Skip to content

Настройка LDAP

Настройка LDAP аутентификации

Вы можете добавлять пользователей, используя аутентификацию через LDAP.

Примечание: добавленные пользователи могут принадлежать как к корневому домену, так и к поддоменам. Если вы хотите добавить пользователей из поддоменов, используйте Global Catalog.

Чтобы подключиться к LDAP серверу:

  • Войдите в Hive в качестве администратора;
  • Перейдите на вкладку Администрирование > LDAP;
  • Активируйте настройки LDAP:

Заполните все обязательные поля:

  • LDAP протокол - метод подключения (ldap или ldaps);
  • LDAP порт - номер порта сервера (стандартное значение - 389);

Примечание: когда вы добавляете пользователей из поддоменов, используйте порты Global Catalog - 3268 или 3269.

  • Адрес - IP-адрес или имя хоста сервера;
  • Базовый DN – каталог, в котором ведется поиск пользователя(ей). Заполните это поле, используя синтаксис LDAP, например DC=host,DC=test,DC=domain;
  • Имя пользователя сервисного аккаунта - пользователь LDAP с правом просматривать содержимое ветки Base DN. Рекомендуем использовать формат userPrincipalName (например, t.adm@test.domain), но вы можете использовать и полное имя пользователя;
  • Пароль сервисного аккаунта - пароль пользователя LDAP;

  • Фильтр пользователей – фильтр пользователей определяет значения параметров объектов, которые будут считаться пользователями. Значения параметров необходимо вводить в соответствии с синтаксисом LDAP:

    • (objectClass=*) – поиск будет производиться среди всех доступных объектов;
    • (&(objectClass=user)(loginAttr=login)) – поиск будет производиться среди объектов с соответствующими параметрами;

    Примечание: в большинстве случаев правильное значение Фильтра пользователей - (objectClass=user), но если у вас нестандартный сервер LDAP, попробуйте другие значения.

  • DN группы администраторов – определяет значения параметров объектов, которые будут считаться группами пользователей. Значения параметров необходимо вводить в соответствии с синтаксисом LDAP, например:

    CN=U.HiveAdmins,CN=Users,DC=dc,DC=corp,DC=hexway,DC=com

  • DN группы заблокированных пользоваталей – определяет значения параметров объектов, которые будут считаться группами заблокированных пользователей. Значения параметров необходимо вводить в соответствии с синтаксисом LDAP, например:

    CN=U.HiveBlocked,CN=Users,DC=dc,DC=corp,DC=hexway,DC=com

    Примечание: в большинстве случаев правильное значение Фильтра групп - (objectClass=group), но если у вас нестандартный сервер LDAP, попробуйте другие значения.

  • Атрибут имени логина – параметр, который будет использован для аутентификации пользователей, например sAMAccountName – соответствует логину в формате t.adm;

  • Атрибут адреса электронной почты – имя атрибута, которое содержит e-mail пользователей, например userPrincipalName – соответствует логину в формате t.adm@test.domain;

    Примечание: если вы хотите подключиться только к поддомену, используйте логин в формате userPrincipalName (например, t.adm@test.domain).

  • Атрибут имени пользователя (first name) – имя атрибута, которое содержит имена пользователей (например givenName);

  • Атрибут фамилии пользователя (last name) – имя атрибута, которое содержит фамилии пользователей (например sn).

После заполнения полей, нажмите Проверка соединения, чтобы проверить корректность соединения с LDAP сервером.

Если настройки корректные, вы увидите сообщение Соединение установлено и всех доступных пользователей:

Нажмите Сохранить, чтобы сохранить настройки. Пользователь появится на вкладке Users после первого входа в систему.

Известные проблемы при LDAP аутентификации

  • Доступна только простая аутентификация (simple authentication), gss-api недоступен.
  • Если вы обращаетесь к домену с поддоменами, но без роли Глобального каталога (Global Catalog) (например, номер порта - 389, а значение Базы поиска - DC=test,DC=domain), то может возникнуть ошибка Unprocessed Continuation Reference(s). Для того чтобы ошибка не возникала, укажите в Базе поиска более точное значение, например, CN=users,DC=test,DC=domain.