Содержание
Настройка синхронизации по LDAP
В Корпоративном сервере 2024 есть возможность управление пользователями синхронизированными по протоколу LDAP из службы каталогов.
Для каждого подразделения необходимо настроить синхронизацию отдельно.
Перейдите в Р7-Управление (URL https://admin.ваш_домен), далее Организации. Из списка выберите необходимое подразделение, нажмите редактировать, перейдите в настройки подразделения:
Выберите метод LDAP и приступите к настройке:
Пример заполнения полей:
Основное имя рекомендуем устанавливать в userPrincipalName, именно по этому полю в момент авторизации в AD будет происходить поиск пользователей.
Если у вас организованы поля по-другому, тогда замените на соответствующее название поля.
У всех пользователей в учетных записях должно быть заполнено поле Email, иначе пользователи не появятся на портале.
Для настройки синхронизации пользователей через LDAP из определённой группы, используйте в фильтре параметр memberOf=.
Пример фильтра для группы r7test:
(&(userPrincipalName=*)(memberOf=CN=r7test,CN=Users,DC=builder-testad,DC=ru))
Чтобы исключить из синхронизации отключённые учетные записи, добавьте в фильтр следующее условие: (userAccountControl:1.2.840.113556.1.4.803:=2).
Пример фильтра:
(&(userPrincipalName=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
Для исключения заблокированных учетных записей используйте условие: (lockoutTime=0).
Пример:
(&(userPrincipalName=*)(lockoutTime=0))
Важные примечания
1. Если вы подключаетесь к базе данных Active Directory, которая содержит более 1000 пользователей, вам потребуется увеличить лимит на сервере AD MaxPageSize = 1000 и MaxValRange = 1000 с помощью утилиты ntdsutil. Информация описана на сайте производителя Active Directory.
2. Если на сервере AD активирован протокол LDAPS (LDAP over SSL), используйте порт 636 для подключения.
Синхронизация групп
Для синхронизации групп из AD в качестве ролей Корпоративного сервера необходимо включить опцию «Экспорт групп» и заполнить соответствующие поля.
Пример для группы r7test в качестве роли:
Информация для настройки синхронизации
Для получения информации об атрибутах пользователей, групп и подразделений в AD, используйте следующие команды PowerShell:
Get-ADUser -Identity "ИмяПользователя" -Properties * Get-ADGroup -Identity "ИмяГруппы" -Properties * Get-ADOrganizationalUnit -Identity "OU=ИмяПодразделения,DC=domain,DC=ru" -Properties *
Для проверки соединения с сервером AD через LDAP и корректности настроек синхронизации, установите на Корпоративный сервер утилиту ldap-utils.
Пример команды для проверки подключения:
ldapsearch -H ldap://192.168.25.97 -x -W -D "admin@builder-testad.ru" -b "ou=DIT,dc=builder-testad,dc=ru" "(userPrincipalName=*)"
Где:
192.168.25.97— IP-адрес вашего сервера AD;admin@builder-testad.ru— учетная запись администратора;ou=DIT,dc=builder-testad,dc=ru— путь к вашему каталогу;(userPrincipalName=*)— фильтр для пользователей.
После выполнения команды вы увидите список пользователей, которые соответствуют заданным критериям:
