Для работы в корпоративной среде больших предприятий Система позволяет интегрироваться со службой Active Directory, что позволяет настроить синхронизацию учетных записей пользователей, администраторов и кураторов безопасности с контроллерами доменов, развернутых в структуре Вашей организации. Синхронизация может осуществляться как в ручном режиме, так и автоматически, с заданной периодичностью. Для конфигурирования интеграции требуется обладать базовыми знаниями о структуре каталога LDAP и работе AD.
Для управления подключениями к доменам перейдите на страницу «Active Directory» (1).
На данной странице Вы можете добавлять (2), выполнять синхронизацию (3), настраивать исключение из синхронизации конкретных пользователей (4), копировать (5), удалять подключения к доменным областям Вашего предприятия (6), проверить подключение к домену (7).
Окно настройки к доменным областям
Для редактирования подключения сделайте двойной щелчок мышкой по записи в таблице. Откроется форма, отображающая данные доменной области с возможностью редактирования данных.
Окно редактирования данных доменной области
Для добавления нового подключения к доменной области предприятия перейдите на страницу «Active Directory» (1) нажмите кнопку «Добавить» (2) в верхней части экрана, откроется модальное окно с формой добавления новой доменной области.
Модальное окно добавления доменной области
В форме укажите наименование (3), адрес сервера Active Directory (4), базовый DN (5), DN технологической записи с правами на чтение (6), пароль для технологической записи (7), опционально можно указать DN группы пользователей домена с которой будет производиться синхронизация, если DN группы не указан, то синхронизация будет начинаться с базового DN рекурсивно вниз по дереву каталога LDAP. Если требуется автоматическая синхронизация для данного подключения выберите галочку «Включить автоматическую синхронизацию» (8). Выберите тип пользователей Системы (9). Для добавления новой доменной области необходимо нажать на кнопку "Сохранить" (10).
Таблица 1. Параметры подключения к домену Active Directory
Название поля | Тип поля | Описание | Пример |
---|---|---|---|
Наименование | Текст | Текстовое наименование подключения к домену AD | Основной домен |
Адрес сервера | Текст | Адрес сервера AD. Подключение производится по шифрованному протоколу LDAPS | ldaps://domain-ad.org.local |
Базовый DN | Текст | Корневой DN подключения | DC=org,DC=local |
DN для подключения | Текст | DN технологической записи для подключения | CN=readonlyuser,CN=Users,DC=org,DC=local |
Пароль | Текст | Пароль для технологической учётной записи | Пароль сохраняется в зашифрованном виде по алгоритму AES 256. |
Группа | Текст | DN группы домена для которой будет производиться синхронизация пользователей. Если группа не определена, то поиск пользователей будет производиться начиная с корневого DN | CN=Managers,CN=Users,DC=org,DC=local |
Тип учетной записи | Выбор | Тип учетной записи для импорта пользователей из Active Directory в PLAN-R. Доступные значения: Пользователь, Администратор |
Для проверки подключения нажмите кнопку «Тест подключения» (1). Для закрытия окна тестирования подключения нажмите «OK» (2).
Тест подключения
Количество подключений не ограничено, для уменьшения времени синхронизации рекомендуется не создавать подключения с большим количеством пользователей в группе LDAP, т.к. это может значительно повысить время на запрос данных пользователей, размещенных в каталоге.
Подсистема обеспечивает ручную и автоматическую (по расписанию) синхронизацию учетных данных пользователей, администраторов и кураторов информационной безопасности с несколькими доменами Active Directory на основе их членства в соответствующих группах безопасности AD с поддержкой отношения «один-ко-многим. Каждой категории пользователя PLAN-R могут быть сопоставлены одна или несколько групп AD (и всех вложенных в них дочерних групп). Синхронизация учетных записей осуществляется рекурсивно для всех групп безопасности, включенных в группу, определенную в параметрах подключения.
Синхронизация учетных записей производиться отдельно для каждого настроенного подключения и производится согласно его настройкам.
Наличие учетной записи в PLAN-R проверяется по уникальному идентификатору пользователя (SID), в качестве которого выступает обязательный LDAP атрибут userPrincipalName. Если пользователь состоит в группе AD определенной в настройках подключения, и не был импортирован ранее и не включен в список исключений, то производится добавление его учетной записи в PLAN-R, если пользователь был импортирован ранее, то производится синхронизация его атрибутов со значениями атрибутов из AD.
Таблица 2. Матрица синхронизации атрибутов LDAP
LDAP attribute | Атрибут пользователя | Комментарий |
---|---|---|
userPrincipalName | login | Поле, по которому производится синхронизация атрибутов |
givenName | firstName | Имя пользователя |
sn | lastName | Фамилия |
initials | secondName | Отчество |
displayName | displayName | Отображаемое имя |
userAccountControl | state | Статус пользователя active – активен, block – заблокирован |
Электронная почта | ||
telephoneNumber | telephone | Телефон |
title | title | Должность |
department | department | Отдел |
company | company | Организация |
Включение синхронизации всех подключений производится в разделе Active Directory (1) при помощи нажатия на кнопку «Включение синхронизации» (2). После появления модального окна необходимо ввести текстовую строку в формате crontab (3) и нажать кнопку «Продолжить» (4).
Модальное окно включения синхронизации
Отключение синхронизации всех подключений производится в разделе Active Directory (1) при помощи нажатия на кнопку «Выключение синхронизации» (2). После появления модального окна необходимо нажать кнопку «Продолжить» (3).
Модальное окно отключения синхронизации
Данный вид предназначен для синхронизации конкретных выбранных пользователей без учета пользователей, добавленных в исключения.
На вкладке Active Directory (1), необходимо выбрать доменную область (2), открыть меню подключения данной доменной области нажатием на ⋮ (3) и выбрать пункт «Синхронизировать выбранных» (4).
Синхронизация выбранных пользователей
Откроется форма выбора пользователей, в которой отображаются пользователи из LDAP и их атрибуты.
Отметьте галочками пользователей (1), которых требуется синхронизировать. Для синхронизации нажмите «Синхронизировать» (2) в правом верхнем углу экрана. Если выбранные пользователь не были зарегистрированы в Системе, то будет создан новый пользователь, если пользователь существовал, то значения его атрибутов будут заменены на значения атрибутов, полученных из LDAP. Затем в открывшемся окне необходимо нажать на кнопку «Применить» (3).
Окно синхронизации выбранных пользователей
Для того чтобы исключить пользователей из автоматической синхронизации на вкладке Active Directory (1) необходимо выбрать доменную область, открыть меню подключения данной доменной области нажатием на ⋮ и выбрать пункт «Исключения», откроется форма, в которой отметьте нужных пользователей чекбоксами (2) и нажмите на кнопку «Сохранить» (3). После появится модальное окно, где необходимо нажать на кнопку «Применить». Выбранные пользователи не будут добавляться в Систему если они в ней не зарегистрированы, если зарегистрированы, то к ним не будут применяться никакие изменения, произведенные в каталоге LDAP, в том числе блокировки.
Исключение пользователей
Для того чтобы синхронизировать всех пользователей домена за исключением пользователей, указанных в исключениях, на вкладке Active Directory (1), необходимо выбрать доменную область, открыть меню подключения данной доменной области нажатием на ⋮ (2) и выбрать пункт «Синхронизировать всех», откроется форма, в которой необходимо подтвердить действие и нажмите «Применить».
Синхронизация всех пользователей
Если выбранный пользователь не был зарегистрирован в Системе, то будет создан новый пользователь, если пользователь существовал, то значения его атрибутов будут заменены на значения атрибутов, полученных из LDAP, если пользователь был удален из LDAP, то он будет заблокирован.
Для копирования подключения на вкладке Active Directory (1), необходимо выбрать доменную область, открыть меню подключения данной доменной области нажатием на ⋮ (2) и выбрать пункт «Копировать». Затем необходимо ввести название новой доменной области (3) и нажать на «Ок» (4).
Копирование доменной области
Для удаления подключения на вкладке Active Directory (1), необходимо выбрать доменную область, открыть меню подключения данной доменной области нажатием на ⋮ (2) выберите пункт «Удалить подключение» (3).
Удаление подключения к Active Directory
Далее, в новом окне необходимо подтвердить удаление. После удаления подключения синхронизация учетных записей, связанных с ним, осуществляться не будет, и аутентификация с помощью этих учетных записей будет невозможна.
Подтверждение удаления подключения к Active Directory