LDAP удостоверяване

LDAP

Как да конфигурирате LDAP удостоверяване

Overview
Деклариране на LDAP режим за удостоверяване
В движение, създаване на потребител
Групово LDAP вход
Отстраняване на проблеми
Ъглов ситуации

Overview

LDAP (Lightweight Directory Protocol Protocol) е софтуерен протокол, който позволява на всеки да намира организации, лица и други ресурси, като файлове и устройства в мрежа, независимо дали в публичния Интернет или в корпоративния интранет. LDAP е "лека" (по-малко количество код) версия на протокол за достъп до директория (DAP), която е част от X.X.X., стандарт за директорийни услуги в мрежа. LDAP е по-лек, тъй като в първоначалната си версия той не включва функции за сигурност. Easy Project родно поддържа LDAP удостоверяване, използвайки една или няколко директории LDAP. Поддържаните типове услуги на директория включват Active Directory, OpenLDAP, eDirectory, Sun Java System Directory Server, както и други съвместими услуги на директория.

LDAP директория е организирана в проста "дърво" йерархия, състояща се от следните нива:

Коренната директория (началното място или източникът на дървото), към която се разклонява
Държави, всяка от които се разклонява
Организации, които се разклоняват
Организационни звена (отдели, отдели и т.н.), към които се разклонява (включва запис за)
Физически лица (което включва хора, файлове и споделени ресурси като принтери)

Деклариране на LDAP режим за удостоверяване

Отидете на Администрация и кликнете върху „LDAP удостоверяване“ в менюто. Тук ще намерите списъка на всички съществуващи режими за удостоверяване на LDAP, включително опциите за тестване или изтриване на всеки. За да създадете нов, кликнете върху зеления бутон "Нов режим на удостоверяване" в горния десен ъгъл.

Доставчикът на LDAP услуги използва URL, за да конфигурира връзката към сървъра на директория. За генериране на URL адрес на LDAP връзка трябва да се посочат следните полета:

Име: Произволно име за директорията.
Водещ: Името на хоста на LDAP (тестов сървър).
Порт: LDAP порт (по подразбиране е 389).
LDAPS: Проверете това, ако искате или трябва да използвате LDAPS за достъп до директорията.
Сметка: Въведете потребителско име, което има достъп за четене до LDAP, в противен случай оставете това поле празно, ако вашият LDAP може да се чете анонимно (сървърите на Active Directory обикновено не позволяват анонимен достъп).
парола: Парола за акаунта.
База DN: DN на горното ниво на вашето дърво на директория LDAP (пример: dc = пример, dc = com).
LDAP филтър: Филтрите могат да се използват за ограничаване на броя потребители или групи, на които е разрешен достъп до приложение. По същество филтърът ограничава от коя част от LDAP дървото приложението се синхронизира. Филтър може и трябва да бъде написан за членство както на потребител, така и на група. Това гарантира, че не заливате приложението си с потребители и групи, които не се нуждаят от достъп.

Примерни филтри

Тези филтри са написани за Active Directory. За да ги използвате за нещо като OpenLDAP, атрибутите ще трябва да бъдат променени.

Това ще синхронизира само потребителите в групата „CaptainPlanet“ - това трябва да се приложи към Потребителски филтър за обекти:
```
(&(objectCategory=Person)(sAMAccountName=*)(memberOf=cn=CaptainPlanet,ou=users,dc=company,dc=com))
```
И това ще търси потребители, които са член на тази група, директно или чрез влагане:
```
(&(objectCategory=Person)(sAMAccountName=*)(memberOf:1.2.840.113556.1.4.1941:=cn=CaptainPlanet,ou=users,dc=company,dc=com))
```
Важно за Active Directory да има memberOf: 1.2.840.113556.1.4.1941 ако искате да намерите вложени групи (не замествайте числовия низ) вътре в групата CaptainPlanet.

Това ще търси потребители, които са член на някоя или всички групи 4 (огън, вятър, вода, сърце)
```
(&(objectCategory=Person)(sAMAccountName=*)(|(memberOf=cn=fire,ou=users,dc=company,dc=com)(memberOf=cn=wind,ou=users,dc=company,dc=com)(memberOf=cn=water,ou=users,dc=company,dc=com)(memberOf=cn=heart,ou=users,dc=company,dc=com)))
```
Време за изчакване (в секунди): Ако доставчикът на LDAP не получи LDAP отговор в указания период, той прекратява опита за четене. Цялото число трябва да е по-голямо от нула. Цяло число по-малко или равно на нула означава, че не е посочено времето за четене, което е еквивалентно на чакането на отговора безкрайно, докато не бъде получено, което е по подразбиране към първоначалното поведение. Ако това свойство не е посочено, по подразбиране е да изчакате отговора, докато не бъде получен.
Създаване на потребители в движение: Проверявайки това, всеки потребител на LDAP ще има своя акаунт за Easy Project автоматично създаден при първия му вход в Easy Project. В противен случай ще трябва ръчно да създадете потребителя в Easy Project за всеки LDAP потребител, който иска да влезе.

Атрибути (примери):

Атрибут за вход: Името за вход, под което потребителят влиза и се удостоверява.
Атрибут на име: Атрибут за първо име.
Атрибут на фамилното име: Атрибут за фамилно име.
Атрибут на имейл: Атрибут за имейл адрес.

Потребителите на Easy Project вече трябва да могат да се удостоверяват с LDAP потребителско име и парола, ако техните акаунти са настроени да използват LDAP за удостоверяване (проверете настройката „Режим на удостоверяване“, когато редактирате потребителския профил на потребителя).

За да тествате това, създайте потребител на Easy Project с вход, който съответства на неговия LDAP акаунт (обикновено Easy Project ще ви посъветва, като потърсите LDAP данните), изберете новосъздадения LDAP в падащия списък Режим на удостоверяване (това поле е видими на екрана на акаунта само ако е деклариран LDAP) и оставете паролата си празна. Опитайте да влезете в Easy Project с помощта на потребителското име и паролата за LDAP.

Софтуер, който се адаптира към вашите нужди? лесно.

Внесете хармония в управлението на вашия проект с един адаптивен инструмент и дръжте всичко под контрол.

Открийте Easy Project

В движение, създаване на потребител

Чрез проверка създаване на потребители в движениевсеки потребител на LDAP ще си създаде акаунта на Easy Project автоматично създаден при първия му вход в Easy Project.
За това трябва да посочите името на атрибутите LDAP (име, фамилия, имейл), които ще бъдат използвани за създаване на техните акаунти в Easy Project.

Ето типичен пример с помощта на Active Directory:

Име = Моят хост на директория = host.domain.org Порт = 389 LDAPS = няма акаунт = MyDomain \ UserName (или UserName @ MyDomain в зависимост от AD сървъра) Парола = Основен DN = CN = потребители, DC = хост, DC = домейн, DC = org Създаване на потребител в движение = да Атрибути Login = sAMAccountName Firstname = givenName Фамилия = sN Email = mail

Ето още един пример за Active Directory с отделен интранет:

Име = Просто описание на страницата за режими за удостоверяване Host = DepartmentName.OrganizationName.local Port = 389 LDAPS = no Account = DepartmentName \ UserName (или UserName @ MyDomain в зависимост от AD сървър или свързване DN uid = Manager, cn = потребители, dc = MyDomain, dc = com) Парола = Основен DN = DC = Име на отдел, DC = Име на организацията, DC = локално създаване на потребител в движение = да Атрибути Login = sAMAccountName Firstname = givenName Фамилия = sN Email = mail

Обърнете внимание, че имената на LDAP атрибути са различаващ главни от малки букви.

Динамичен обвързващ акаунт

Горната настройка ще се нуждае от специален акаунт на сървъра на директория, който Easy Project използва за предварително удостоверяване. Възможно е да използвате ключовата дума $ вход в полето за акаунт, което след това ще бъде заменено от текущото влизане. В този случай паролата може да остане празна, например:

Профил: $login@COMPANY.DOMAIN.NAME

Акаунт: компания \ $ вход

Базови DN варианти

Въпреки че е напълно възможно Base DN по-горе да е стандартен за Active Directory, Active Directory на сайта на моя работодател не използва контейнера Потребители за стандартни потребители, така че тези инструкции ме изпратиха дълъг и болезнен път. Препоръчвам също да опитате само "DC = хост, DC = домейн, DC = org", ако входът не успее с настройките там.

Групово LDAP вход

Ако искате просто да разрешите влизането на потребители, които принадлежат към определена група LDAP, трябва да следвате инструкциите по-долу. Те се базират на OpenLDAP LDAP сървър и Easy Project.

1. (OpenLDAP сървър) Активирайте memberof наслагване

1.1. Създайте файл:

vim ~ / memberof_add.ldif

Със съдържание по-долу:

dn: cn = модул, cn = config
objectClass: olcModuleList
cn: модул
olcModulePath: / usr / lib / ldap
olcModuleLoad: memberof

1.2. Създайте файл:

vim ~ / memberof_config.ldif

Със съдържание по-долу:

dn: olcOverlay = memberof, olcDatabase = {1} hdb, cn = config
objectClass: olcMemberOf
objectClass: olcOverlayConfig
objectClass: olcConfig
objectClass: отгоре
olcOverlay: memberof
olcMemberOfDangling: игнорирайте
olcMemberOfRefInt: ИСТИНСКИ
olcMemberOfGroupOC: groupOfNames
olcMemberOfMemberAD: член
olcMemberOfMemberOfAD: memberOf

1.3. Заредете ги. Това ще зависи от вашата конфигурация на OpenLDAP, така че ще предложим някои възможности:

sudo ldapadd -c -Y ВЪНШЕН -H ldapi: /// -f memberof_add.ldif
sudo ldapadd -c -Y ВЪНШЕН -H ldapi: /// -f memberof_config.ldif

Или:

ldapadd -D cn = администратор, cn = config -w "парола" -H ldapi: /// -f memberof_add.ldif
ldapadd -D cn = admin, cn = config -w "парола" -H ldapi: /// -f memberof_config.ldif

Рестартирането НЕ е необходимо, ако използвате двигател за динамична конфигурация на изпълнение (slapd-config).

1.4. (Незадължително) Тествайте го:

ldapsearch -D cn = admin, dc = пример, dc = com -x -W -b 'dc = пример, dc = com' -H 'ldap: //127.0.0.1: 389 /' '(& (objectClass = posixAccount ) (memberOf = cn = ldapeasyproject, ou = групи, dc = пример, dc = com)) '

2. (OpenLDAP сървър) Създайте групата. В този пример потребителят е "ldap_user_1", а групата е "ldapeasyproject":

dn: cn = ldapeasyproject, ou = групи, dc = пример, dc = com
cn: ldapeasyproject
описание: Членовете на персонала могат да влизат в системата за билети Easy Project
член: cn = ldap_user_1, ou = хора, dc = пример, dc = com
objectclass: groupOfNames
objectclass: отгоре

Настройте "dn" и "cn" s, за да се впишат във вашата DIT структура

3. (Лесен проект) Редактиране на режима за удостоверяване на LDAP. В моя случай "ldap_user_1" е обектклас "posixAccount":

База DN: dc = пример, dc = com
Филтър: (& (objectClass = posixAccount) (memberOf = cn = ldapeasyproject, ou = групи, dc = пример, dc = com))

Отстраняване на проблеми

Ако искате да използвате създаване на потребители в движение, уверете се, че Easy Project може да извлече от вашата LDAP цялата необходима информация, за да създаде валиден потребител.
Например създаването на потребители в движение няма да работи, ако нямате валидни имейл адреси в своята директория (при опит да влезете ще получите съобщение за грешка „Невалидно потребителско име / парола“).
(Това не е вярно с по-новите версии на Easy Project; диалоговият прозорец за създаване на потребители е запълнен с всичко, което може да намери от LDAP сървъра, и моли новия потребител да попълни останалите.)

Освен това се уверете, че нямате персонализирано поле, маркирано като длъжен за потребителски акаунти. Тези персонализирани полета биха предотвратили създаването на потребителски акаунти в движение.

Грешките в системата за вход не се отчитат с никаква реална информация в регистрационните файлове на Easy Project, което затруднява отстраняването на проблеми. Можете обаче да намерите по-голямата част от информацията, която ви е необходима Wireshark между вашия хост Easy Project и LDAP сървъра. Имайте предвид, че това работи само ако имате разрешения за четене на мрежов трафик между тези два хоста.

Можете също така да използвате инструмента „ldapsearch“, за да проверите дали вашите настройки са правилни. Влезте в Linux машината, хостваща вашия Easy Project (и евентуално инсталирайте ldaputils) и стартирайте това:

ldapsearch -x -b  "dc=example,dc=com" -H ldap://hostname/ -D "DOMAIN\USER" -w mypassword [searchterm]

Ако успеете, ще получите списък на съдържанието на рекламата, съответстващ на вашата заявка за търсене. След това ще знаете как да попълните полетата в LDAP конфигурацията в Easy Project.

Алтернативни начини за проверка на функционалността

Опитайте да премахнете LDAP филтри, които, ако са неправилно зададени, могат да изтрият потребителите, които искате да намерите.
До „атрибута за вход“ е икона на книга. Ако щракнете върху него и LDAP е настроен правилно, "обичайните атрибути" автоматично се попълват от действителния LDAP сървър. Вместо текстови полета се появяват квадратчета за случай, в който потребителят иска да промени настройките. В повечето случаи потребителят изобщо не трябва да попълва това. Ако това работи, вероятно всичко останало ще работи.
За проблеми със свързването можете да използвате бутона "Тест" в списъка на LDAP сървъра. Внимавайте, това служи само за тестване дали можете да се свържете с LDAP. Честият проблем е, че администраторите не попълват потребителя на системата LDAP, дори когато настройките на LDAP все още са защитени. В този случай тестът ще стартира ОК, защото връзката работи, но не могат да се добавят потребители, тъй като LDAP не "вижда".
За да проверите дали LDAP наистина работи, може да се използва и номерът „Налични потребители“ - ако стойността му е 0, LDAP не връща никакви данни и вероятно е неправилно зададен. Ако има число, можете да щракнете върху него, за да го разгънете и да видите какво показва LDAP (и съответно коригирайте филтрите).

Акаунт формат на стойност

Потребителското име за идентификационните данни за обвързване може да се наложи да бъде посочено като DN, а не като UPN (user@domain.com) или като домейн \ потребителско, както бе посочено от този коментар в източник: багажника / продавач / плъгини / рубинено-нет-LDAP-0.0.4 / ИЪ / нето / ldap.rb:

  # Както е описано в #bind, повечето LDAP сървъри изискват да предоставите пълна DN # като свързващо-идентификационно средство, заедно с удостоверителя, като парола.

Следователно потребител с MyDomain \ MyUserName или MyUserName@MyDomain.com потребителско име може да въведе само MyUserName като име за вход в Easy Project.

Бавно LDAP удостоверяване

Ако удостоверяването на LDAP е бавно и имате AD клъстер, опитайте се да посочите в полето Host един от физическите сървъри на AD. Може да помогне.

OpenDS

Ако използвате OpenDS сървъра, може да имате проблеми с контрола на заявката „Странирани резултати“, изпратени с първоначалната заявка за търсене на потребителя от посочения атрибут за вход. Това управление на заявката 1.2.840.113556.1.4.319 не е разрешено за анонимни потребители по подразбиране, като по този начин не позволява на Easy Project да намери потребителя в директорията, дори преди да се извърши обвързването.

Добавете глобален ACI като този

./dsconfig -h SERVER_IP -p 4444 -D cn = "Мениджър на директории" -w PASSWORD -n set-access-control-handler-prop --trustAll --add global-aci: \ (targetcontrol = \ "1.2.840.113556.1.4.319 \" \) \ \ (версия \ 3.0 \; \ acl \ \ "Анонимен \ контрол \ достъп \ до \ 1.2.840.113556.1.4.319 \" \; \ разреши \ \ (прочетете \) \ userdn = \ "ldap: /// никой \" \ ; \)

Забележка: Въведете командата на един ред, използвайте избягащия точно както е посочено (\ след "acl" се означава "\" за интервал).

Някои потребители не могат да влязат

Проблем: Конкретен ОУ потребители не може да влезе (невалиден потребител или парола), докато всички останали. Потребителите са в отдалечен сайт, но потребителите в другите ОУ на същия сайт не получават тази грешка.

Решение: Проблемът най-вероятно не е свързан с неправилни настройки, а по-скоро проблем с Active Directory (AD). Потребителите, които не са могли да се свържат, са задали полето „Вход към“ на определен компютър в Свойствата на потребителя на AD (AD администрация). След като го смените на „Вход отвсякъде“, би трябвало да работи. По-конкретно, това поле трябва да бъде настроено на: AD потребител -> свойства -> акаунт -> влизане отвсякъде.

Проблеми с влизането при използване на LDAPS без валиден сертификат

Може да срещнете проблеми с влизането в системата, когато използвате LDAPS без валиден сертификат. В Easy Project сертификатът LDAPS винаги се валидира. С невалиден сертификат потребителите няма да могат да влязат. Разбира се, правилното и дългосрочно решение е да използвате валиден сертификат. Но докато постигнете това, временното решение е да отидете на Администрация >> LDAP удостоверяване >> Редактиране на съответния режим за удостоверяване.

Променете настройката на LDAPS (без проверка на сертификата).

С решението на Easy Project Server можете да го променяте групово от конзолата на релсите
rails r "AuthSource.update_all (верига_проверка: невярно)" -e производство

или чрез SQL
UPDATE auth_sources set_control_peer = 0;

Ъглов ситуации

При импортиране / създаване на потребители автоматично от LDAP, настройката за тип потребител по подразбиране, въведена във формуляра за създаване на потребител, е предпочитана пред настройката за потребителски тип по подразбиране, въведена в LDAP. След като потребителят е създаден, тази настройка не може да бъде променена по-късно (освен ако не създадете нов LDAP).