LDAP/Active Directory

Как настроить интеграцию с LDAP/Active Directory:

  1. Выставьте галочку "Использовать LDAP для аутентификации";
  2. Далее настройте систему в соответствии с настройками Вашего сервера. Пример настроек:
 

 

После сохранения настроек пользователи синхронизируются.

 

Рассмотрим особенности работы LDAP в системе:

  • Почта из LDAP должна соответствовать системной, если почты не соответствуют - авторизация будет отменена. Так например если прописать для пользователей электронную почту они не смогут войти в учетную запись Active Directory. Далее Вам необходимо будет воспользоваться одним из вариантов:
    • убрать почту из LDAP, тогда будет создана почта по типу username@autoldap.hde;
    • Вернуть ящик из LDAP юзеру под соответствующий логин. 

 

  • Поле "Account suffix" не является обязательным при подключении. Вы можете указать в этом поле только один суффикс, например @hde.com, что будет работать как ограничение и позволит пользователям с таким доменом авторизоваться только по имени. Если же у Вас несколько доменов в Active Directory поле не заполняется и пользователи смогут авторизоваться под любым доменом, указывая его и свое имя, например name@hde.com.

 

  • Синхронизация и добавление контактов из AD происходит через подтягивание информации из поля samaccountname, если там прописана неполная почта а только имя пользователя, то необходимо использовать Account suffix::

 

Соответственно при авторизации в системе используем только имя пользователя:

 

Синхронизация контактов происходит по одному автоматически после успешной авторизации. Есть два варианты работы с синхронизацией в системе:

  • Если синхронизация используется только для авторизации - синхронизацию можно отключить, аккаунты будут созданы при попытке входа в систему и точно так же обновлены при каждой повторной авторизации.
  • Если оставить синхронизацию - аккаунты должны будут быть созданы, возможно ожидаемый LDAP username в карточке не будет совпадать с тем что вводит пользователь, но пользователь сможет зайти без проблем под этим аккаунтом указав в логине суффикс (name@hde.com) совпадающий с системной почтой. 
  • В разделе "Диспетчер" Вы можете использовать теги (также они добавлены в API):

 

 

Подключение LDAPs (SSL) | Коробочная версия:

1. На сервере необходимо скопировать открытые сертификаты серверов сертификации домена Active Directory в папку «/etc/openldap/certs»
2. Выполнить расчет hash-сумм сертификатов:

/usr/local/ssl/bin/c_rehash /etc/openldap/certs/

3. Перезапустить службу php-fpm:

systemctl restart php-fpm

Если на контроллере домена недействительный (просроченный) сертификат, то можно отключить проверку действительности сертификатов LDAP. Для этого добавить в файл «/etc/openldap/ldap.conf» строку:
TLS_REQCERT never

 

 

Если у Вас данные варианты по какой-либо причине не работают, обращайтесь, пожалуйста, к нам в поддержку по адресу support@helpdeskeddy.com. Коллеги помогут скорректировать синхронизацию и внести изменения для отказа от суффиксов, а также проконсультируют Вас по любым другим вопросам.

© 2024, HelpDeskEddy