Подключение внешних пользователей через LDAP#
Вы можете включить и настроить аутентификацию и авторизацию для внешних пользователей через LDAP. Пользователям может быть назначена одна из следующих ролей:
Администратор: обладает полными правами на все действия в системе;Супервизор: может только просматривать информацию в системе.
Роли внешних пользователей определяются на основе принадлежности к LDAP-группам.
Для подключения внешних пользователей к системе вам необходимо:
включить внешнюю аутентификацию через LDAP и задать настройки сервера;
включить внешнюю авторизацию через LDAP и задать настройки сервера;
задать базовый DN и фильтры для поиска пользователей и групп на LDAP-сервере;
настроить соответствие LDAP-групп и ролей пользователей в Angie ADC.
На стороне LDAP-сервера также должны быть настроены пользователи, группы и сервисная учетная запись для Angie ADC.
Предупреждение
Необходимо настроить и включить оба блока: аутентификацию и авторизацию. Если один из блоков не настроен или выключен, внешние пользователи не смогут получить доступ к системе.
Шаги#
Откройте веб-интерфейс Angie ADC. В панели навигации перейдите в раздел
Система→Аутентификация и авторизация.Откроется страница с настройками аутентификации и авторизации для внешних пользователей.

Включите переключатель
Включить внешнюю аутентификациюи выберите провайдера аутентификации LDAP.Примечание
Одновременно поддерживается использование только одного провайдера внешней аутентификации. При добавлении нового провайдера аутентификации настройки предыдущего провайдера сбрасываются.
Укажите следующие параметры:
Сервер: IP-адрес или доменное имя LDAP-сервера.Порт: порт подключения к LDAP-серверу (по умолчанию389).Режим защиты соединения(по умолчаниюБез TLS, также доступны вариантыLDAPSиStartTLSдля защищенного соединения).Примечание
При выборе режима защиты соединения
LDAPSилиStartTLSстановится доступен флажокПроверять TLS-сертификат. По умолчанию флажок установлен.DN сервисной учетной записи: логин сервисной учетной записи, от имени которой система подключается к LDAP.Пароль сервисной учетной записи: пароль сервисной учетной записи для подключения к LDAP-серверу.Базовый DN пользователей: задает ветку на LDAP-сервере, в которой система будет искать пользователя, напримерou=users,dc=example,dc=com.Идентификатор логина: поле в LDAP, которое содержит логин, напримерuid,sAMAccountNameилиuserPrincipalName.Фильтр поиска: LDAP-фильтр для поиска пользователя, например(&(objectClass=user)(sAMAccountName=%s)).
Примечание
Фильтр LDAP определяет, в каком формате пользователь должен вводить логин при входе в систему:
если используется фильтр
(&(objectClass=user)(sAMAccountName=%s)), то логин будет без доменного имени, напримерivanov;если используется фильтр
(&(objectClass=user)(userPrincipalName=%s), то логин будет полным:ivanov@domain.com.
Нажмите
Сохранить.Внешняя аутентификация с использованием провайдера LDAP будет включена.
В блоке
Внешняя авторизацияпереведите переключательВключить внешнюю авторизациюв положение "включено" и выберите провайдера авторизации LDAP.Задайте параметры подключения к серверу:
Сервер: IP-адрес или доменное имя LDAP-сервера.Порт: порт подключения к LDAP-серверу (по умолчанию389).
Укажите параметры защиты соединения:
Без TLS(по умолчанию) илиTLS (LDAPS)/startTLS, если необходимо использовать безопасное соединение при подключении к серверу.Примечание
При выборе режима защиты соединения
LDAPSилиStartTLSстановится доступен флажокПроверять TLS-сертификат. По умолчанию флажок установлен.В блоке
Сервисная учетная запись (bind)укажите DN учетной записи, с которой будет выполняться подключение к LDAP-серверу. Можно использовать учетную запись администратора LDAP-сервера, напримерcn=admin,dc=example,dc=com.Если требуется, установите флажок
Подключаться с паролеми укажите пароль сервисной учетной записи.В блоке
Поиск и ролиукажите следующие параметры:Базовый DN пользователей, напримерou=users,dc=example,dc=com;Фильтр поиска пользователей, например(uid=%s);Базовый DN групп, напримерou=groups,dc=example,dc=com;Фильтр поиска групп, например(member=%s).
В блоке
Маппинг LDAP-групп и ролейнажмитеДобавить правилои задайте соответствие LDAP-групп пользователей ролям в Angie ADC. Например, если на LDAP-сервере для администраторов создана группаdn: cn=<group_name>,ou=groups,dc=example,dc=com, то укажите значениеcn=<group_name>,ou=groups,dc=example,dc=comв полеDN группыи выберите рольАдминистратор (admin).Нажмите
Сохранить.
Внешняя авторизация будет настроена и включена. При входе внешнего пользователя в систему на LDAP-сервере будет выполняться поиск групп, в которых он состоит. Если найденные группы совпадают с группами, указанными в маппинге, то пользователю будет назначена соответствующая роль. Если пользователь не найден ни в одной из групп или LDAP-группы недоступны или некорректны, доступ к системе будет запрещен.