Интеграция с Active Directory

Для работы в корпоративной среде больших предприятий PLAN-R позволяет интегрироваться со службой Active Directory, что позволяет настроить синхронизацию учетных записей пользователей с учетными записями пользователей Вашей организации. Синхронизация может осуществляться как в ручном режиме, так и автоматически, с заданной периодичностью. Для конфигурирования интеграции требуется обладать базовыми знаниями о структуре каталога LDAP и работе Active Directory.

Для управления подключениями к доменам Вашей организации, откройте Web консоль администрирования и перейдите на страницу «Active Directory» (1). На данной странице Вы можете добавлять (2), выполнять синхронизацию (3), настраивать исключение из синхронизации конкретных пользователей (4), копировать (5), удалять подключения к доменным областям Вашего предприятия (6), проверить подключение к домену (7).

register imageОкно настройки к доменным областям

Для редактирования подключения сделайте двойной щелчок мышкой по записи в таблице. Откроется форма, отображающая данные доменной области с возможностью редактирования данных.

register imageОкно редактирования данных доменной области

Создание подключения к Active Directory

Для добавления нового подключения к доменной области предприятия перейдите на страницу «Active Directory» (1) нажмите кнопку «Добавить» (2) в верхней части экрана, откроется модальное окно с формой добавления новой доменной области.

register imageМодальное окно добавления доменной области

Таблица 1. Параметры подключения к домену Active Directory

Название поля Тип поля Описание Пример
Наименование Текст Текстовое наименование подключения к домену AD Основной Домен
Адрес сервера Текст Адрес сервера AD. Подключение производится по шифрованному протоколу LDAPS ldaps://domain-ad.org.local
Базовый DN Текст Корневой DN подключения DC=org,DC=local
DN для подключения Текст DN технологической записи для подключения CN=readonlyuser,CN=Users,DC=org,DC=local
Пароль Текст Пароль для технологической учётной записи Пароль сохраняется в зашифрованном виде по алгоритму AES 256.
Группа Текст DN группы домена для которой будет производиться синхронизация пользователей. Если группа не определена, то поиск пользователей будет производиться начиная с корневого DN CN=Managers,CN=Users,DC=org,DC=local
Тип учетной записи Выбор Тип учетной записи для импорта пользователей из Active Directory в PLAN-R. Доступные значения: Пользователь, Администратор

В форме укажите наименование (3), адрес сервера Active Directory (4), базовый DN (5), DN технологической записи с правами на чтение (6), пароль для технологической записи (7), опционально можно указать DN группы пользователей домена с которой будет производиться синхронизация, если DN группы не указан, то синхронизация будет начинаться с базового DN рекурсивно вниз по дереву каталога LDAP. Если требуется автоматическая синхронизация для данного подключения выберите галочку «Включить автоматическую синхронизацию». Выберите тип пользователей Системы (8).

Для проверки подключения нажмите кнопку «Тест подключения» (9). Для закрытия окна тестирования подключения нажмите «OK».

register imageТест подключения

Количество подключений не ограничено, для уменьшения времени синхронизации рекомендуется не создавать подключения с большим количеством пользователей в группе LDAP, т.к. это может значительно повысить время на запрос данных пользователей, размещенных в каталоге.

Синхронизация

Подсистема обеспечивает ручную и автоматическую (по расписанию) синхронизацию учетных данных пользователей, администраторов и кураторов информационной безопасности с несколькими доменами Active Directory на основе их членства в соответствующих группах безопасности AD с поддержкой отношения «один-ко-многим. Каждой категории пользователя PLAN-R могут быть сопоставлены одна или несколько групп AD (и всех вложенных в них дочерних групп). Синхронизация учетных записей осуществляется рекурсивно для всех групп безопасности, включенных в группу, определенную в параметрах подключения.

Синхронизация учетных записей производиться отдельно для каждого настроенного подключения и производится согласно его настройкам.

Наличие учетной записи в PLAN-R проверяется по уникальному идентификатору пользователя (SID), в качестве которого выступает обязательный LDAP атрибут userPrincipalName. Если пользователь состоит в группе AD определенной в настройках подключения, и не был импортирован ранее и не включен в список исключений, то производится добавление его учетной записи в PLAN-R, если пользователь был импортирован ранее, то производится синхронизация его атрибутов со значениями атрибутов из AD.

Таблица 2. Матрица синхронизации атрибутов LDAP

LDAP attribute Атрибут пользователя Комментарий
userPrincipalName login Поле, по которому производится синхронизация атрибутов
givenName firstName Имя пользователя
sn lastName Фамилия
initials secondName Отчество
displayName displayName Отображаемое имя
userAccountControl state Статус пользователя active – активен, block – заблокирован
mail email Электронная почта
telephoneNumber telephone Телефон
title title Должность
department department Отдел
company company Организация

Включение и отключение автоматической синхронизации всех подключений

Включение синхронизации всех подключений производится в разделе Active Directory (1) при помощи нажатия на кнопку «Включение синхронизации» (2). После появления модального окна необходимо ввести текстовую строку в формате crontab (3) и нажать кнопку «Продолжить» (4).

register imageМодальное окно настройки автоматической синхронизации

Отключение синхронизации всех подключений производится в разделе Active Directory (1) при помощи нажатия на кнопку «Выключение синхронизации» (2). После появления модального окна необходимо нажать кнопку «Продолжить» (3).

register imageМодальное окно отключения автоматической синхронизации

Синхронизация выбранных пользователей

Данный вид предназначен для синхронизации конкретных выбранных пользователей без учета пользователей, добавленных в исключения.

Во вкладке Active Directory (1), необходимо выбрать доменную область (2), открыть меню подключения данной доменной области нажатием на (3) и выбрать пункт «Синхронизировать выбранных» (4).

register imageСинхронизация выбранных пользователей

Откроется форма выбора пользователей, в которой отображаются пользователи из LDAP и их атрибуты.

register imageОкно синхронизации выбранных пользователей

Отметьте галочками пользователей (1), которых требуется синхронизировать. Для синхронизации нажмите «Сохранить» (2) в правом верхнем углу экрана. Если выбранные пользователь не были зарегистрированы в Системе, то будет создан новый пользователь, если пользователь существовал, то значения его атрибутов будут заменены на значения атрибутов, полученных из LDAP. Затем в открывшемся окне необходимо нажать на кнопку «Применить» (3).

Исключение пользователей

Для того чтобы исключить пользователей из автоматической синхронизации во вкладке Active Directory (1) необходимо выбрать доменную область, открыть меню подключения данной доменной области нажатием на и выбрать пункт «Исключения», откроется форма, в которой отметьте нужных пользователей чекбоксами (2) и нажмите на кнопку «Сохранить» (3). После появится модальное окно, где необходимо нажать на кнопку «Применить» (4). Выбранные пользователи не будут добавляться в Систему если они в ней не зарегистрированы, если зарегистрированы, то к ним не будут применяться никакие изменения, произведенные в каталоге LDAP, в том числе блокировки.

register imageИсключение пользователей

Синхронизация всех пользователей

Для того чтобы синхронизировать всех пользователей домена за исключением пользователей, указанных в исключениях, во вкладке Active Directory (1), необходимо выбрать доменную область, открыть меню подключения данной доменной области нажатием на (2) и выбрать пункт «Синхронизировать всех», откроется форма, в которой подтвердите действие (3) и нажмите «Применить» (4).

register imageСинхронизация всех пользователей

Если выбранный пользователь не был зарегистрирован в Системе, то будет создан новый пользователь, если пользователь существовал, то значения его атрибутов будут заменены на значения атрибутов, полученных из LDAP, если пользователь был удален из LDAP, то он будет заблокирован.

Копирование доменной области

Для копирования подключения во вкладке Active Directory (1), необходимо выбрать доменную область, открыть меню подключения данной доменной области нажатием на (2) и выбрать пункт «Копировать». Затем необходимо ввести название новой доменной области (3) и нажать на «Ок» (4).

register imageКопирование доменной области

Удаление подключения Active Directory

Для удаления подключения во вкладке Active Directory (1), необходимо выбрать доменную область, открыть меню подключения данной доменной области нажатием на выберите пункт «Удалить подключение» (3).

register imageУдаление подключения к Active Directory

Далее, в новом окне необходимо подтвердить удаление. После удаления подключения синхронизация учетных записей, связанных с ним, осуществляться не будет, и аутентификация с помощью этих учетных записей будет невозможна.

register imageПодтверждение удаления подключения к Active Directory