Настройку интеграции можно выполнять согласно инструкции – «Настройка синхронизации по LDAP» (далее — Инструкция) с некоторыми дополнениями, описанными ниже.
У данной интеграции есть некоторые ограничения, они описаны в разделе Ограничение и его обходное решение.
1. В разделе LDAP необходимо указать следующие значения (не указанные поля в таблице ниже, заполняем согласно Инструкции):
| DN каталога пользователей | сn=users,cn=accounts,dc=ald,dc=company,dc=lan |
|---|---|
| Фильтр пользователей | (&(uid=*)(objectClass=PosixAccount)(nsAccountLock=False)) |
| Логин | uid=service_account,сn=users,cn=accounts,dc=ald,dc=company,dc=lan |
2. В разделе Сопоставления атрибутов необходимо поменять только два значения, остальные значения оставляем как описано в Инструкции:
| Логин | krbPrincipalName |
|---|---|
| Заблокирован | Оставляем пустым, так как в фильтре выше мы уже синхронизируем только не заблокированных пользователей. |
3. Если вам нужно настроить Экспорт групп, то можете воспользоваться следующими значениями (остальные значения оставляем как указано в Инструкции):
| DN каталог групп | сn=groups,cn=accounts,dc=ald,dc=company,dc=lan |
|---|---|
| Фильтр групп | (&(objectClass=posixgroup)(objectClass=ipausergroup)(cn=group_name)) |
| Идентификатор | ipauniqueid |
Ограничение и его обходное решение
Исправлено в версии Корпоративный сервер 2024 2.0.2024.14752 при синхронизации с AldPro версии 3.1.0
На текущий момент интеграция Корпоративный сервер 2024 с ALD Pro имеет некоторое ограничение, и упомянутый алгоритм можно использовать только для первоначальной синхронизации пользователей.
Связано это с тем, что при повторной синхронизации все ранее синхронизированные пользователи блокируются, и аутентифицироваться в Корпоративный сервер 2024 под ними уже не получится.
Решением может стать отключение LDAP-синхронизации после первоначальной синхронизации. Сделать это можно согласно инструкции — Настройка периода синхронизации ↗
Для этого необходимо в параметре period выставить значение 00:00:00.
Но возможность регулярной синхронизации пользователей сохраняется, просто она станет ручной, для этого необходимо перед каждой синхронизацией сбрасывать дату последней.
Сделать это можно двумя способами:
1. Перед синхронизацией зайти в меню Авторизация ↗ и внести изменения, например, указать второй контроллер домена, либо изменить один параметр, сохранить, потом вернуть назад и снова сохранить. После нажатия кнопки Сохранить, сбрасывается дата последней синхронизации и Р7 будет синхронизировать все объекты согласно настройке.
2. Перед синхронизацией сбросить дату последней синхронизации в базе данных, для этого выполнить следующую команду в консоли:
psql -h localhost -p 5432 -d cddisk -U postgres -W -c 'update "LdapSyncSchedule" set "LastDate" = null where "CustomerId" = 1;'
Где:
- localhost – адрес сервера с базой данных, в данном случае команда выполнятся непосредственно на сервере базы данных;
- 5432 – порт базы данных, значение по умолчанию 5432;
- cddisk – имя базы данных;
- postgres – имя учетной записи, имеющая право на изменение;
- W – ключ, требующий ввести пароль от учетной записи интерактивно;
- CustomerId – идентификатор подразделения, узнать его вы сможете во вкладке Подразделение, рядом с названием подразделения.
Решение позволит пользователям использовать свои доменные учетные записи при входе в систему Р7. В случае появления нового пользователя до синхронизации, он также сможет зайти в Корпоративный сервер 2024 под своей доменной учетной записью, после успешной аутентификации Р7 система создаст его в базе данных.
Информация актуальна для версии Корпоративного сервера 4400 и ALD Pro 2.3.0