Общие сведения

Каталоги LDAP позволяют централизовать управление пользователями. ПК Интеллект Х поддерживает три сценария работы с LDAP:

• Ручная регистрация LDAP-пользователей: позволяет выборочно предоставлять доступ к LDAP каталогу. Администратор вручную создаёт пользователя ПК Интеллект Х и связывает его с учётной записью LDAP.
• Синхронизация пользователей LDAP: позволяет массовое добавление пользователей. Система загружает пользователей из выбранной LDAP-ветки и автоматически добавляет их в выбранную роль ПК Интеллект Х. 
• Авторегистрация пользователей LDAP: позволяет любому пользователю LDAP входить в ПК Интеллект Х под одной или несколькими предопределенными ролями. После успешной проверки пароля пользователь он будет автоматически добавлен в конфигурацию и получит роль, указанную в поле Роль для авторегистрации пользователя.

Настройка каталога LDAP

Для настройки каталога LDAP нужно:

1. Перейти во вкладку Управление конфигурацией → Пользователи.
2. Нажать на кнопку Создать... в группе Каталоги LDAP.
   
   В систему добавится объект LDAP 1, а с правой стороны экрана откроется панель настройки подключения к каталогу LDAP 1.
3. Изменить настройки каталога LDAP, которые указаны в таблице:
   

   Поле	Значение	Описание
   Подключение LDAP
   Название	LDAP 1	Задать имя каталога
   Имя или IP-адрес сервера	ldap.postland.org	Ввести адрес сервера каталога LDAP
   Порт	636	Ввести порт подключения сервера каталога LDAP
   Использовать защищённое соединение (SSL)		Установить флажок, если необходимо использовать защищенное соединение (SSL) при подключении к каталогу LDAP
   Базовый DN	ou=Address,dc=company,dc=domain	Ввести DN ветки (Distinguished Name), от которой начинается поиск данных Если пользователи в LDAP расположены в нескольких директориях с иерархической структурой, одновременно синхронизировать всех пользователей невозможно. Для синхронизации каждой группы пользователей в DN ветке необходимо указывать путь к соответствующей директории. Например, в LDAP есть директория Сотрудники и поддиректории Менеджеры, Кассиры, Продавцы: DN ветки для синхронизации пользователей директории Менеджеры: ou=Менеджеры,ou=Сотрудники,dc=example,dc=com; DN ветки для синхронизации пользователей директории Кассиры: ou=Кассиры,ou=Сотрудники,dc=example,dc=com; DN ветки для синхронизации пользователей директории Продавцы: ou=Продавцы,ou=Сотрудники,dc=example,dc=com.
   Пользователь	uid=your.login,ou=Users,dc=company,dc=domain	Ввести имя пользователя, который имеет доступ к чтению из базового DN, в формате LDAP (RDN + DN)
   Пароль		Ввести пароль пользователя
   Настройки фильтрации
   Тип поиска	Пользователи	Выбрать тип поиска в каталоге
   	Группы
   	Пользователи в Группах
   	Пользователи и Пользователи в Группах
   Фильтр поиска	(objectClass=person)	Ввести строку фильтра записей в каталоге Для выгрузки пользователей по группам, а не по каталогам, в фильтре необходимо использовать атрибут memberof. Например: (&(objectClass=user)(memberof=CN=YourGroup,OU=Users,DC=YourDomain,DC=com))
   Фильтр поиска в группах	(objectClass=group)	Ввести строку фильтра записей в группе Поля Фильтр поиска и Фильтр поиска в группах являются взаимоисключающими и активируются в зависимости от значения поля Тип поиска: Пользователи — активно только поле Фильтр поиска; Группа — активно только поле Фильтр поиска в группах; Пользователи в Группах и Пользователи и Пользователи в Группах — активны оба поля.
   Шаблоны LDAP	OpenLDAP	Выбрать шаблон для задания атрибута имени пользователя
   	Microsoft Active Directory
   Атрибут имени пользователя	cn	Ввести атрибут, из которого получают имя пользователя. Для поиска пользователей по атрибуту sAMAccountName необходимо вводить его строчными буквами – samaccountname
   Атрибут DN	entrydn	Ввести атрибут, из которого получают DN пользователя.  Значение атрибута DN по умолчанию зависит от выбранного шаблона LDAP: для шаблона OpenLDAP используется значение entrydn; для шаблона Microsoft Active Directory — distinguishedname
   Роль для автоматической регистрации пользователя		Выбрать роль, к которой будут автоматически добавляться новые пользователи каталога LDAP при входе в ПК Интеллект Х. Если не задать роль, автоматическое создание пользователей для этого каталога будет отключено

4. Нажать на кнопку Применить .

В результате каталог LDAP будет добавлен в систему.

Для проверки соединения необходимо нажать на кнопку Тест подключения . При неудачной попытке будет выведено сообщение об ошибке.

Для загрузки пользователей каталога нужно нажать на кнопку Загрузить . Если подключение прошло успешно, то форма снизу заполнится данными пользователей. Иначе будет выведено сообщение об ошибке.

Настройка синхронизации групп LDAP каталога

Синхронизация групп LDAP каталога предназначена для автоматического сопоставления групп пользователей из LDAP с ролями в системе. Для настройки синхронизации групп LDAP нужно:

1. В панели Настройки фильтрации в поле Тип поиска выбрать значение Группы. Справа отобразится панель Настройка синхронизации групп LDAP каталога.
2. Нажать на кнопку Загрузить .
3. В панели Настройка синхронизации групп LDAP каталога нужно:
   1. В поле Группа ввести название группы.
   2. В поле Distinguished Name выбрать необходимый атрибут из списка.
   3. В поле Роль установить флажки напротив требуемых ролей, к которым будут автоматически добавляться новые пользователи.
   4. Нажать на кнопку Добавить . Новая группа отобразится на панели.
4. Нажать на кнопку Применить для сохранения изменений.

Настройка синхронизации групп LDAP каталога завершена.

Синхронизация каталога LDAP

Синхронизация может выполняться в ручном или автоматическом режиме. Для синхронизации каталогов LDAP нужно:

1. На вкладке Пользователи нажать на группу Каталоги LDAP.
   
   
2. Настроить параметры синхронизации, которые указаны в таблице:
   

   Параметр	Значение	Описание
   Настройки автоматической синхронизации
   Включить		По умолчанию автоматическая синхронизация выключена. Для включения автоматической синхронизации нужно установить флажок
   Сервер синхронизации		Из выпадающего списка выбрать сервер синхронизации
   Период синхронизации	1 день 0 часов 0 минут	Установить период для автоматической синхронизации
   Статус синхронизации
   Статус	Остановлено	По умолчанию отображается статус синхронизации Остановлено. После начала синхронизации статус меняется
   Последняя синхронизация	Неизвестно	По умолчанию дата последней синхронизации отображается как Неизвестно. После начала синхронизации будет отображена дата и время последней синхронизации

   
   
3. Нажать на кнопку Применить.
4. Для начала ручной синхронизации нажать на кнопку Синхронизировать вручную.

Настройка синхронизации завершена.

Копирование каталога LDAP

Для копирования каталога с сохранением всех текущих настроек нужно:

1. Нажать на название каталога, который требуется копировать.

2. Нажать на кнопку Создать.

В результате будет создан новый каталог с идентичными настройками. Название нового каталога по умолчанию будет LDAP 1, LDAP 2 и т.д., в зависимости от количества ранее созданных каталогов.

Удаление каталога LDAP

Для удаления каталога нужно:

1. Нажать на название каталога, который требуется удалить.
2. Нажать на кнопку Удалить .

В результате выбранный каталог будет удален.