Подключение внешних пользователей через LDAP#

Вы можете включить и настроить аутентификацию и авторизацию для внешних пользователей через LDAP. Пользователям может быть назначена одна из следующих ролей:

  • Администратор: обладает полными правами на все действия в системе;

  • Супервизор: может только просматривать информацию в системе.

Роли внешних пользователей определяются на основе принадлежности к LDAP-группам.

Для подключения внешних пользователей к системе вам необходимо:

  1. включить внешнюю аутентификацию через LDAP и задать настройки сервера;

  2. включить внешнюю авторизацию через LDAP и задать настройки сервера;

  3. задать базовый DN и фильтры для поиска пользователей и групп на LDAP-сервере;

  4. настроить соответствие LDAP-групп и ролей пользователей в Angie ADC.

На стороне LDAP-сервера также должны быть настроены пользователи, группы и сервисная учетная запись для Angie ADC.

Предупреждение

Необходимо настроить и включить оба блока: аутентификацию и авторизацию. Если один из блоков не настроен или выключен, внешние пользователи не смогут получить доступ к системе.

Шаги#

  1. Откройте веб-интерфейс Angie ADC. В панели навигации перейдите в раздел СистемаАутентификация и авторизация.

    Откроется страница с настройками аутентификации и авторизации для внешних пользователей.

    Angie ADC - экран "LDAP"
  2. Включите переключатель Включить внешнюю аутентификацию и выберите провайдера аутентификации LDAP.

    Примечание

    Одновременно поддерживается использование только одного провайдера внешней аутентификации. При добавлении нового провайдера аутентификации настройки предыдущего провайдера сбрасываются.

  3. Укажите следующие параметры:

    • Сервер: IP-адрес или доменное имя LDAP-сервера.

    • Порт: порт подключения к LDAP-серверу (по умолчанию 389).

    • Режим защиты соединения (по умолчанию Без TLS, также доступны варианты LDAPS и StartTLS для защищенного соединения).

      Примечание

      При выборе режима защиты соединения LDAPS или StartTLS становится доступен флажок Проверять TLS-сертификат. По умолчанию флажок установлен.

    • DN сервисной учетной записи: логин сервисной учетной записи, от имени которой система подключается к LDAP.

    • Пароль сервисной учетной записи: пароль сервисной учетной записи для подключения к LDAP-серверу.

    • Базовый DN пользователей: задает ветку на LDAP-сервере, в которой система будет искать пользователя, например ou=users,dc=example,dc=com.

    • Идентификатор логина: поле в LDAP, которое содержит логин, например uid, sAMAccountName или userPrincipalName.

    • Фильтр поиска: LDAP-фильтр для поиска пользователя, например (&(objectClass=user)(sAMAccountName=%s)).

    Примечание

    Фильтр LDAP определяет, в каком формате пользователь должен вводить логин при входе в систему:

    • если используется фильтр (&(objectClass=user)(sAMAccountName=%s)), то логин будет без доменного имени, например ivanov;

    • если используется фильтр (&(objectClass=user)(userPrincipalName=%s), то логин будет полным: ivanov@domain.com.

  4. Нажмите Сохранить.

    Внешняя аутентификация с использованием провайдера LDAP будет включена.

  5. В блоке Внешняя авторизация переведите переключатель Включить внешнюю авторизацию в положение "включено" и выберите провайдера авторизации LDAP.

  6. Задайте параметры подключения к серверу:

    • Сервер: IP-адрес или доменное имя LDAP-сервера.

    • Порт: порт подключения к LDAP-серверу (по умолчанию 389).

  7. Укажите параметры защиты соединения: Без TLS (по умолчанию) или TLS (LDAPS)/ startTLS, если необходимо использовать безопасное соединение при подключении к серверу.

    Примечание

    При выборе режима защиты соединения LDAPS или StartTLS становится доступен флажок Проверять TLS-сертификат. По умолчанию флажок установлен.

  8. В блоке Сервисная учетная запись (bind) укажите DN учетной записи, с которой будет выполняться подключение к LDAP-серверу. Можно использовать учетную запись администратора LDAP-сервера, например cn=admin,dc=example,dc=com.

  9. Если требуется, установите флажок Подключаться с паролем и укажите пароль сервисной учетной записи.

  10. В блоке Поиск и роли укажите следующие параметры:

    • Базовый DN пользователей, например ou=users,dc=example,dc=com;

    • Фильтр поиска пользователей, например (uid=%s);

    • Базовый DN групп, например ou=groups,dc=example,dc=com;

    • Фильтр поиска групп, например (member=%s).

  11. В блоке Маппинг LDAP-групп и ролей нажмите Добавить правило и задайте соответствие LDAP-групп пользователей ролям в Angie ADC. Например, если на LDAP-сервере для администраторов создана группа dn: cn=<group_name>,ou=groups,dc=example,dc=com, то укажите значение cn=<group_name>,ou=groups,dc=example,dc=com в поле DN группы и выберите роль Администратор (admin).

  12. Нажмите Сохранить.

Внешняя авторизация будет настроена и включена. При входе внешнего пользователя в систему на LDAP-сервере будет выполняться поиск групп, в которых он состоит. Если найденные группы совпадают с группами, указанными в маппинге, то пользователю будет назначена соответствующая роль. Если пользователь не найден ни в одной из групп или LDAP-группы недоступны или некорректны, доступ к системе будет запрещен.