В корпоративном сервере 2024 можно синхронизировать пользователей из AD по LDAP
Для каждого подразделения необходимо настроить синхронизацию отдельно.
Переходите в «Админку», далее «Подразделения»
Из списка выберите необходимое подразделение, нажмите редактировать, попадете в настройки подразделением
Выберите метод LDAP и приступите к настройке.
Пример заполнения полей найдете ниже
Важными моментами является основное имя и mail.
Основное имя рекомендуем устанавливать в userPrincipalName, именно по этому полю в момент авторизации в AD будет происходить поиск пользователей.
Если у вас организованы поля по-другому, тогда замените на соответствующее название поля.
У всех пользователей в учетных записях должно быть заполнено поле mail, иначе пользователи не появятся на портале.
Для настройки синхронизации пользователей через LDAP из определённой группы, используйте в фильтре параметр «memberOf=». Пример фильтра для группы «r7test»:
(&(userPrincipalName=*)(memberOf=CN=r7test,CN=Users,DC=builder-testad,DC=ru))
Чтобы исключить из синхронизации отключённые учетные записи, добавьте в фильтр следующее условие: «(userAccountControl:1.2.840.113556.1.4.803:=2)». Пример фильтра:
(&(userPrincipalName=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
Для исключения заблокированных учетных записей используйте условие: «(lockoutTime=0)». Пример:
(&(userPrincipalName=*)(lockoutTime=0))
Важные примечания:
1. Если вы подключаетесь к базе данных Active Directory, которая содержит более 1000 пользователей, вам потребуется увеличить лимит на сервере AD MaxPageSize = 1000 и MaxValRange = 1000 с помощью утилиты ntdsutil. Информация описана на сайте производителя Active Directory.
2. Если на сервере AD активирован протокол LDAPS (LDAP over SSL), используйте порт 636 для подключения.
Для синхронизации групп из AD в качестве ролей Корпоративного сервера необходимо включить опцию «Экспорт групп» и заполнить соответствующие поля.
Пример для группы «r7test» в качестве роли.
Информация, которая поможет вам настроить синхронизацию.
Для получения информации об атрибутах пользователей, групп и подразделений в AD, используйте следующие команды PowerShell:
Get-ADUser -Identity "ИмяПользователя" -Properties * Get-ADGroup -Identity "ИмяГруппы" -Properties * Get-ADOrganizationalUnit -Identity "OU=ИмяПодразделения,DC=domain,DC=ru" -Properties *
Для проверки соединения с сервером AD через LDAP и корректности настроек синхронизации, установите на Корпоративный сервер утилиту «ldap-utils». Пример команды для проверки подключения:
ldapsearch -H ldap://192.168.25.97 -x -W -D "admin@builder-testad.ru" -b "ou=DIT,dc=builder-testad,dc=ru" "(userPrincipalName=*)"
- 192.168.25.97 — IP-адрес вашего сервера AD
- admin@builder-testad.ru — учетная запись администратора
- ou=DIT,dc=builder-testad,dc=ru — путь к вашему каталогу
- (userPrincipalName=*) — фильтр для пользователей.
После выполнения команды вы увидите список пользователей, которые соответствуют заданным критериям.
