Подключение к внутреннему каталогу с аутентификацией LDAP

 Настройка

 Описание

Имя

Описательное имя, которое поможет вам идентифицировать каталог.

Примеры:

•  Внутренний каталог с аутентификацией LDAP       
• Корпоративный LDAP для проверки подлинности

Тип каталога

Выберите тип каталога LDAP, к которому вы будете подключаться. Если вы добавляете новое соединение LDAP, значение, которое вы выбрали здесь, будет определять значения по умолчанию для некоторых параметров на остальном экране.

Примеры:      

• Microsoft Active Directory       
• OpenDS и более.

Имя хоста

Имя хоста вашего сервера каталогов.

Примеры:

• ad.example.com
• ldap.example.com
• opends.example.com

Порт

Порт, на котором прослушивается сервер каталогов.

Примеры:

• 389
• 10389
• 636 (например, для SSL)

Использовать SSL

Установите этот флажок, если соединение с сервером каталогов является соединением SSL (Secure Sockets Layer). Обратите внимание, что вам необходимо настроить SSL-сертификат, чтобы использовать этот параметр.

Имя пользователя

Различающееся имя пользователя, которое приложение будет использовать при подключении к серверу каталогов.

Примеры:

• cn=administrator,cn=users,dc=ad,dc=example,dc=com
• cn=user,dc=domain,dc=name
• [email protected]

Пароль

Пароль пользователя, указанного выше.

 Настройка

 Описание

 Скопировать пользователя в систему

Этот параметр влияет на то, что произойдет, когда пользователь попытается войти в систему. Если этот флажок установлен, пользователь будет создан автоматически во внутреннем каталоге, использующем LDAP для аутентификации, когда пользователь впервые войдет в систему, а их данные будут синхронизированы на каждом последующем входе в систему. Если этот флажок не установлен,  вход в систему пользователя будет терпеть неудачу, если пользователь еще не был вручную создан в каталоге.

Если вы установите этот флажок, на экране появятся следующие дополнительные поля, которые более подробно описаны ниже:

• Членство в группах по умолчанию
• Синхронизация членства в группах
• Настройки пользовательской схемы (описано в отдельном разделе ниже)

Обновить атрибуты пользователя для входа в систему

Всякий раз, когда ваши пользователи аутентифицируются в приложении, их атрибуты будут автоматически обновляться с сервера LDAP в приложении. После выбора этого параметра вы не сможете изменять или удалять своих пользователей непосредственно в приложении.

• Если вам нужно изменить пользователя, сделайте это на сервере LDAP; он будет обновлен в приложении после аутентификации.
• Если вам нужно удалить пользователя, сделайте это на сервере LDAP, но также и в приложении. Если вы удалите пользователя только на сервере LDAP, он будет отклонен при входе в приложение, но он не будет установлен как неактивный, что повлияет на вашу лицензию. Чтобы удалить пользователя, вам необходимо отключить атрибуты «Обновить пользовательские атрибуты» (Update User attributes on Login) для входа в систему, а затем снова включить его.

 Членство в группах по умолчанию

Это поле появляется, если вы установите флажок «Копировать пользователя в систему» (Copy User on Login). Если вы хотите, чтобы пользователи автоматически добавлялись в группу или группы, введите здесь имена групп. Чтобы указать более одной группы, разделите имена групп запятыми. Каждый раз, когда пользователь входит в систему, члены группы будут проверяться. Если пользователь не принадлежит к указанной группе (-ам), их имя пользователя будет добавлено в группу (группы). Если группа еще не существует, она будет добавлена во внутренний каталог, использующий LDAP для аутентификации.

Имейте в виду, что имена групп не проверяются. Если вы неправильно наберете имя группы, это приведет к сбоям авторизации – пользователи не смогут получить доступ к приложениям или функциям на основе имени предполагаемой группы.

Примеры:

• Confluence пользователи
• bamboo пользователи, JIRA-администраторы, JIRA-ядро-пользователей

Это поле появляется, если вы установите флажок «Копировать пользователя в систему» (Copy User on Login). Если этот флажок установлен, членство в группах, указанное на вашем сервере LDAP, будет синхронизироваться с внутренним каталогом каждый раз, когда пользователь войдет в систему.

Если вы установите этот флажок, на экране появятся следующие дополнительные поля, как описано более подробно ниже:

• Настройки схемы группы (описано в отдельном разделе ниже)
• Настройки схемы членства (описано в отдельном разделе ниже)

 Настройка

 Описание

 Базовое DN

Коренное различающееся имя (DN) для использования при запуске запросов к серверу каталогов.

Примеры:

• o=example,c=com
• cn=users,dc=ad,dc=example,dc=com
• Для Microsoft Active Directory укажите базовое DN в следующем формате: dc = domain1, dc = local. Вам нужно будет заменить domain1 и local для вашей конкретной конфигурации. Microsoft Server предоставляет инструмент ldp.exe, который полезен для определения и настройки структуры LDAP вашего сервера.

 Атрибут имени пользователя

Поле атрибута, используемое при загрузке имени пользователя.

Примеры:

• cn
• sAMAccountName

 Настройка

 Описание

 Дополнительное пользовательское DN

Это значение используется в дополнение к базовому DN при поиске и загрузке пользователей. Если значение не задано, поиск поддерева будет начинаться с базового DN.

Пример:

• ou=Users

 Класс объектов пользователя

Это имя класса, используемого для пользовательского объекта LDAP.

Пример:

• user

 Фильтр пользовательских объектов

Фильтр, используемый при поиске объектов пользователя.

Пример:

• (& (ObjectCategory = Person) (SamAccountName = *))

 Атрибут имени пользователя RDN

RDN (относительное различающееся имя) для использования при загрузке имени пользователя. DN для каждой записи LDAP состоит из двух частей: RDN и местоположения в каталоге LDAP, где находится запись. RDN – это часть вашего DN, которая не связана с структурой дерева каталогов.

Пример:

•  cn

 Атрибут имени пользователя

Поле атрибута, используемое при загрузке имени пользователя.

Пример:

•  givenName

 Атрибут последнего имени пользователя

Поле атрибута, используемое при загрузке имени пользователя.

Пример:

• sn

 Атрибут отображаемого имени пользователя

Поле атрибута, которое будет использоваться при загрузке полного имени пользователя.

Пример:

• displayName

 Атрибут электронной почты пользователя

Поле атрибута, используемое при загрузке адреса электронной почты пользователя.

Пример:

• mail

 Настройка

 Описание

 Класс группового объекта

Это имя класса, используемого для объекта группы LDAP.

Примеры:

• groupOfUniqueNames
• group

 Фильтр групповых объектов

Фильтр, используемый при поиске объектов группы.

Пример:

• (&(objectClass=group)(cn=*))

 Атрибут имени группы

Поле атрибута, используемое при загрузке имени группы.

Пример:

• cn

 Атрибут описания группы

Поле атрибута, которое будет использоваться при загрузке описания группы. Пример:

• description