Как посмотреть ldap пользователей
Перейти к содержимому

Как посмотреть ldap пользователей

  • автор:

Панель управления — обновлено: Поиск пользователей

Результаты поискового запроса можно использовать для настройки пользователей для Skype для бизнеса Server. Вы можете искать пользователей по отображаемого имени, имени, фамилии, имени учетной записи диспетчера учетных записей безопасности (SAM), SIP-адреса или строки URI. Вы также можете искать пользователей с помощью панель управления Lync Server или оснастки «Пользователи и компьютеры Active Directory».

Задачи, которые вы можете выполнить

На странице панели управления Поиск пользователей можно выполнить следующие задачи:

  • Search for Lync Server 2010 Users
  • Enable or Disable Users for Lync Server 2010
  • Перемещение пользователя
  • Перемещение всех пользователей
  • Assign Policies to Users
  • Enable users for Enterprise Voice in Skype for Business Server 2015
  • Configure Federation, Remote User Access, and Public IM Connectivity for Users
  • Configure Telephony for Users

Дополнительные сведения о различных процедурах, которые можно выполнить с помощью Skype для бизнеса Server панель управления, см. в разделе Управление Skype для бизнеса Server 2015.

Ссылка на пользовательский интерфейс

В следующих списках приведены меню, команды, поля и свойства, имеющиеся на странице Поиск пользователей.

Поиск пользователей

  • Поиск Выполните поиск пользователей по первой части отображаемого имени, имени, фамилии, имени учетной записи SAM, SIP-адреса или URI строки учетной записи пользователя.
  • Поиск LDAP Выполните поиск пользователей, введя выражение LDAP.
  • Поле «Поиск пользователей» Введите пользовательские данные или выражение LDAP, для которого требуется выполнить поиск.
  • Найти Щелкните, чтобы отобразить пользователей, которые соответствуют значениям поиска, введенным в поле Поиск пользователей .
  • Открыть запрос Щелкните, чтобы открыть сохраненный поисковый запрос.
  • Сохранить запрос Щелкните, чтобы сохранить поисковый запрос.
  • + Добавить фильтр Щелкните, чтобы добавить дополнительные условия поиска.
  • Поля фильтра поиска Выберите поле, по которому требуется отфильтровать результаты поиска, выберите оператор для запроса, а затем введите строку, по которой требуется выполнить поиск.
  • Максимальное число отображаемых пользователей Введите количество результатов поиска, которые вы хотите отобразить, или используйте стрелки вверх и вниз, чтобы указать число.

Добавьте описательный текст, если требуется.

Меню результатов поиска

  • Включение пользователей Щелкните, чтобы открыть диалоговое окно Пользователи: новый пользователь Lync Server, в котором можно добавить нового пользователя в Skype для бизнеса Server. Для добавления нового контакта щелкните стрелку вниз, а затем выберите команду Включить контакты, чтобы открыть диалоговое окно Users: New Contact Objects.
  • Редактировать Нажмите кнопку Изменить , а затем — Показать сведения , чтобы отобразить сведения о выбранном пользователе, или выберите выбрать все результаты поиска , чтобы выбрать всех пользователей, отображаемых в таблице результатов.
  • Действий Щелкните Действие, а затем выберите действие, которое нужно выполнить для выбранных пользователей в результатах поиска. Доступны следующие действия:
    • Повторное включение для Lync Server Включает выбранную учетную запись пользователя после ее временного отключения.
    • Временное отключение для Lync Server Отключает учетную запись пользователя в Skype для бизнеса Server, пока вы не включите ее повторно, не удаляя учетную запись пользователя.
    • Назначение политик Открывает диалоговое окно Пользователи: назначение политик , где можно настроить политики, назначенные пользователю.
    • Просмотр состояния ПИН-кода Открывает диалоговое окно Пользователи: просмотр состояния ПИН-кода , в котором отображаются данные ПИН-кода для выбранного пользователя.
    • Установка ПИН-кода Открывает диалоговое окно Установка ПИН-кода , в котором можно задать ПИН-код для выбранного пользователя.
    • Блокировка ПИН-кода Блокирует ПИН-код для пользователя.
    • Разблокировать ПИН-код Удаляет блокировку ПИН-кода пользователя.
    • Удалить из Lync Server Удаляет учетную запись пользователя из Skype для бизнеса Server. Пользователь не удаляется из Active Directory.
    • Удаление сертификата пользователя Удаляет все сертификаты, предоставленные пользователю.
    • Перемещение выбранных пользователей в пул Открывает диалоговое окно Перемещение пользователя , в котором можно выбрать пул для перемещения выбранного пользователя.
    • Перемещение всех пользователей в пул Открывает диалоговое окно Перемещение пользователя , в котором можно выбрать пул для перемещения всех выбранных пользователей.

    4. Управление пользователями и группами в OpenLDAP

    Где работаем: ldap-srv На данном этапе у нас есть пустой каталог OpenLDAP. Мы можем проверить это, просто попытавшись извлечь из него информацию:

    $ ldapsearch -xZZLLLWD cn=admin,dc=example,dc=com -b dc=example,dc=com Enter LDAP Password: No such object (32)

    Если Вам интересно, коды ошибок LDAP описаны в RFC 4511, в приложении A Результирующие коды LDAP. В случае ошибки 32 сервер информирует нас, что запрашиваемый объект dc=example,dc=com не найден. Но такую же ошибку можно получить, если ACL сервера запрещают доступ. Для работы нашего каталога понадобится создать корневой суффикс базы данных и добавить в него две организационных единицы (Organizational Unit, OU) для хранения пользователей и групп. Создадим LDIF-файл 4-users+groups.ldif, в котором опишем эту информацию:

    dn: dc=example,dc=com dc: example objectClass: top objectClass: domain dn: ou=users,dc=example,dc=com ou: Users objectClass: top objectClass: organizationalUnit description: Central location for UNIX users dn: ou=groups,dc=example,dc=com ou: Groups objectClass: top objectClass: organizationalUnit description: Central location for UNIX groups

    Добавим эту информацию в наш каталог:

    $ ldapmodify -a -xZZWD cn=admin,dc=example,dc=com -f 4-users+groups.ldif Enter LDAP Password: adding new entry "dc=example,dc=com" adding new entry "ou=users,dc=example,dc=com" adding new entry "ou=groups,dc=example,dc=com"

    Можем удостовериться в том, что информация добавлена:

    $ ldapsearch -xZZLLLWD cn=admin,dc=example,dc=com Enter LDAP Password: dn: dc=example,dc=com dc: example objectClass: top objectClass: domain dn: ou=users,dc=example,dc=com ou: Users objectClass: top objectClass: organizationalUnit description: Central location for UNIX users dn: ou=groups,dc=example,dc=com ou: Groups objectClass: top objectClass: organizationalUnit description: Central location for UNIX groups
    • sysadmin, для объединения системных администраторов Linux;
    • nssproxy, которая будет использоваться для опроса сервера, чтобы не делать анонимный опрос;
    • test.group, для тестирования различных частей архитектуры PAM и LDAP. Тестирование — это всегда хорошо!

    Этот список не окончательный и может быть дополнен, чтобы соответствовать нуждам Вашей организации.

    Для добавления групп в каталог создадим новый LDIF, 4-groups.ldif:

    dn: cn=sysadmin,ou=groups,dc=example,dc=com cn: sysadmin objectClass: top objectClass: posixGroup gidNumber: 1100 description: UNIX systems administrators dn: cn=nssproxy,ou=groups,dc=example,dc=com cn: nssproxy objectClass: top objectClass: posixGroup gidNumber: 801 description: Network Service Switch Proxy dn: cn=test.group,ou=groups,dc=example,dc=com cn: test.group objectClass: top objectClass: posixGroup gidNumber: 1101 description: Test Group

    Загрузим LDIF в наш каталог:

    $ ldapmodify -a -xZZWD cn=admin,dc=example,dc=com -f 4-groups.ldif Enter LDAP Password: adding new entry "cn=sysadmin,ou=groups,dc=example,dc=com" adding new entry "cn=nssproxy,ou=groups,dc=example,dc=com" adding new entry "cn=test.group,ou=groups,dc=example,dc=com"

    Настало время создать несколько пользователей. И вновь отмечаем, что список может быть расширен в соответствии с потребностями Вашей организации:

    • pablo. Это я 😉
    • nssproxy, который будет использоваться для опроса сервера, чтобы не делать опрос от анонимного пользователя.
    • test.user. Как и тестовая группа, этот пользователь будет использоваться для проверки наших настроек.

    Создадим LDIF-файл 4-users.ldif для добавления пользователей. Пока не беспокойтесь о паролях, мы сейчас к ним вернёмся:

    dn: cn=pablo,ou=users,dc=example,dc=com uid: pablo gecos: Pablo Sdoba objectClass: top objectClass: account objectClass: posixAccount objectClass: shadowAccount userPassword: RsAMqOI3647qg1gAZF3x2BKBnp0sEVfa shadowLastChange: 15140 shadowMin: 0 shadowMax: 99999 shadowWarning: 7 loginShell: /bin/bash uidNumber: 1100 gidNumber: 1100 homeDirectory: /home/pablo dn: cn=nssproxy,ou=users,dc=example,dc=com uid: nssproxy gecos: Network Service Switch Proxy User objectClass: top objectClass: account objectClass: posixAccount objectClass: shadowAccount userPassword: RsAMqOI3647qg1gAZF3x2BKBnp0sEVfa shadowLastChange: 15140 shadowMin: 0 shadowMax: 99999 shadowWarning: 7 loginShell: /bin/false uidNumber: 801 gidNumber: 801 homeDirectory: /home/nssproxy dn: cn=test.user,ou=users,dc=example,dc=com uid: test.user gecos: Test User objectClass: top objectClass: account objectClass: posixAccount objectClass: shadowAccount userPassword: RsAMqOI3647qg1gAZF3x2BKBnp0sEVfa shadowLastChange: 15140 shadowMin: 0 shadowMax: 99999 shadowWarning: 7 loginShell: /bin/bash uidNumber: 1101 gidNumber: 1101 homeDirectory: /home/test.user

    Пользователи связаны с группами через атрибут gidNumber . Для того, чтобы добавить в группу других пользователей, в запись группы необходимо добавить атрибут memberUID , перечислив в нём UID пользователей через запятую. Например, это может выглядеть вот так:

    dn: cn=sysadmin,ou=groups,dc=example,dc=com cn: sysadmin objectClass: top objectClass: posixGroup gidNumber: 1100 description: UNIX systems administrators memberUID: 801,1101

    Добавьте пользователей в каталог:

    $ ldapmodify -a -xZZWD cn=admin,dc=example,dc=com -f 4-users.ldif Enter LDAP Password: adding new entry "cn=pablo,ou=users,dc=example,dc=com" adding new entry "cn=nssproxy,ou=users,dc=example,dc=com" adding new entry "cn=test.user,ou=users,dc=example,dc=com"

    Теперь установим пароли для пользователей. Повторите нижеследующую команду для всех пользователей. Обратите внимание, что сначала Вам будет предложено дважды ввести пароль изменяемой записи, а затем — пароль записи cn=admin,dc=example,dc=com :

    $ ldappasswd -xZZWD cn=admin,dc=example,dc=com -S cn=nssproxy,ou=users,dc=example,dc=com New password: Re-enter new password: Enter LDAP Password:

    Если заглянуть в журнал /var/log/slapd.log, то можно увидеть строки, говорящие об изменении записи:

    slapd[5319]: conn=1022 op=1 PASSMOD new slapd[5319]: conn=1022 op=1 RESULT oid= err=0 text=

    Для того, чтобы пользователь nssproxy имел доступ к информации нашего каталога, необходимо поправить ACL базы данных с пользователями и группами. Но какое у этой базы DN? Давайте вспомним:

    $ ldapsearch -xZZLLLWD cn=admin,dc=example,dc=com -b cn=config dn | grep -i database Enter LDAP Password: dn: olcDatabase=frontend,cn=config dn: olcDatabase=config,cn=config dn: olcDatabase=mdb,cn=config dn: olcDatabase=monitor,cn=config

    В разделе 2.6 мы дали нашей учетной записи администратора очень широкие права, поэтому он может заглянуть в конфигурацию cn=config .

    Теперь мы знаем, что требуется отредактировать ACL записи olcDatabase=mdb,cn=config .

    Давайте проверим, какие ACL настроены для данного DN (вывод отформатирован):

    $ ldapsearch -xZZLLLWD cn=admin,dc=example,dc=com -b olcDatabase=mdb,cn=config olcAccess Enter LDAP Password: dn: olcDatabase=mdb,cn=config olcAccess: to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external ,cn=auth" manage by * break olcAccess: to attrs=userPassword by self write by anonymous auth olcAccess: to * by self read

    Мы должны немного изменить ACL, чтобы предоставить доступ пользователю nssproxy на чтение атрибутов учётных записей. Для этого создадим LDIF-файл 4-nssproxy.acl.ldif:

    dn: olcDatabase=mdb,cn=config changetype: modify replace: olcAccess olcAccess: to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external ,cn=auth" manage by * break - add: olcAccess olcAccess: to attrs=userPassword by self write by anonymous auth - add: olcAccess olcAccess: to * by self read by dn.base="cn=nssproxy,ou=users,dc=example,dc=com" read

    Загрузим LDIF с изменениями:

    $ ldapmodify -xZZWD cn=admin,dc=example,dc=com -f 4-nssproxy.acl.ldif Enter LDAP Password: modifying entry "olcDatabase=mdb,cn=config"

    Проверим, можем ли мы просматривать информацию в каталоге от имени пользователя nssproxy. Для этого выполним запрос с использованием его учётных данных. Результатом запроса должно быть всё DIT (Directory Information Tree). Опустим его, для краткости:

    $ ldapsearch -xZZLLLWD cn=nssproxy,ou=users,dc=example,dc=com "(objectClass=*)" Enter LDAP Password: dn: dc=example,dc=com .

    Убедитесь, что другие учётные записи пользователей не имеют доступа к DIT:

    $ ldapsearch -xZZLLLWD cn=pablo,ou=users,dc=example,dc=com "(objectClass=*)" Enter LDAP Password: No such object (32)

    LDAP-браузер

    База данных нашего сервера каталогов по-немногу заполняется объектами. С этого момента стоит подумать о выборе LDAP-браузера. Как правило, это приложение, которое позволяет наглядно отображать записи в базе данных и работать с ними. Лично у меня самый любимый — ldapvi. Но он консольный и имеет объективные недостатки. Попробуйте Apache Directory Studio. Он имеет нормальный GUI, бесплатен и поддерживает множество удобных функций для управления сервером каталогов. Этот браузер может быть установлен как отдельно, так и в качестве компонента программного средства Eclipse. Должен предупредить, при использовании Apache Directory Studio у меня возникали проблемы с доступом к серверу каталогов. Единственно разумное объяснение, которое я нашёл — ориентированность этого программного средства на использование с Apache Directory Server (ApacheDS). Так же неплохой вариант для работы из Windows — LDAP Admin.

    OpenLDAP и Ubuntu на практике > Управление пользователями и группами в OpenLDAP

    Pro-LDAP.ru 2015 г. Последнее изменение страницы — 3 мая 2015 г. Вопросы и предложения принимаются на форуме проекта.

    Управление пользователями и группами через LDAP

    Вы можете подключить управляемый кластер Ключ-АСТРОМ к каталогу LDAP для аутентификации, управления пользователями и группами.

    Благодаря интеграции LDAP пользователи внешнего ресурса LDAP могут получить доступ к Ключ-АСТРОМ. Затем вы можете назначать пользователей в группы в Ключ-АСТРОМ, или группы могут быть назначены пользователям на основе информации LDAP.

    • 1 Начало
    • 2 Конфигурация подключения
    • 3 Конфигурация запросов групп
    • 4 Конфигурация запросов пользователей
    • 5 Соответствие пользователей и групп
      • 5.1 Пример соответствия 1
      • 5.2 Пример соответствия 2
      • 5.3 Пример соответствия 3

      Начало

      1. В меню Ключ-АСТРОМ перейдите в меню «Аутентификация пользователя»> «Репозиторий пользователя».

      2. Выберите Внешний сервер LDAP из списка.

      Пример страницы конфигурации LDAP

      Откроется страница конфигурации LDAP.

      • Пример страницы «Конфигурация LDAP»
      1. Локальные учетные записи (кроме учетной записи администратора) перестанут работать: будет невозможно войти в систему с локальной учетной записью.
      2. Учетная запись администратора, созданная вами во время установки, будет продолжать работать независимо от выбранного провайдера аутентификации.

      3. На странице конфигурации LDAP отображается трехэтапный процесс настройки.

      1. Конфигурация подключения
      2. Конфигурация запросов групп
      3. Конфигурация запросов пользователей

      См. ниже подробные сведения о конфигурации.

      Конфигурация подключения

      Пример раздела «Конфигурация подключения»

      Конфигурация подключения

      1. Введите адрес вашего хоста LDAP.

      • Чтобы включить шифрованную связь с сервером LDAP, выберите «Использовать SSL». Это приведет к автоматическому изменению номера порта, но затем вы можете настроить его на другое значение по мере необходимости.

      2. При необходимости измените номер порта:

      • 389 — это номер порта по умолчанию для стандартного соединения LDAP, но убедитесь, что ваш сервер LDAP действительно его использует.
      • 636 — это номер порта по умолчанию для безопасного соединения LDAPS (LDAP через SSL).

      3. Укажите Bind DN (отличительное имя) для учетной записи пользователя LDAP, например, в формате:

      или любая другая допустимая строка LDAP.

      Примечание: Bind DN обычно используется системным пользователем (а не физическим лицом) для подключения к серверу LDAP. С точки зрения сервера LDAP, это просто пользователь, который читает данные и, следовательно, не нуждается в доступе для записи, но ему нужен доступ для чтения ко всем данным, которые будут извлечены из LDAP сервером Ключ-АСТРОМ.

      4. Введите пароль, используемый пользователем LDAP, указанным в DN привязки.

      5. [опционально] Если вы настроили рефералы на своем сервере LDAP, установите Максимальное количество переходов.

      6. Выберите «Проверить соединение», чтобы проверить, может ли Ключ-АСТРОМ Managed подключиться к вашему серверу LDAP. Во время проверки подключения

      1. Ключ-АСТРОМ пытается распознать тип используемого вами LDAP-сервера.
      2. На основе предыдущего шага Ключ-АСТРОМ предоставляет вам настройки по умолчанию для групповых и пользовательских запросов.

      Когда соединение установлено, вы готовы к настройке групп и пользователей.

      • Группы должны создаваться администратором вручную.
      • Пользователи создаются автоматически, но только после успешной попытки аутентификации.

      Конфигурация запросов групп

      После успешного тестирования соединения становится активным шаг запроса Группы. Если вы хотите использовать интеграцию LDAP только для аутентификации (для управления группами и назначения разрешений в Ключ-АСТРОМ Managed), снимите флажок «Назначать пользователей группам автоматически на основе запроса LDAP» и перейдите к настройке запроса пользователей. В противном случае выполните следующие действия.

      Пример раздела «Запрос групп»

      Запрос групп

      1. Введите строки запроса в соответствующие поля, чтобы получить группы, которые вы хотите интегрировать с Ключ-АСТРОМ.

      • Каталог LDAP имеет древовидную структуру. Базовое DN для запроса групп — это запись, содержащая поддерево, в котором существуют ваши группы. В приведенном ниже примере изображения есть два поддерева, содержащие группы пользователей OU=Groups,DC=org и OU=Lab,DC=org :

      LDAP пример 1

      Если вы хотите распределить пользователей по группам в обоих поддеревьях, вы должны указать базовое DN для запроса групп как DC=org (родительская запись). Чтобы назначать пользователей только в группы поддерева OU=Lab,DC=org , укажите это поддерево в качестве базового DN.

      • Вы можете ввести строку фильтра LDAP, чтобы сократить количество возвращаемых групп. Фильтр должен содержать информацию о том, какой класс объектов имеет записи группы. Например, для Active Directory фильтр по умолчанию:

      (objectClass=group)

      а для OpenLDAP фильтр по умолчанию:

      (objectClass=groupOfNames)

      Чтобы сузить количество используемых групп, вы можете расширить фильтр с помощью ограничений имени группы. Например, фильтр (&(objectClass=group)(CN=PL_*)) сужает группы, используемые системой, до групп, которые имеют group как атрибут objectClass и атрибут CN (общее имя), начинающийся с PL_ . Вы можете вставить сюда любой другой действительный запрос LDAP. Помните, что LDAP нечувствителен к регистру.

      • Настройте атрибут Group Id. Этот атрибут используется только в особых случаях. Чтобы узнать больше, проверьте раздел «Соответствие пользователей и групп» ниже. Если не применимо, установите для него то же значение, что и для атрибута имени группы.
      • Настройте атрибут имени группы. Это атрибут, содержащий имя группы, обычно называемое name (например, для Active Directory) или cn (например, для OpenLDAP). Значения атрибутов имени группы в вашем каталоге LDAP должны совпадать с именами групп LDAP на странице Группы пользователей. Помните, что LDAP нечувствителен к регистру.

      Пример

      Если соответствующая запись группы в вашем каталоге LDAP:

      Атрибут Значение
      name My_TestGroup1
      • В Ключ-АСТРОМ, Аутентификация пользователя> Репозиторий пользователей (страница конфигурации LDAP), на шаге запроса групп установите для атрибута имени группы значение name (имя атрибута).
      • В Ключ-АСТРОМ, Проверка подлинности пользователя> Группы пользователей, отредактируйте или добавьте группу и добавьте My_TestGroup1 (значение атрибута) в группы LDAP.

      Примечание: Имя группы LDAP на странице «Группы пользователей» по умолчанию соответствует имени группы, которое вы указываете при создании группы.

      • Настройте атрибут «Члены группы». Этот атрибут подробно рассматривается в разделе «Сопоставление пользователей и групп» ниже.

      2. Выберите Протестировать запрос, чтобы проверить свои настройки и убедиться, что запрос работает.

      Конфигурация запросов пользователей

      После успешного тестирования соединения становится активным шаг запроса Пользователи.

      Пример раздела «Пользовательский запрос»

      Запрос пользователей

      1. Введите строки запроса в соответствующие поля, чтобы получить пользователей, которых вы хотите интегрировать с Ключ-АСТРОМ.

      • Каталог LDAP имеет древовидную структуру. Базовое DN для запроса пользователей — это запись, содержащая поддерево, в котором существуют ваши пользователи. Например, на изображении ниже есть два поддерева, содержащие пользователей:

      OU=Functional,OU=Accounts,DC=org и OU=Primary,OU=Accounts,DC=org

      LDAP пример 2

      Ссылаясь на пример дерева выше:

      • Чтобы аутентифицировать пользователей из обоих поддеревьев ( OU=Functional и OU=Primary ), установите Base DN для родительской записи этих поддеревьев:
      • Чтобы аутентифицировать пользователей только из OU = Primary subtree of OU = Accounts, установите для Base DN значение:
      • Чтобы еще больше ограничить пользователей системы поддеревом OU = EU из OU = Primary, установите для Base DN значение:
      • Вы можете ввести строку фильтра LDAP, чтобы сократить количество возвращаемых пользователей. Фильтр должен содержать информацию о том, какой класс объектов имеет записи группы. Например, для Active Directory и OpenLDAP фильтр по умолчанию:

      (objectClass=person)

      Чтобы сузить количество аутентифицированных пользователей, вы можете расширить фильтр с помощью любого допустимого запроса LDAP. Например, фильтр

      (&(objectClass=user)(|(department=101)(department=102)(department=103)))

      сужает количество прошедших аутентификацию пользователей до тех, у которых атрибут user as objectClass и атрибут department установлены на одно из указанных значений.

      Помните, что LDAP нечувствителен к регистру.

      • Настройте атрибут входа в систему. Этот атрибут используется для входа в систему.
      • Если указанные атрибуты вам не подходят, настройте атрибуты «Имя», «Фамилия» и «Электронная почта».
      • Настройте атрибут членства в группе. Этот атрибут подробно рассматривается в разделе «Сопоставление пользователей и групп» ниже.

      2. Выберите Тестовый запрос, чтобы проверить свои настройки и убедиться, что запрос работает.

      Параметры тестового запроса (как для групп, так и для пользователей) проверяют только правильность базовых DN, фильтров и обязательных атрибутов — атрибута имени группы для групп и атрибута входа в систему для пользователей.

      • Тестовые запросы не вызывают ошибок, если необязательные атрибуты настроены неправильно.
      • Тестовые запросы не проверяют, правильно ли распределены пользователи по группам.

      Соответствие пользователей и групп

      Есть несколько способов сопоставить пользователей с группами на серверах каталогов LDAP. Просмотрите эти примеры, чтобы найти решение, которое лучше всего подходит для вас.

      Пример соответствия 1

      Если атрибут участников группы (например, member или uniqueMember ) в записи группы LDAP содержит DN пользователя:

      • Настраивать атрибут Group Id не нужно. Вы можете настроить атрибут Group Id на то же значение, что и атрибут Group name.

      Пример соответствия 2

      Если атрибут членства в группе (например, memberOf или isMemberOf ) в записи пользователя содержит DN группы:

      • Настройка атрибута Group Id также не требуется, поскольку DN группы используется для сопоставления пользователей и групп. Вы можете настроить атрибут Group Id на то же значение, что и атрибут Group name.

      Пример соответствия 3

      Если атрибут членства в группе (например, gid или group ) в записи пользователя содержит идентификатор группы:

      • Атрибут Group Id должен быть настроен для атрибута, который хранит указанное значение.

      Пример групповой записи в каталоге LDAP:

      Атрибут Значение
      gidNumber 6380

      Пример записи пользователя в каталоге LDAP:

      Атрибут Значение
      gid 6380
      • Атрибут Group Id (в запросе групп) должен быть настроен на gidNumber
      • Атрибут членства в группе (в запросе пользователей) должен быть настроен на gid

      Сопоставьте управляемые группы Ключ-АСТРОМ с группами LDAP

      Для получения информации о разрешениях групп пользователей, доступных в Ключ-АСТРОМ Managed, см. Группы пользователей и разрешения.

      После того, как вы успешно настроили группы и пользователей из LDAP, вам необходимо назначить роли среды мониторинга группам из вашего каталога пользователей. По умолчанию импортированным группам не предоставляются разрешения на среду мониторинга.

      Пользователи не смогут получить доступ к среде мониторинга, пока вы не выполните этот шаг.

      1. В меню навигации выберите Проверка подлинности пользователя> Группы пользователей.

      2. В списке групп, импортированных из LDAP, выберите имена групп, которые вы хотите настроить.

      3. Вы можете назначить права администратора кластера любой конкретной группе, включив Предоставить разрешения глобального администратора этой группе. Все учетные записи пользователей в этой группе будут иметь права администратора.

      4. В разделе «Разрешения» вручную установите разрешения для каждой среды.

      Ограничения

      Ключ-АСТРОМ не поддерживает несколько доменов для аутентификации пользователей LDAP.

      Управление пользователями в LDAP

      Все иллюстрации приведены для Web-интерфейса центра управления. Выбор интерфейсов управления доступен из меню. Дополнительно, в тексте приведены прямые ссылки на эти интерфейсы.

      Скорее всего, ваша система настроена на локальную аутентификацию. То есть, информация о пользователях и группах хранится в файлах.

      Страница управления находится по адресу https://localhost:8080/auth

      00 Local Auth.png

      Создание базы LDAP и настройка аутентификации

      Страница управления находится по адресу https://localhost:8080/openldap

      01 Create new LDAP base.png

      Список баз пуст.

      Для создания новой базы в поле «Новый базовый DN:» вводим имя домена или имя базы. Нажатие на кнопку «Создать» приводит к созданию базы с настройками по умолчанию, а нажатие на кнопку «Режим эксперта» открывает страницу с дополнительными параметрами.

      02 Create new LDAP expert.png

      В любом случае будет создана новая база, сервис slapd перезапустится и новая база будет доступна для выбора в качестве источника аутентификации.

      03 Set Server.png

      Выбираем LDAP, по умолчанию предлагается хост 127.0.0.1. Можно ввести имя или адрес другого сервера. Список доступных баз создается автоматически и открывается область выбора базы.

      04 Select base.png

      Если база всего одна, то она будет установлена без диалога выбора.

      Нам достаточно, жмем кнопку «Применить».

      Все. Наш компьютер настроен на аутентификацию из двух источников: локальных файлов и базы LDAP

      Если опять зайти на страницу управления сервером LDAP, в списке увидим, что одна из баз используется для системной аутентификации. Её теперь невозможно удалить.

      05 Base used.png

      Управление пользователями

      Интерфейс управления находится по адресу: https://localhost:8080/ldap-users Изначально, список пользователей пуст.

      06 Empty userlist.png

      Миграция

      08 Migr Tool Preview.png

      На этом этапе предполагается использование инструментов миграции: Планируется перенос пользователей из системного /etc/passwd, из файла в таком же формате, со своего диска, из другого сервера LDAP.

      Если миграция не требуется, будем создавать пользователей «руками»

      Ручной режим

      Вводим имя будущего пользователя и жмем кнопку «Создать»

      07 Simple Create User.png

      После того, как пользователь создан, заполнено минимум информации. Заполняем поля:

      Редактирование информации о пользователе

      09 Editing New User.png

      Устанавливаем фотографию (она может использоваться другими службами сервера и программами, например KMail)

      Жмем кнопку «Set». Затем, кнопку «Upload»

      10 Adding Photo.png

      11 Added Photo.png

      При необходимости можно изменить членство пользователя в группах:

      12 Group Membership.png

      13 Work Info.png

      И изменить почтовые адреса (aliases) закрепленные за этим пользователем

      Похожие публикации:
      1. Msfree inc что это за папка
      2. Как вернуть старое табло в яндекс браузере
      3. Нажала забыть устройство в блютуз как восстановить
      4. Обычные поля в ворде это сколько

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *