из LDAP без «Получение индивидуальной роли»/»Получение индивидуальной группы». Синхронизируются группы и роли пользователя, также можно выполнять импорт изменений из TVS в LDAP с добавлением новых данных.

2.3.9.1.3.3 Интеграция с Kerberos

Перейдите во вкладку «Интеграция с Kerberos».

Для включения флага «Разрешить Kerberos аутентификацию» предварительно нажмите на кнопку «Изменить». После включения отобразятся дополнительные параметры (Рис. 2.148):

../../_images/image142.png

Рис. 2.148 Интеграция с Kerberos

Заполните поля параметров:

  • «Наименование домена Kerberos»;
  • «Основной сервер» - полное имя основного сервера для HTTP сервиса, включая серверное и доменное имя;
  • «Файл KeyTab» - местоположение файла в Kerberos, содержащего учетные данные основного сервера;
  • «Отладчик» - вывод отладочных сообщений в стандартный поток вывода (флаг);
  • «Разрешить аутентификацию по паролю» - возможность аутентификации по имени пользователя и паролю через базу данных Kerberos (флаг).

После введения все параметров нажмите кнопку «Сохранить».

2.3.9.1.3.4 Настройки кэширования

Перейдите во вкладку «Настройки кэширования».

../../_images/image143.png

Рис. 2.149 Настройки кэширования

Нажмите на кнопку «Изменить», параметр «Политика кэширования» становится доступным для заполнения.

Политики кэширования прописываются для каждого провайдера. Значения политик:

  • «По умолчанию» – используются настройки по умолчанию для глобального пользовательского кэша;
  • «Ежедневное вытеснение» – позволяет задать время суток после которого пользовательский кэш будет очищен;
  • «Еженедельное вытеснение» – позволяет задать день недели и время, после которого пользовательский кэш будет очищен;
  • «Вытеснение по истечению максимального времени жизни» – позволяет задать минимальное время в миллисекундах, в течение которых будет храниться запись в кэше;
  • «Не использовать кэширование».

По завершению настроек нажмите на кнопку «Сохранить».

2.3.9.1.3.5 Настройки отображения

Отображения используются для интеграции системы с LDAP. Они запускаются, когда пользователь входит в систему через LDAP, или когда пользователя запрашивают из консоли администратора.

В состав федерации LDAP включается автоматически некоторый набор встроенных отображений. Пользователь может внести изменения или вовсе удалить.

Перейдите во вкладку «Настройки отображения» (Рис. 2.150).

../../_images/image144.png

Рис. 2.150 Настройки отображения

Возможна настройка и удаление уже созданных отображений, а также создание новых. Для создания новых отображений нажмите на кнопку «Создать». В открывшемся окне укажите значение параметров.

Выбор типа отображения:

  • преобразование сертификата LDAP в отображение;
  • преобразование полного имени LDAP в отображение;
  • преобразование группы LDAP в отображение;
  • получение индивидуального атрибута;
  • получение индивидуальной группы;
  • получение индивидуальной роли;
  • преобразование MSAD LDS в отображение;
  • преобразование MSAD в отображение;
  • получение ролей из LDAP;
  • преобразование атрибута LDAP в отображение;
  • преобразование уникального атрибута LDAP в отображение.

2.3.9.1.3.6 Типы отображений. Описание

  • Преобразование сертификата LDAP в отображение

Параметр используется для отображения единственного атрибута, который содержит сертификат пользователя LDAP, с атрибутом UserMode в базе данных системы.

Состав и содержание опций параметра:

  • «Атрибут модели пользователя» – имя свойства или атрибута UserModel, с которым требуется сопоставить атрибут LDAP);
  • «LDAP атрибут» - отображение имени атрибута LDAP);
  • «Только для чтения» - (флаг) данные импортированные из LDAP в БД системы, эти данные не сохраняются обратно в LDAP при обновлении пользователя;
  • «Всегда читать значение из LDAP» - (флаг) если включено, то всегда будет использоваться вместо значения из БД при чтении атрибута LDAP;
  • «Обязательно в LDAP» – (флаг) если включено, то атрибут обязателен в LDAP. Следовательно, если в базе данных нет значения, пустое значение будет установлено в LDAP;
  • «Двоичный атрибут» – (флаг) должен быть включен для двоичных атрибутов LDAP;
  • «В формате DER»- (флаг) включен, когда сертификат представлен в формате DER. Для PEM формата флаг выключен.
  • Преобразование полного имени LDAP в отображение

Параметр используется для отображения полного имени пользователя из единственного атрибута UserModel в базе данных системы. Позволяет указать, что полное имя пользователя, хранимое в атрибуте LDAP (обычно cn), будет перенесено на атрибуты firstName и lastname пользователя TVS. Наличие в cn полного имени пользователя - частый случай.

Состав и содержание опций параметра:

  • «Полное наименование атрибута LDAP» - наименование атрибута LDAP, которое содержит полное имя пользователя (обычно используется «cn»);
  • «Только для чтения» - (флаг) данные импортированные из LDAP в БД системы; Данные не сохраняются обратно в LDAP при обновлении пользователя.
  • «Только для записи» - (флаг) данные передаются в LDAP при создании или обновлении пользователя в системе. Это отображение не используется для сохранения данных из системы в LDAP. Этот параметр полезен если настроены отдельные отображения атрибутов firstName и lastName и нужно использовать их для атрибута из LDAP.
  • Преобразование группы LDAP в отображение

Отображение групп LDAP.

Состав и содержание опций параметра:

  • «LDAP Группы DN» – Наименование группы LDAP DN, где будет выполнено сохранение;

  • «Имя LDAP атрибута» – имя LDAP атрибута, который используется в объектах группы для имени и RDN группы. Обычно используется в «cn». В этом случае типичная группа/роль может иметь dn;

  • «Классы группы» – класс объекта (или классы) группового объекта. Разделяются запятой, если требуется больше одного класса. В типичном развертывании LDAP это может быть «groupOfNames». Для Active Directory это типичная группа;

  • «Сохранить групповое наследование» – (флаг) указывает, следует ли распространять групповое наследование из LDAP. В противном случае наследование групп сохраняется в системе, но синхронизация группы может завершиться неудачей, если структура LDAP содержит рекурсии;

  • «Не учитывать группы с ошибками» - (флаг) не учитывать в иерархии группы содержащие ошибки;

  • «Членство LDAP атрибута» - имя LDAP атрибута группы, который используется для отображения членства. Обычно этот атрибут – «member», однако, когда «Тип членства атрибута» - uid, тогда имя LDAP атрибута группы «memberUID»;

  • «Тип членства атрибута» (DN, UID)/ DN обозначает, что у группы LDAP есть свои члены, объявленные в форме их полного DN. UID означает, что члены группы LDAP объявлены в форме чистых пользовательских идентификаторов;

  • «Членство LDAP атрибута пользователя» - используется только при типе атрибута членства – UID. Это имя атрибута LDAP для пользователя, которое используется для сопоставления членства;

  • «Атрибут UUID в LDAP» – наименование LDAP атрибута, которое используется как уникальный идентификатор объектов (UUID) в LDAP. Для множества LDAP серверов это «entryUUID», однако некоторые могут иметь другие значения. Например, в Active Directory он должен быть «objectGUID». Если LDAP сервер не поддерживает понятие UUID, то можно использовать любой другой атрибут, который должен быть уникальным для сущностей в дереве LDAP. Например, «uid» или «entryDN»;

  • «Фильтр» – фильтр LDAP добавляет дополнительный фильтр ко всему запросу для получения групп LDAP. Оставьте это поле пустым, если дополнительная фильтрация не требуется, а нужно получить все группы из LDAP. В противном случае необходимо убедиться, что фильтр начинается и заканчивается конкретными символами.

  • «Режим»:

    • «Только LDAP» – означает, что все отображения групп пользователей извлекаются из LDAP и сохраняются в LDAP;
    • «Только для чтения» – это доступный только для чтения режим LDAP. В этом режиме отображения групп извлекаются из LDAP и БД и объединяются вместе. Новые групповые объединения сохраняются не в LDAP, а в БД;
    • «Импорт» - это доступный только для чтения режим LDAP, в котором отображения групп извлекаются из LDAP как раз в тот момент, когда пользователь импортируется из LDAP, а затем сохраняются в базе данных системы.
  • «Стратегия извлечения групп пользователей», определение способа получения групп пользователей:

    • Получение групп из атрибута memberOf – роли пользователя будут получены путем отправки запроса LDAP для получения всех групп, где «member» - наш пользователь;
    • Загрузка групп из атрибута member - роли пользователя будут получены;
    • Рекурсивная загрузка групп.
  • «LDAP атрибут Member-Of» – используется при условии, что параметр «Стратегия получения ролей пользователя» имеет значение «Получение групп из атрибута memberOf». Этот параметр указывает имя атрибута LDAP, который содержит группы, в которые входит пользователь. Обычно это «memberOf» - значение по умолчанию;

  • «Отображение атрибутов группы» – список имен атрибутов, разделенных запятой. Определяет список атрибутов в группе LDAP, который будет отображаться в системе как атрибуты группы. Если нет потребности отображать дополнительные атрибуты группы, то поле параметра следует оставить пустым;

  • «Удалить несуществующие группы» (флаг) – Если этот флаг включен, то при синхронизации групп из LDAP сохраняются только те группы системы, которые все еще существуют в LDAP. Остальные будут удалены.

  • Получение индивидуального атрибута

Это преобразование производится если только включен параметр «Синхронизировать регистрации». При регистрации нового пользователя в системе будет создана запись о нем в LDAP с жестко заданным значением некоторого указанного атрибута.

Состав и содержание опций параметра:

  • «Имя LDAP атрибута» - имя LDAP атрибута, который будет добавлен новому пользователю при регистрации;
  • «Значение LDAP атрибута» - значение атрибута LDAP, который будет добавлен новому пользователю при регистрации. Есть возможность жестко закодировать любое значение, например, «foo». Также можно использовать некоторые специальные токены. В настоящее время поддерживается только токен «$(RANDOM)», который будет заменен некоторой случайно сгенерированной строкой.
  • Получение индивидуальной группы

Когда пользователь импортируется из LDAP, он автоматически добавляется в эту настроенную группу.

Состав и содержание опций параметра:

  • «Группа» для добавления пользователя. Для ссылки на приложение пользователя используется следующий синтаксис: /group1/group2
  • «Постоянная связь» - (флаг) при включенной опции связь сохраняется в БД.
../../_images/image145.png

Рис. 2.151 Окно поиска группы пользователей.

  • Получение индивидуальной роли

Когда пользователь импортируется из LDAP, он автоматически добавляется в эту настроенную роль.

Состав и содержание опций параметра:

  • «Роль» - роль для предоставления пользователю. Для ссылки на роль приложения используется следующий синтаксис: appname.approle;
  • «Постоянная связь» - (флаг) при включенной опции связь сохраняется в БД.
../../_images/image146.png

Рис. 2.152 Окно выбора роли

  • Преобразование MSAD LD в отображение

Описание

Отображение для настройки MSAD LDS. Он может интегрировать состояние учетной записи пользователя MSAD LDS в состояние учетной записи системы (учетная запись включена, срок действия пароля истек и т.д.). Используются атрибуты msDS-UserAccountDisabled и pwdLastSet. Например, если pwdLastSet равен 0, пользователю требуется обновить пароль, если msDS-UserAccountDisabled включено, пользователь так же отключен и т.д. Отображение так же может обрабатывать код исключения при аутентификации пользователя в LDAP.

  • Преобразование MSAD в отображение

Отображение для настройки MSAD. Он может интегрировать состояние учетной записи пользователя MSAD в состояние учетной записи (учетная запись включена, срой действия пароля истек и т.д.). Для этого используются атрибуты userAccountControl и pwdLastSet MSAD. Например, если pwdLastSet равен 0, пользователю требуется обновить пароль, если userAccountControl равен 514 (отключенная учетная запись), пользователь так же отключен и т.д. Отображение также может обрабатывать код исключения при аутентификации пользователя в LDAP.

Состав и содержание опций параметра:

«Подсказки политики паролей включены» - (флаг) применимо только для записи MSAD. Если включено, то при обновлении пароля пользователя MSAD будет использоваться расширение LDAP_SERVER_POLICY_HINTS_OID, это означает, что будут применяться расширенные политики паролей MSAD, так как «история паролей» или «минимальный срок действия пароля». Это расширение работает только для MSAD 2008 R2 или новее.

  • Получение ролей из LDAP

Используется для отображения ролей из LDAP DN. Позволяет настраивать отображение ролей из LDAP в TVS. Отображение ролей может использоваться для сопоставления ролей LDAP (обычно групп из определенной ветви дерева LDAP) в роли, соответствующие либо ролям области, либо ролям клиента указанного клиента. Настройка нескольких отображений ролей для одного и того же сервера LDAP является не сложной процедурой.

Например, можно указать, что отображение ролей из групп в разделах ou=main,dc=example,dc=org будут ролями областей TVS, а отображение ролей из групп в разделах ou=finance,dc=example,dc=org будут ролями клиента TVS.

Состав и содержание опций параметра:

  • «LDAP роли DN» - LDAP DN, где сохранены роли данного дерева. Например, «ou=finance, dc=example, dc=org»;
  • «Имя роли LDAP атрибута» - имя атрибута LDAP, которое используется в наименовании роли в объектах и RDN роли. Обычно используется «cn». В этом случае типичный объект группы/роли может иметь DN типа «cn=role1, ou=finance, dc=example, dc=org»;
  • «Классы ролевых объектов» - класс объекта роли. Классы разделены запятой, если необходимо указать больше одного класса. В типичном развёртывании LDAP это может быть «groupOfNames». В «Active Directory» обычно это «group»;
  • «Членство LDAP атрибута» - имя LDAP атрибута группы, который используется для отображения членства. Обычно это атрибут «member», однако, когда «Тип членства атрибута» UID - тогда имя LDAP атрибута группы «memberUID»;
  • «Тип членства атрибута»:
    • DN - означает, что у группы LDAP есть свои члены, объявленные в форме их полного DN;
    • UID - означает, что члены группы LDAP объявлены в форме чистых пользовательских идентификаторов.
  • «Членство LDAP атрибута» пользователя - используется только в том случае, если тип атрибута членства UID;
  • «Атрибут UUID в LDAP» - наименование LDAP атрибута, которое используется как уникальный идентификатор объектов (UUID) в LDAP. Для некоторого множества LDAP серверов имеет значение «entryUUID». Для Active Directory – «objectGUID». Если LDAP сервер не поддерживает понятие UUID, то можно использовать любой другой атрибут, который должен быть уникальным для сущностей в дереве LDAP;
  • «Фильтр LDAP» - фильтр LDAP добавляет дополнительный настраиваемый фильтр ко всему запросу для получения ролей LDAP. Оставьте это поле пустым, если дополнительная фильтрация не требуется, и вы хотите получить все роли из LDAP. В противном случае убедитесь, что фильтр начинается с „(“ и заканчивается „)“.
  • «Режим»:
    • «Только LDAP» означает, что все отображения групп пользователей извлекаются из LDAP и сохраняются в LDAP;
    • «Только для чтения» - это доступный только для чтения режим LDAP, в котором отображения групп извлекаются из LDAP и БД и объединяются вместе. Новые групповые объединения сохраняются не в LDAP, а в БД;
    • «Импорт» - это доступный только для чтения режим LDAP, в котором отображения групп извлекаются из LDAP как раз в тот момент, когда пользователь импортируется из LDAP, а затем сохраняются в базе данных системы.
  • «Стратегия извлечения ролей пользователей» определяет, как получить роли пользователей:
    • «Загрузка ролей из атрибута member» - означает, что роли пользователя будут получены путем отправки запроса LDAP для получения всех ролей, где «member» - наш пользователь;
    • «Получение роли из атрибута memberOf» - означает, что роли пользователей будут получены из атрибута LDAP пользователя «memberOf» или из атрибута, указанного в поле «LDAP атрибут Member-Of»;
    • «Рекурсивная загрузка ролей» - применимо только в Active Directory, и это означает, что роли пользователей будут извлекаться рекурсивно с использованием LDAP_MATCHING_RULE_IN_CHAIN.
  • «LDAP атрибут Member-Of» - используется только тогда, когда «Стратегия получения ролей пользователя» имеет значение «Получение групп из атрибута memberOf». Параметр указывает имя атрибута LDAP для пользователя LDAP, который содержит группы, в которые входит пользователь. Обычно это «memberOf», которое является значением по умолчанию;
  • «Отображение ролей областей» - (флаг) если включено, то отображение ролей LDAP будет выполнено с сопоставлениями ролей областей. В противном случае он будет сопоставлен с сопоставлениями ролей клиента;
  • Клиент - идентификатор клиента, с помощью которого будет выполнено отображение ролей LDAP. Применимо, только если «Отображение ролей областей» не включено.

Пример списка клиентских систем после установки:

  • Учетная запись (account);
  • Консоль администрирования (security-admin-console).
  • Преобразование атрибута LDAP в отображение

Используется для сопоставления одиночного атрибута пользователя LDAP с атрибутом UserModel в базе данных.

Состав и содержание опций параметра:

  • «Атрибут модели пользователя» - имя свойства или атрибута UserModel, с которым требуется сопоставить атрибут LDAP. Например, «firstName», «lastName», «email» и т.д.;
  • «LDAP атрибут» - отображение имени атрибута LDAP. Например, «cn», «sn», «mail», «street» и т.д.;
  • «Только для чтения» - (флаг) данные, импортированные из LDAP в БД системы, но они не сохраняются обратно в LDAP при обновлении пользователя;
  • «Всегда читать значение из LDAP» (флаг) - если включено, то значение атрибута пользователя всегда будет извлекаться из LDAP, вместо значения БД;
  • «Обязательно в LDAP» - (флаг) если включено, то атрибут обязателен в LDAP. Следовательно, если в базе данных нет значения, пустое значение будет установлено в LDAP;
  • «Двоичный атрибут» - (флаг) должен быть указан для отображения двоичных атрибутов LDAP.
  • Преобразование уникального атрибута LDAP в отображение

Преобразование уникального атрибута LDAP в отображение используется для сопоставления одиночного уникального атрибута пользователя LDAP с атрибутом UserModel в базе данных.

Состав и содержание опций параметра:

  • «Атрибут модели пользователя» - имя свойства или атрибута UserModel, с которым требуется сопоставить атрибут LDAP. Например, «firstName», «lastName», «email» и т.д.;
  • «LDAP атрибут» - отображение имени атрибута LDAP. Например, «cn», «sn», «mail», «street» и т.д.;
  • «Только для чтения» - (флаг) данные, импортированные из LDAP в БД системы, но они не сохраняются обратно в LDAP при обновлении пользователя;
  • «Всегда читать значение из LDAP» - (флаг) если включено, то значение атрибута пользователя всегда будет извлекаться из LDAP, вместо значения БД;
  • «Обязательно в LDAP» - (флаг) если включено, то атрибут обязателен в LDAP. Следовательно, если в базе данных нет значения, пустое значение будет установлено в LDAP;
  • «Двоичный атрибут» - (флаг) должен быть указан для отображения двоичных атрибутов LDAP.

По завершению настроек нажмите на кнопку «Сохранить».

2.3.9.1.4 Пример. Настройка федерации на примере FreeIPA (Free Identity, Policy and Audit)

Перейдите на страницу:

Имя домена >> Безопасность >> Федерации.

Нажмите на кнопку «Создать», заполните основную конфигурационную информацию о федерации, каждое поле снабжено подсказкой (Рис. 2.153).

Укажите значение «uid» в полях:

  • «Атрибут Username в LDAP»;
  • «Атрибут RDN в LDAP».

Укажите значение «uidNumber» в поле: «Атрибут UUID в LDAP».

Примечание.

Пользовательский DN, классы объекты пользователей и остальные параметры приведены в качестве примера, требуется их настройка в соответствии со структурой данных LDAP.

../../_images/image641.png

Рис. 2.153 Окно создания федерации LDAP

После успешного сохранения основных настроек, убедитесь, что отображение «username» в параметре «LDAP атрибут» имеет значение «uid» (Рис. 2.154).

../../_images/image642.png

Рис. 2.154 Изменение отображения. LDAP атрибут

Настройка отображения ролей LDAP имеет параметры указанные на рисунке (Рис. 2.155). Важный атрибут «Классы ролевых объектов» - «groupOfNames, nestedgroup». Последний класс позволит отобразить роли в веб интерфейсе FreeIPA. Для успешной синхронизации ролей из TVS в LDAP укажите наименование уникального атрибута у роли «Атрибут UUID в LDAP» - «cn», если поле оставить не заполненным, то в качестве атрибута будет использован одноименный атрибут из федерации.

../../_images/image643.png

Рис. 2.155 Изменение отображения. Классы ролевых объектов

Настройка отображения групп LDAP имеет параметры указанные на рисунке (Рис. 2.156). Важный атрибут «Классы группы» - «groupOfNames, nestedgroup, ipaUserGroup». Последние 2 класса позволят отобразить группы в веб интерфейсе FreeIPA. Для успешной синхронизации групп из TVS в LDAP укажите наименование уникального атрибута у группы «Атрибут UUID в LDAP» - «cn», если поле оставить не заполненным, то в качестве атрибута будет использован одноименный атрибут из федерации.

../../_images/image644.png

Рис. 2.156 Изменение отображения. Классы групп