• Post category:Настройки
  • Запись изменена:15.08.2025

1. Проверка соединения с LDAP РЕД АДМ

Перед синхронизацией убедитесь, что ваш LDAP РЕД АДМ доступен с помощью утилиты ldapsearch.

Для этого подключитесь к серверу ldap и в терминале введите команду:

ldapsearch -H ldap://localhost -x -D "Administrator@stgr7.ru" -W -b "cn=Users,dc=stgr7,dc=ru" "(userPrincipalName=*)"

Где:

  • Administrator@stgr7.ru — учетная запись администратора домена;
  • cn=Users,dc=stgr7,dc=ru — каталог в LDAP, в котором производится поиск;
  • (userPrincipalName=*) — фильтр поиска.

Вместо ldap://localhost нужно использовать IP-адрес, если проверка выполняется с другого сервера.

После ввода пароля, необходимо получить подобный результат:

Результат выполнения команды ldapsearch

В случае возникновения ошибки:

ldap_bind: Strong(er) authentication required (8)
additional info: BindSimple: Transport encryption required.

Необходимо отключить проверку сертификатов TLS в конфигурации SAMBA.

Для этого откройте файл и добавьте в него строку в секцию [global]:

ldap server require strong auth = no

По умолчанию это строка отсутствует и используется значение YES:

Конфигурация SAMBA

Затем перезапустите сервис reddc:

systemctl restart reddc

Еще раз проведите выборку из LDAP командой выше.

Если шифрование трафика LDAP необходимо, установите ваши сертификаты на сервер LDAP РЕД АДМ и не отключайте строгую авторизацию по сертификату.

2. Синхронизация

Перейдите в модуль Р7-Управление по URL https://admin.ваш_домен и перейдите в Организации:

Раздел Организации в Р7-Управление

Перейдите в редактирование необходимой организации:

Редактирование организации

Перейдите в Аутентификация и установите чек-бокс LDAP:

Настройка аутентификации LDAP

Метод авторизации выбираем LDAP и вносим данные сервера LDAP РЕД АДМ, на скриншоте фильтр пользователей установлен на синхронизацию всех пользователей из каталога Users.

Здесь же можно настроить свои фильтры выборки из LDAP:

  • Например данный фильтр позволит выбрать только пользователей входящих в группу администраторов домена в LDAP:
    (&(userPrincipalName=*)(memberOf=CN=Domain Admins,CN=Users,DC=stgr7,DC=ru))
  • Например данный фильтр позволит исключить из выборки всех заблокированных пользователей в LDAP:
    (&(userPrincipalName=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

На скриншоте выборка всех пользователей из каталога Users, где:

  • 192.168.27.5 — IP адрес сервера с LDAP;
  • stgr7.ru — имя домена;
  • CN=Users,DC=stgr7,DC=ru — каталог,  из которого будет происходить синхронизация пользователей;
  • 389 — порт, по которому работает LDAP, если на сервере LDAP используется SSL, необходимо использовать порт 636.

Настройки синхронизации LDAP

Для Корпоративного сервера 2024 основными полями являются атрибуты из LDAP userPrincipalName и mail, по этим полям будет происходить поиск пользователей в РЕД АДМ в момент авторизации.

Сопоставление по полям атрибутов LDAP РЕД АДМ и Корпоративного сервера 2024 предусмотрено только по полям заполненным на скриншоте.

Сопоставление полей LDAP

Также можно выполнить синхронизацию групп из LDAP РЕД АДМ.

Например, если нужно синхронизировать не только список всех пользователей домена, но также их роли в домене:

  • Используйте свой фильтр (здесь будут синхронизированы роли Domain Admins и Enterprise Admins):
    (&(objectClass=group)(|(cn=Enterprise Admins)(cn=Domain Admins)))

После установки фильтра нажмите сохранить и затем синхронизировать:

Кнопки сохранить и синхронизировать

При синхронизации будут загружаться актуальные пользователи из службы каталога РЕД АДМ и будут отображаться в Пользователи:

Список синхронизированных пользователей

 

Была ли полезна статья?
Позвольте нам стать лучше
Дополнительные материалы