Skip to content

Настройка LDAP

Настройка LDAP аутентификации

Вы можете добавлять пользователей, используя аутентификацию через LDAP.

Примечание: добавленные пользователи могут принадлежать как к корневому домену, так и к поддоменам. Если вы хотите добавить пользователей из поддоменов, используйте Global Catalog.

Чтобы подключиться к LDAP серверу:

  • Войдите в Hive в качестве администратора;
  • Перейдите на вкладку Administration > LDAP;
  • Активируйте настройки LDAP:

Заполните все обязательные поля:

  • LDAP Protocol - метод подключения (ldap или ldaps);
  • LDAP Port - номер порта сервера (стандартное значение - 389);

Примечание: когда вы добавляете пользователей из поддоменов, используйте порты Global Catalog - 3268 или 3269.

  • Host - IP-адрес или имя хоста сервера;
  • Base DN – каталог, в котором ведется поиск пользователя(ей). Заполните это поле, используя синтаксис LDAP, например DC=host,DC=test,DC=domain;
  • Service Login - пользователь LDAP с правом просматривать содержимое ветки Base DN. Рекомендуем использовать формат userPrincipalName (например, t.adm@test.domain), но вы можете использовать и полное имя пользователя;
  • Service Password - пароль пользователя LDAP;

  • User filter – фильтр пользователей определяет значения параметров объектов, которые будут считаться пользователями. Значения параметров необходимо вводить в соответствии с синтаксисом LDAP:

    • (objectClass=*) – поиск будет производиться среди всех доступных объектов;
    • (&(objectClass=user)(loginAttr=login)) – поиск будет производиться среди объектов с соответствующими параметрами;

    Примечание: в большинстве случаев правильное значение Фильтра пользователей - (objectClass=user), но если у вас нестандартный сервер LDAP, попробуйте другие значения.

  • Admin Group DN – определяет значения параметров объектов, которые будут считаться группами пользователей. Значения параметров необходимо вводить в соответствии с синтаксисом LDAP, например:

    CN=U.HiveAdmins,CN=Users,DC=dc,DC=corp,DC=hexway,DC=com

  • Blocked Group DN – определяет значения параметров объектов, которые будут считаться группами заблокированных пользователей. Значения параметров необходимо вводить в соответствии с синтаксисом LDAP, например:

    CN=U.HiveBlocked,CN=Users,DC=dc,DC=corp,DC=hexway,DC=com

    Примечание: в большинстве случаев правильное значение Фильтра групп - (objectClass=group), но если у вас нестандартный сервер LDAP, попробуйте другие значения.

  • Login attribute – параметр, который будет использован для аутентификации пользователей, например sAMAccountName – соответствует логину в формате t.adm;

  • E-mail attribute – имя атрибута, которое содержит e-mail пользователей, например userPrincipalName – соответствует логину в формате t.adm@test.domain;

    Примечание: если вы хотите подключиться только к поддомену, используйте логин в формате userPrincipalName (например, t.adm@test.domain).

  • First Name attribute – имя атрибута, которое содержит имена пользователей (например givenName);

  • Last Name attribute – имя атрибута, которое содержит фамилии пользователей (например sn).

После заполнения полей, нажмите Test connection, чтобы проверить соединения с LDAP сервером.

Если настройки корректные, вы увидите сообщение Connection established и всех доступных пользователей:

Нажмите Save, чтобы сохранить настройки. Пользователь появится на вкладке Users после первого входа в систему.

Известные проблемы при LDAP аутентификации

  • Доступна только simple authentication, gss-api недоступен.
  • Если вы обращаетесь к домену с поддоменами, но без роли Global Catalog (например, номер порта - 389, а значение Базы поиска - DC=test,DC=domain), то может возникнуть ошибка Unprocessed Continuation Reference(s). Для того чтобы ошибка не возникала, укажите в Базе поиска более точное значение, например, CN=users,DC=test,DC=domain.