Synchronizacja użytkowników z LDAP

Użytkownik jest jednym z podstawowych elementów modelu danych. Tylko zdefiniowani użytkownicy mogą nawiązywać połączenia z monitorowanymi serwerami. Wheel Fudo PAM pozwala na automatyczną synchronizację definicji użytkowników z serwerem Active Directory lub innymi zgodnymi z protokołem LDAP.


Definicje nowych użytkowników oraz zmiany w istniejących obiektach pobierane są z serwera usług katalogowych co 5 minut. Odzwierciedlenie zmiany polegającej na usunięciu użytkownika z serwera AD lub LDAP wymaga pełnej synchronizacji. Pełna synchronizacja wyzwalana jest automatycznie raz na dobę, w czasie do 5 minut po godzinie 00:00, lub może zostać wyzwolona ręcznie.


Informacja

Dane użytkowników synchronizowanych z serwerem usług katalogowych nie mogą być poddawane edycji. Aby zmienić definicję użytkownika synchronizowanego z serwerem LDAP lub AD, wyłącz opcję Synchronizacja z LDAP dla danego użytkownika.

../../_images/user_sync_param.png

Konfiguracja usługi synchronizacji użytkowników

  1. Wybierz z lewego menu Ustawienia > Synchronizacja LDAP.
  2. Zaznacz opcję Włączone.
  3. Wybierz z listy rozwijalnej Rodaj serwera typ usługi katalogowej.
  1. Podaj informacje uwierzytelniające użytkownika uprawnionego do przeglądania katalogu.
  2. Podaj nazwę domeny, do której należą użytkownicy podlegający synchronizacji.
  3. W polu Podstawowy użytkownik, określ miejsce przechowywania definicji użytkowników w strukturze katalogowej (np. dc=tech,dc=whl).
  4. W polu Podstawowa grupa, określ miejsce przechowywania definicji grup w strukturze katalogowej (np. dc=tech,dc=whl).

Informacja

Synchronizacja użytkowników przechowywanych w strukturze LDAP wymaga:

  • użycia nakładki memberOf
  • użycia grup objectClass: groupOfNames
  • zdefiniowania ciągu parametru base DN w postaci: uid=##username##,ou=people,dc=ldap,dc=test.

Informacja

Parametr DN nie powinien zawierać zbędnych znaków białych, tj. spacji, tabulatorów, itp.

  1. Zdefiniuj filtr dla rekordów użytkowników, których definicje mają zostać zsynchronizowane (lub pozostaw wartość domyślną).
  2. Zdefiniuj filtr dla grup użytkowników, których definicje mają zostać zsynchronizowane (lub pozostaw wartość domyślną).
  1. Zdefiniuj adres serwera oraz port, na którym dostępna jest usługa katalogowa.

Informacja

  • W przypadku połączeń szyfrowanych, w polu adresu serwera, wprowadź jego nazwę domenową (np. tech.ldap.com) zamiast adresu IP, aby zapewnić poprawność weryfikacji certyfikatu serwera. Upewnij się, że nazwa domenowa jest ujęta w polu Common Name w certyfikacie.
  • Kliknij , aby wskazać kolejny serwer usług katalogowych.
  1. Zaznacz ocję Stronicuj wyniki LDAP, aby włączyć stronicowanie danych zwracanych przez serwer LDAP.
  2. Zaznacz opcję Połączenie szyfrowane i wgraj certyfikat CA, aby włączyć szyfrowanie transmisji z serwerem LDAP.
  1. Zdefiniuj mapowanie pól definicji użytkowników.

Informacja

Mapowanie pól pozwala na pobranie informacji o użytkownikach z atrybutów o niestandardowych nazwach, np. numeru telefonu zdefiniowanego w atrybucie mobile zamiast standardowego telephoneNumber.

../../_images/ldap_fields_mapping.png
  1. Kliknij i, aby dodać mapowanie grupy użytkowników.
  1. Wprowadź nazwę grupy i kliknij wybrany element na liście.
../../_images/ldap_groups.gif
  1. Określ przypisanie grup użytkowników do sejfów.
  2. Przypisz źródła uwierzytelnienia do grup użytkowników.

Informacja

Źródła uwierzytelnienia przypisywane są użytkownikom w kolejności definiowania mapowań. Jeśli użytkownik znajduje się w więcej niż jednej grupie, w pierwszej kolejności będzie uwierzytelniany w oparciu o źródła uwierzytelniania przypisane do pierwszego zdefiniowanego mapowania, w którym się znajduje.

Na przykład:

Użytkownik przypisany jest do grup A i B. Dla grupy B, zdefiniowane jest mapowanie z połączeniem Sejf RDP i przypisanymi źródłami uwierzytelnienia CERB i Radius. Grupa A, mapowana jest w drugiej kolejności, na połączenie Sejf SSH i ma przypisane źródło uwierzytelnienia AD.

../../_images/group_mappings.png

Wheel Fudo PAM uwierzytelniając użytkownika będzie wysyłać zapytania do zewnętrznych źródeł uwierzytelniania w następującej kolejności:

  1. CERB.
  2. Radius.
  3. AD.
  1. Kliknij Zapisz.

Informacja

Opcja Wymuś pełną synchronizację pozwala na przetworzenie zmian po stronie serwera usług katalogowych, które nie są odwzorowywane w procesie okresowej synchronizacji, tj. usunięcie zdefiniowanej grupy, lub usunięcie obiektu użytkownika.

Pełna synchronizacja wyzwalana jest automatycznie raz na dobę, w czasie do 5 minut po godzinie 00:00.

../../_images/ldap_settings.png

Tematy pokrewne: