Synchronizacja użytkowników z LDAP

Użytkownik jest jednym z podstawowych elementów modelu danych. Tylko zdefiniowani użytkownicy mogą nawiązywać połączenia z monitorowanymi serwerami. Wheel Fudo PAM pozwala na automatyczną synchronizację definicji użytkowników z serwerem Active Directory lub innymi zgodnymi z protokołem LDAP.


Definicje nowych użytkowników oraz zmiany w istniejących obiektach pobierane są z serwera usług katalogowych co 5 minut. Odzwierciedlenie zmiany polegającej na usunięciu użytkownika z serwera AD lub LDAP wymaga pełnej synchronizacji. Pełna synchronizacja wyzwalana jest automatycznie raz na dobę, w czasie do 5 minut po godzinie 00:00, lub może zostać wyzwolona ręcznie.


Informacja

Dane użytkowników synchronizowanych z serwerem usług katalogowych nie mogą być poddawane edycji. Aby zmienić definicję użytkownika synchronizowanego z serwerem LDAP lub AD, wyłącz opcję Synchronizacja z LDAP dla danego użytkownika.

../../_images/user_sync_param.png

Konfiguracja usługi synchronizacji użytkowników

  1. Wybierz z lewego menu Ustawienia > Synchronizacja LDAP.
  2. Zaznacz opcję Włączone.
  3. W przypadku konfiguracji klastrowej, z listy rozwijalnej Aktywny węzeł klastra, wybierz węzeł, który będzie dokonywał synchronizacji obiektów z usługą LDAP.
  4. Kliknij Dodaj domenę LDAP.
  5. Wprowadź nazwę domeny.
  6. Określ priorytet, który determinuje kolejność odpytywania domen.

Informacja

Mniejsza liczba oznacza wyższy priorytet.

../../_images/ldap_sync_general.png
  1. W sekcji Usługa katalogowa, wybierz z listy rozwijalnej Rodzaj serwera typ usługi katalogowej.
  1. Podaj informacje uwierzytelniające użytkownika uprawnionego do przeglądania katalogu.
  2. Podaj nazwę domeny, do której należą użytkownicy podlegający synchronizacji.
  3. Określ miejsce przechowywania użytkowników w strukturze katalogowej (np. dc=devel,dc=whl).

Informacja

Synchronizacja użytkowników przechowywanych w strukturze LDAP wymaga:

  • użycia nakładki memberOf
  • użycia grup objectClass: groupOfNames
  • zdefiniowania ciągu parametru base DN w postaci: uid=##username##,ou=people,dc=ldap,dc=test.
  1. Określ miejsce przechowywania grup w strukturze katalogowej.

Informacja

Parametr DN nie powinien zawierać zbędnych znaków białych, tj. spacji, tabulatorów, itp.

  1. Zdefiniuj filtr dla rekordów użytkowników, których definicje mają zostać zsynchronizowane (lub pozostaw wartość domyślną).
  2. Zdefiniuj filtr dla grup użytkowników, których definicje mają zostać zsynchronizowane (lub pozostaw wartość domyślną).
../../_images/ldap_directory_service.png
  1. Kliknij i w sekcji Kontrolery LDAP, aby zdefiniować host usługi katalogowej.
  2. Wprowadź adres IP serwera oraz numer portu, na którym dostępna jest usługa katalogowa.

Informacja

W przypadku połączeń szyfrowanych (zaznaczona opcja Połączenie szyfrowane), w polu adresu serwera, wprowadź jego nazwę domenową (np. tech.ldap.com) zamiast adresu IP, aby zapewnić poprawność weryfikacji certyfikatu serwera. Upewnij się, że nazwa domenowa jest ujęta w polu Common Name w certyfikacie.

  1. Zaznacz ocję Stronicuj wyniki LDAP, aby włączyć stronicowanie danych zwracanych przez serwer LDAP.
  2. Zaznacz opcję Połączenie szyfrowane i wgraj certyfikat CA, aby włączyć szyfrowanie transmisji z serwerem LDAP.

Informacja

Kliknij , aby wskazać kolejny serwer usług katalogowych.

../../_images/ldap_controllers.png
  1. Zdefiniuj mapowanie pól atrybutów definicji użytkowników.
../../_images/ldap_attributes_mapping.png

Informacja

Mapowanie pól pozwala na pobranie informacji o użytkownikach z atrybutów o niestandardowych nazwach, np. numeru telefonu zdefiniowanego w atrybucie mobile zamiast standardowego telephoneNumber.

  1. Kliknij i w sekcji Mapowanie grup, aby dodać mapowanie grupy użytkowników.
  1. Wprowadź nazwę grupy i kliknij wybrany element na liście.
../../_images/ldap_groups.gif
  1. Określ przypisanie grup użytkowników do sejfów.
  2. Przypisz źródła uwierzytelnienia do grup użytkowników.

Informacja

Źródła uwierzytelnienia przypisywane są użytkownikom w kolejności definiowania mapowań. Jeśli użytkownik znajduje się w więcej niż jednej grupie, w pierwszej kolejności będzie uwierzytelniany w oparciu o źródła uwierzytelniania przypisane do pierwszego zdefiniowanego mapowania, w którym się znajduje.

Na przykład:

Użytkownik przypisany jest do grup A i B. Dla grupy B, zdefiniowane jest mapowanie z połączeniem Sejf RDP i przypisanymi źródłami uwierzytelnienia CERB i Radius. Grupa A, mapowana jest w drugiej kolejności, na połączenie Sejf SSH i ma przypisane źródło uwierzytelnienia AD.

../../_images/group_mappings.png

Wheel Fudo PAM uwierzytelniając użytkownika będzie wysyłać zapytania do zewnętrznych źródeł uwierzytelniania w następującej kolejności:

  1. CERB.
  2. Radius.
  3. AD.
  1. Kliknij Zapisz.

Informacja

Opcja Wymuś pełną synchronizację pozwala na przetworzenie zmian po stronie serwera usług katalogowych, które nie są odwzorowywane w procesie okresowej synchronizacji, tj. usunięcie zdefiniowanej grupy, lub usunięcie obiektu użytkownika.

Pełna synchronizacja wyzwalana jest automatycznie raz na dobę, w czasie do 5 minut po godzinie 00:00.

Informacja

Wheel Fudo PAM wspiera zagnieżdżone grupy LDAP.

Tematy pokrewne: