Перейти к содержанию

LDAP

Примечание

Страница доступна только пользователям с правами Настройки LDAP соединения и распределение групп, см. раздел «Пользователи и роли».

Выберите пункт Настройки в меню слева, а затем подпункт LDAP.

Система позволяет работать с несколькими доменами LDAP. Каждый домен представлен в виде строки в списке Подключенные LDAP-серверы.

Настройка LDAP-профиля

Примечание

Поддерживается также протокол LDAPS (LDAP over Secure Sockets Layer). В этом случае необходимо обеспечить импорт сертификата домена, с которого происходит авторизация.

Начиная с версии 4.1.0, в настройках LDAP-профиля поддерживается использование композиционных фильтров, соответствующих спецификации LDAP и позволяющих объединять несколько условий поиска с помощью логических операторов, чтобы создавать сложные запросы для выборки необходимых записей из каталога. Фильтры могут быть использованы в полях панелей Пользователи и Группы, например, в полях Фильтр поиска пользователей (User UID Attribute) и Фильтр поиска групп (Group Search Filter).

Для настройки LDAP-профиля выполните следующие шаги:

  1. На странице LDAP в списке Подключенные LDAP-серверы выберите нужный домен для редактирования существующего LDAP-профиля или нажмите на кнопку Добавить новый домен для конфигурирования нового LDAP-профиля.

  2. Включите переключатель LDAP Config.

  3. В соответствующих полях страницы Конфигурация LDAP укажите следующие параметры в полях панели Подключение домена:

    • Адрес сервера — URL-адрес LDAP-сервера, включая номер порта.
    • DN учетной записи (Manager DN) — уникальное имя администратора LDAP.

    • Пароль учетной записи (Manager password) — пароль администратора LDAP.

      Примечание

      Начиная с версии 3.5.0, пароли в системе хранятся в зашифрованном виде. Для этого в конфигурации контейнера в yaml-файле добавлен параметр SECURE_KEY.

      Для перехода с версии без шифрования на версию с зашифрованными паролями необходимо добавить указанный параметр SECURE_KEY и его значение в yaml-файл, перезагрузить систему, а затем заново задать все настройки LDAP, включая маппинг групп и ролей.

    Настройку соединения можно проверить, нажав на соответствующую кнопку панели Подключение домена.

  4. В полях панели Пользователи укажите следующие параметры:

    • Базовый DN для поиска пользователей (User Search Base) — база поиска пользователя.
    • Фильтр поиска пользователей (User UID Attribute) — идентификатор пользователя (в этом поле возможно использование {USER_DN}).
    • Атрибут имени пользователя (User Name Attribute) — имя пользователя.

    Нажмите на кнопку Проверить соединение панели Пользователи. В окне Список найденных пользователей будет отображено до 10 пользователей, найденных по заданным параметрам.

  5. В полях панели Группы укажите следующие параметры:

    • Базовый DN для поиска групп (Group Base) — база группы.
    • Фильтр поиска групп (Group Search Filter) — фильтр поиска группы (в этом поле возможно использование {USER_DN}).
    • Атрибут имени группы (Group Name Attribute) — имя группы.

    Нажмите на кнопку Проверить соединение панели Группы. В окне Список найденных групп будет отображено до 10 групп, найденных по заданным параметрам.

  6. Нажмите на кнопку Проверить конфигурацию, чтобы убедиться в корректности настроек.

  7. Нажмите на кнопку Проверить связь пользователей и групп. В окне Связь пользователей и групп будет отображен список пользователей с указанием, к какой группе (группам) LDAP он принадлежит. Пустой список связей означает, что пользователи и группы расположены в разных местах и конфигурацию следует доработать.

  8. Нажмите на кнопку Сохранить.

Ниже приведен пример корректной конфигурации LDAP в формате JSON:

{
    "enabled": true,
    "url": "ldap://<IP-адрес или имя LDAP-сервера>",
    "managerDn": "cn=admin,dc=sirius,dc=com",
    "managerPassword": "<пароль>",
    "userSearchBase": "ou=users,dc=sirius,dc=com",
    "userUidAttribute": "uid={USER_DN}",
    "userNameAttribute": "givenName",
    "groupBase": "ou=groups,dc=sirius,dc=com",
    "groupSearchFilter": "uniqueMember={USER_DN}",
    "groupNameAttribute": "cn"
}

Примечание

Права, смапированные через LDAP, не попадают в сгенерированный пользователем токен.

Назначение ролей для LDAP-групп

После подключения к LDAP-серверу система заполнит Список групп, загруженных из LDAP. Нажав на строку группы в этом списке, можно просмотреть и при необходимости изменить сопоставленные ей глобальные и локальные роли AppSec.Track.

В результате LDAP-пользователи соответствующей группы смогут авторизоваться в AppSec.Track с правами, соответствующими назначенной роли (-ям).

Чтобы назначить глобальную роль, нажмите на строку группы, на вкладке Глобальные роли выберите роль (-и) AppSec.Track, которую необходимо назначить LDAP-группе, и нажмите на кнопку Сохранить.

Примечание

Отображаются роли, ранее созданные в AppSec.Track, см. страницу Роли в разделе Пользователи и роли. Более подробная информация о создании ролей приведена в разделе «Создание, редактирование и удаление ролей».

Нажмите на кнопку Сохранить.

Чтобы назначить локальную роль, нажмите на строку группы и на вкладках Команды, Приложения, Плагины и Репозитории выберите объект и роль (-и) AppSec.Track из выпадающих списков и нажмите на расположенный справа значок «+». Объект и роли будут добавлены в список выбранных на вкладке объектов.

Нажмите на кнопку Сохранить.

Авторизация LDAP-пользователя

Для авторизации LDAP-пользователя необходимо ввести имя пользователя и пароль, в поле Войти через выбрать домен LDAP, к которому относится данный пользователь, и нажать на кнопку Войти.

После авторизации пользователи появляются на странице Пользователи в разделе Пользователи и роли, а в столбце Роль пользователя для них указывается значение LDAP.

Изменение ролей LDAP-пользователя

Успешно авторизовавшиеся LDAP-пользователи отображаются на странице Пользователи в разделе Пользователи и роли. При необходимости можно изменить назначенные им роли, см. раздел «Присваивание ролей пользователям».

В списке пользователей LDAP-пользователи отмечены значком «», а в графе Роль пользователя для них указывается значение LDAP, а также домен LDAP и назначенные глобальные и локальные роли в системе.

Примечание

Роли, назначенные для LDAP-групп на странице LDAP в разделе Настройки, не отображаются у пользователей на странице Пользователи в разделе Пользователи и роли.

LDAP-пользователи и пользователи AppSec.Track

При совпадении имен пользователей AppSec.Track и LDAP-пользователей, а также при совпадении имен пользователей из разных доменов LDAP, эти пользователи в системе различаются между собой и каждый из них продолжает сохранять свои индивидуальные настройки и доступы.