LDAP
АРХИВА поддерживает аутентификацию пользователей через LDAP-сервисы, такие как OpenLDAP, Active Directory и другие, что позволяет централизовать управление доступом.
Процесс аутентификации
При использовании LDAP-аутентификации выполняются следующие шаги:
АРХИВА подключается к службе каталогов, используя учетную запись службы (Service DN) и её пароль.
Начинается поиск пользователя с Base DN, сопоставляя имя пользователя со значением Bind Attribute (например,
uidилиsAMAccountName).Извлекается DN найденного пользователя.
Производится попытка входа с использованием DN пользователя и введённого пароля.
При успешной аутентификации:
Назначается роль пользователя согласно сопоставлениям.
Извлекается адрес электронной почты из LDAP.
Дополнительно могут быть извлечены отображаемое имя и мобильный номер.
Полезные инструменты
Для диагностики и исследования структуры каталога:
Утилита
ldapsearch(Linux)LDAP-браузеры: Apache Directory Studio, Softerra, JXplorer и др.
Основные параметры конфигурации
Поле | Описание | Пример |
|---|---|---|
DNS Сервер IP адрес | Опционально. IP-адрес DNS-сервера, если требуется использовать альтернативный |
|
DNS сайт | Опционально. DNS-суффикс для разрешения локальных имен |
|
Адрес LDAP сервера | Полное доменное имя (FQDN) и порт LDAP-сервера |
|
Базовый DN (Base DN) | DN, с которого начинается поиск пользователей |
|
Вход в учетную запись службы (Service DN) | DN учетной записи с правами чтения каталога |
|
Пароль учетной записи службы | Пароль для Service DN | (ввести вручную) |
Атрибуты поиска и сопоставления
Поле | Описание | Пример |
|---|---|---|
Атрибут привязки | Атрибут, по которому находится пользователь (например, логин) |
|
Атрибут электронной почты | Основной атрибут, содержащий email-адрес пользователя |
|
Значение электронной почты | Регулярное выражение для извлечения email |
|
Основной атрибут email | Альтернативный атрибут для email-адреса |
|
Основное значение email | Регулярное выражение для альтернативного email-адреса |
|
Атрибут отображаемого имени | Атрибут, содержащий отображаемое имя пользователя |
|
Атрибут мобильного | Атрибут, содержащий мобильный номер |
|
Назначение ролей
После настройки подключения необходимо создать сопоставления ролей:
Перейдите в Настройки → Авторизация.
Выберите LDAP как метод авторизации.
Нажмите «Назначить новую роль», чтобы сопоставить LDAP-пользователей с ролями АРХИВА.
В поле соответствия можно использовать регулярные выражения (например,
.*, чтобы назначить роль всем пользователям).
Рекомендации
Убедитесь, что Service DN имеет доступ к атрибутам, необходимым для поиска и входа.
При миграции с других LDAP-систем проверьте совместимость схем атрибутов.