Службы каталогов

Общие сведения

В разделе Безопасность - Службы каталогов основного меню производится настройка интеграции с сервером службы каталогов по Lightweight Directory Access Protocol (LDAP). Данная интеграция позволяет авторизовать в системе управления SpaceVM пользователей из Active Directory (далее MS AD), FreeIPA, OpenLDAP, ALD, RADIUS. После успешной аутентификации пользователь в системе управления SpaceVM будет создан автоматически. Пароль пользователя хранится только на сервере службы каталогов, т.е. такой пользователь и в дальнейшем проходит аутентификацию только через сервер LDAP.

Создание

Создание записи службы каталогов производится с помощью кнопки Добавить. В открывшемся окне необходимо выполнить следующие действия:

Выбрать тип (LDAP или RADIUS).

В зависимости от выбранного типа настройки службы каталогов могут отличаться.
Указать название службы каталогов.
Указать адрес службы каталогов URL (LDAP или LDAPS).
Выбрать тип службы каталогов (используется LDAP-сервером).

Может принимать значения: Active Directory, FreeIPA, OpenLDAP, ALD, RADIUS.
Выбрать роль по умолчанию.
Указать пользователя (имя администратора).
Указать пароль администратора.
Указать секрет (используется RADIUS-сервером).
Указать домен (используется LDAP-сервером).
Проверить соединение.
Добавить описание.

После заполнения полей необходимо подтвердить операцию, нажав кнопку ОК.

В окне службы каталогов существует возможность поиска каталога по названию. Для этого в поисковой строке в поле Найти необходимо ввести название искомого каталога и нажать кнопку .

После первоначальной настройки службы Active Directory, FreeIPA, OpenLDAP, ALD, RADIUS авторизуют пользователей как внешнее хранилище учётных записей LDAP. Предоставляется возможность сопоставлять роли пользователей Active Directory, FreeIPA, OpenLDAP, ALD, RADIUS с уровнем доступа в систему управления (администратор или оператор). Для авторизации пользователя в доменах Windows, Linux в окне ввода имени пользователя и пароля необходимо перевести переключатель авторизации в LDAP.

Интеграцию с MS AD можно расширить, применив настройки Kerberos (keytabs) и указав учётную запись пользователя, авторизованного для проверки учетных данных с контроллера системы управления. При правильном применении настроек появится возможность использования функционала SSO при авторизации пользователей домена MS AD.

Для MS AD также поддерживается работа со связными (доверенными) серверами.

В системе управления реализован автоматический повтор аутентификации при получении соответствующего ответа во время высокой загрузки сервера службы каталогов.

Операции со службой каталогов

При нажатии на название службы каталогов в открывшемся окне содержатся сведения о ней, разделенные на следующие группы:

Информация.
Соответствия.
Keytabs.
События.
Задачи.

В окне подробного просмотра выбранной службы каталогов доступны операции: обновление информации, изменение конфигурации SSO и удаление.

При нажатии кнопки Конфигурация SSO в открывшемся окне необходимо выполнить следующие действия:

Включить или выключить режим SSO.
Указать субдомен SSO.
Указать URL сервера управления AD.
Выбрать url Key Distributed Centers.

После заполнения полей необходимо подтвердить операцию, нажав кнопку ОК.

Для удаления службы каталогов необходимо нажать кнопку Удалить.

Информация

В разделе Безопасность - Службы каталогов - <Имя службы каталогов> - Информация содержатся следующие сведения:

Название службы.
Описание службы.
Имя домена.
Тип службы.
Служба каталогов.
URL службы (записывается в формате ldap://xxx.xxx.xxx.xxx).
Пользователь.
Пароль.
Роль по умолчанию.
Дата создания службы.
Дата изменения службы.

Проверить соединение можно с помощью кнопки Проверить соединение.

Все параметры, кроме типа службы, даты создания и даты изменения, являются редактируемыми.
В зависимости от выбранного типа службы (LDAP или RADIUS) информация о службе может отличаться.

Соответствия

Для авторизации пользователей система SpaceVM использует роли. На сервере LDAP может быть другая организация пользователей - организационные единицы, группы и тд. С помощью Соответствий система понимает какую роль получит пользователь, прошедший LDAP-аутентификацию. При отсутствии подходящих Соответствий пользователь получит роль по умолчанию, если она выбрана (без роли вход невозможен). Может быть применено только одно Соответствие с наивысшим приоритетом из подходящих. Приоритет соответствия является суммой приоритетов его ролей.

Пример

Учетная запись ivanov.i на сервере LDAP состоит в группах Инженер и Офис. В системе SpaceVM созданы два соответствия. Соответствие 1 - члены группы Инженер получают роль Администратор, приоритет 1000. Соответствие 2 - члены группы Офис получают роль Оператор ВМ, приоритет 100. После успешной аутентификации пользователь ivanov.i получит роль Администратор, так как приоритет Соответствия 1 выше.

В разделе Безопасность - Службы каталогов - <Имя службы каталогов> - Соответствия содержится таблица соответствий. Существует возможность добавления, обновления и удаления соответствий.

Для добавления соответствия необходимо нажать кнопку Добавить соответствие. В открывшемся окне необходимо выполнить следующие действия:

Указать название соответствия.
Выбрать роли пользователей.
Указать описание соответствия.
Добавить объекты LDAP-сервера (для сервера RADIUS только ручной ввод имен пользователей).

Объектами LDAP могут быть любые сущности сервера (OU, CN и т.д.), которые фигурируют в Distinguished Name пользователя. Могут быть выбраны группы LDAP, в которых состоит пользователь.

Выбрав необходимые сущности сервера службы каталогов, необходимо подтвердить операцию, нажав кнопку ОК.

Пример

Пусть Distinguished Name пользователя AD120, который проходит аутентификацию, uid=ad120,ou=other,ou=users,dc=bazalt,dc=team. Также этот пользователь состоит в группе Администратор с DN cn=administrator,ou=groups,dc=bazalt,dc=team. Необходимо создать соответствие, при котором пользователь AD120 получит роль Администратор в SpaceVM.
Чтобы только этот пользователь получал роль Администратор в SpaceVM, необходимо сделать соответствие на весь Distinguished Name пользователя (совпадение с другими пользователями сервера LDAP исключено).
Чтобы пользователь AD120 и другие члены группы Администратор получали роль Администратор, необходимо выбрать DN группы.
Чтобы пользователь AD120 и остальные пользователи из организационной единицы ou=other,ou=users,dc=bazalt,dc=team получали роль Администратор, необходимо выбрать DN организационной единицы.
Также допустимы любые комбинации объектов LDAP при необходимости.

Выбор подходящих Distinguished Name происходит в диалоговом окне Изменение соответствия, которое открывается при нажатии на кнопку Изменить объекты LDAP. В диалоговом окне Изменение соответствия содержится:

Таблица объектов LDAP-сервера.
Путь (в примере выше это dc=bazalt,dc=team).

В первом столбце таблицы указано название объекта, во втором его классы. Для отображения содержимого любого объекта в таблице необходимо нажать на его название. Путь отображает текущее положение. Для возврата в предыдущую директорию используется стрелка влево в верхней части таблицы. Для выбора объектов необходимо выделить их и нажать кнопку ОК.

Keytabs

В разделе Безопасность - Службы каталогов - <Имя службы каталогов> - Keytabs существует возможность обновления, а также загрузки файлов. При нажатии кнопки Загрузить будет открыто стандартное окно загрузки файлов.

События

В разделе Безопасность - Службы каталогов - <Имя службы каталогов> - События отображаются все события, зарегистрированные в системе, возникающие при работе служб каталогов, с возможностью их сортировки по признакам: По всем типам, Ошибки, Предупреждения, Информационные.

Чтобы в списке отображались только непрочитанные события, необходимо включить опцию Только непрочитанные.

Задачи

В разделе Безопасность - Службы каталогов - <Имя службы каталогов> - Задачи отображаются зарегистрированные в системе задачи, возникающие при выполнении действий со службами каталогов.