Эта статья описывает процесс настройки подключения к LDAP в Ринго.
В результате выполнения шагов вы сможете интегрировать каталог пользователей и групп с системой, а также автоматизировать синхронизацию данных.
- сервер LDAP должен быть доступен для Ринго: IP-адрес, используемый сетевой порт
- учетная запись пользователя LDAP должна иметь доступ к нужным записям в каталоге
- сервер LDAP должен быть доступен для Ринго: IP-адрес, используемый сетевой порт
- сервер Ринго должен разрешать DNS-имя сервера LDAP
- корневой сертификат, который использовался для выдачи сертификата для LDAPS
- учетная запись пользователя LDAP должна иметь доступ к нужным записям в каталоге
- В боковом меню Ринго нажмите на кнопку Настройки.
- Нажмите на плитку Настройки LDAP.
- Нажмите на кнопку Редактировать.
- Заполните поля для подключения:
- Название — произвольное имя подключения (для удобства в интерфейсе)
- Имя хоста — IP-адрес или DNS-имя сервера LDAP. Если вы используете LDAPS, то требуется ввести именно DNS-имя
- Порт — порт подключения: обычно это порт 389 для LDAP или 636 для LDAPS
- Чек-бокс «Поддержка SSL» — поставьте галочку, если вы используете LDAPS: в этом случае появится кнопка для загрузки корневого сертификата, который будет использоваться для проверки сертификата сервера LDAP во время подключения
- Базовый DN — путь, по которому будет выполняться поиск по серверу LDAPS, например:
DC=ring-o,DC=ru
- Пользовательский DN — техническая учетная запись, которая будет использоваться для доступа к каталогу LDAP, например:
CN=Ldap Service,OU=Services,DC=ring-o,DC=ru
- Пароль — пароль к указанной учетной записи
- Таймаут подключения — максимальное время ожидания ответа от сервера
- Таймаут поиска — максимальное время ожидания ответа LDAP на запрос поиска
- Если требуется, то вы можете проверить соединение с сервером LDAP до сохранения настроек, нажав кнопку Проверить подключение.
- Нажмите кнопку Сохранить.
Ключи сопоставлений определяют, как данные из каталога LDAP будут соотноситься с пользователями и группами в Ринго.
- Фильтрация нижнего уровня — ограничение поиска пользователей по заданным атрибутам, например: ограничение поиска пользователей только по конкретным группам —
(|(memberOf=CN=Ringo,OU=RINGO Groups,DC=ring-o,DC=ru)(memberOf=CN=Wi-Fi,OU=RINGO Groups,DC=ring-o,DC=ru))
- Классы объектов пользователей — атрибуты LDAP, которые используются для определения пользователей, например:
top,user
- Имя пользователя — атрибут LDAP, который используется для определения имени учетной записи пользователя в Ринго, например:
sAMAccountName
- Полное имя — атрибут LDAP, который используется для определения полного имени учетной записи пользователя в Ринго, например:
cn
- Адрес электронной почты — атрибут LDAP, который используется для определения адреса электронной почты пользователя, например:
mail
- Фильтрация нижнего уровня — ограничение поиска групп по заданным атрибутам, например:
(|(cn=Wi-Fi)(cn=Ringo))
- Классы объектов групп — атрибуты LDAP, которые используются для определения групп, например:
top,group
- Ключ принадлежности группы — атрибут LDAP, который используется для определения принадлежности пользователя к группе, например:
member
- Местонахождение принадлежности к группе — объект LDAP, откуда будет браться информация о принадлежности к группе, например: для Active Directory, если вы выбираете Объект группы, то это атрибут
member, если вы выбираете Объект пользователя, то это атрибут memberOf
- Имя группы — атрибут LDAP, который используется для определения имени группы в Ринго, например:
cn
- ID группы — атрибут LDAP, который используется для определения уникального идентификатора группы в Ринго, например:
uSNCreated
- UUID группы — атрибут LDAP, который используется для определения UUID группы в Ринго, например:
objectGUID
Вы можете синхронизировать пользователей из каталога LDAP в Ринго и впоследствии привязывать их к устройствам для удобства инвентаризации, формирования групп, распространения настроек и ПО.
- Включено — активирует автоматическую синхронизацию
- Интервал синхронизации (в минутах) — задаёт периодичность автоматической синхронизации
- Запустить синхронизацию вручную — кнопка для немедленного запуска синхронизации
- синхронизация работает только в сторону Ринго
- в Ринго нельзя создать пользователей устройств с одинаковым значением Имя пользователя
- если пользователь будет удален из каталога LDAP, то он останется в Ринго
- если пользователь будет удален из Ринго, то при следующей синхронизации он снова появится в системе
Вы можете использовать синхронизируемые данные пользователей устройств в качестве Переменных в Профилях и Политиках, например для персонализации настраиваемых учетных записей на устройствах или выпуска именных сертификатов. Подробнее см. Переменные.
| Параметр |
Значение |
| Классы объектов пользователей |
top,user |
| Имя пользователя |
sAMAccountName |
| Полное имя |
cn |
| Адрес электронной почты |
mail |
| Параметр |
Значение |
| Классы объектов групп |
top,group |
| Ключ принадлежности группы |
member |
| Местонахождение принадлежности к группе |
Объект группы |
| Имя группы |
cn |
| ID группы |
uSNCreated |
| UUID группы |
objectGUID |
| Параметр |
Значение |
| Классы объектов пользователей |
top,inetOrgPerson |
| Имя пользователя |
uid |
| Полное имя |
cn |
| Адрес электронной почты |
uid |
| Параметр |
Значение |
| Классы объектов групп |
top,groupofUniqueNames |
| Ключ принадлежности группы |
uniqueMember |
| Местонахождение принадлежности к группе |
Объект группы |
| Имя группы |
cn |
| ID группы |
uniqueIdentifier |
| UUID группы |
entryUUID |
-
Ограничить поиск пользователей только по группам Ringo и Wi-Fi (фильтрация по атрибуту DN):
(|(memberOf=CN=Ringo,OU=RINGO Groups,DC=ring-o,DC=ru)(memberOf=CN=Wi-Fi,OU=RINGO Groups,DC=ring-o,DC=ru))
-
Ограничить поиск по группам, которые будут отображаться в Ринго при проверке поиска по каталогу LDAP и при добавлении Системных пользователей (фильтрация по атрибуту cn):
(|(cn=Wi-Fi)(cn=Ringo))
Подробную информацию по синтаксису фильтрации пользователей и групп, а также примеры фильтров можно найти в статье Active Directory: Использование LDAP-фильтров.
-
Проверьте, что DNS-имя сервера LDAPS корректно разрешается с сервера Ринго:
dig dc1.ring-o.ru
-
Проверьте цепочку доверия при подключении к серверу LDAP. Для этого потребуется загрузить сертификат на сам сервер Ринго отдельно и сделать доверенным (для Debian и Ubuntu можно использовать утилиту update-ca-certificates):
openssl s_client -connect dc1.ring-o.ru:636 -showcerts
-
Проверьте, что используемая учетная запись может выполнить поиск по каталогу LDAP с заданными настройками:
ldapsearch -b "DC=ring-o,DC=ru" -H ldaps://dc1.ring-o.ru -D "CN=Ldap Service,OU=Services,DC=ring-o,DC=ru" -W
-
Сопоставьте значения атрибутов, которые отдает команда ldapsearch, со значениями, указанными в Ринго.