Synchronizacja użytkowników z LDAP¶
Użytkownik jest jednym z podstawowych elementów modelu danych. Tylko zdefiniowani użytkownicy mogą nawiązywać połączenia z monitorowanymi serwerami. Wheel Fudo PAM pozwala na automatyczną synchronizację definicji użytkowników z serwerem Active Directory.
Definicje nowych użytkowników oraz zmiany w istniejących obiektach pobierane są z serwera usług katalogowych co 5 minut. Odzwierciedlenie zmiany polegającej na usunięciu użytkownika z serwera AD lub LDAP wymaga pełnej synchronizacji. Pełna synchronizacja wyzwalana jest automatycznie raz na dobę, w czasie do 5 minut po godzinie 00:00, lub może zostać wyzwolona ręcznie.
Informacja
Dane użytkowników synchronizowanych z serwerem usług katalogowych nie mogą być poddawane edycji. Aby zmienić definicję użytkownika synchronizowanego z serwerem LDAP lub AD, wyłącz opcję Synchronizacja z LDAP dla danego użytkownika.
Konfiguracja usługi synchronizacji użytkowników
- Wybierz z lewego menu > .
- Zaznacz opcję Włączone.
- Wybierz z listy rozwijalnej Rodaj serwera typ usługi katalogowej.
- Podaj informacje uwierzytelniające użytkownika uprawnionego do przeglądania katalogu.
- Podaj nazwę domeny, do której należą użytkownicy podlegający synchronizacji.
- W polu Podstawowy użytkownik, określ miejsce przechowywania definicji użytkowników w strukturze katalogowej (np.
dc=tech,dc=whl). - W polu Podstawowa grupa, określ miejsce przechowywania definicji grup w strukturze katalogowej (np.
dc=tech,dc=whl).
Informacja
Synchronizacja użytkowników przechowywanych w strukturze LDAP wymaga:
- użycia nakładki memberOf
- użycia grup objectClass:
groupOfNames - zdefiniowania ciągu parametru base DN w postaci:
uid=##username##,ou=people,dc=ldap,dc=test.
Informacja
Parametr DN nie powinien zawierać zbędnych znaków białych, tj. spacji, tabulatorów, itp.
- Zdefiniuj filtr dla rekordów użytkowników, których definicje mają zostać zsynchronizowane.
- Zdefiniuj filtr dla grup użytkowników, których definicje mają zostać zsynchronizowane.
- Zdefiniuj adres serwera oraz port, na którym dostępna jest usługa katalogowa.
Informacja
Kliknij , aby wskazać kolejny serwer usług katalogowych.
- Zaznacz ocję Stronicuj wyniki LDAP, aby włączyć stronicowanie danych zwracanych przez serwer LDAP.
- Zaznacz opcję Połączenie szyfrowane, aby włączyć szyfrowanie transmisji z serwerem LDAP.
- Zdefiniuj mapowanie pól definicji użytkowników.
Informacja
Mapowanie pól pozwala na pobranie informacji o użytkownikach z atrybutów o niestandardowych nazwach, np. numeru telefonu zdefiniowanego w atrybucie mobile zamiast standardowego telephoneNumber.
- Kliknij i, aby dodać mapowanie grupy użytkowników.
- Wprowadź nazwę grupy i kliknij wybrany element na liście.
- Określ przypisanie grup użytkowników do sejfów.
- Przypisz źródła uwierzytelnienia do grup użytkowników.
Informacja
Źródła uwierzytelnienia przypisywane są użytkownikom w kolejności definiowania mapowań. Jeśli użytkownik znajduje się w więcej niż jednej grupie, w pierwszej kolejności będzie uwierzytelniany w oparciu o źródła uwierzytelniania przypisane do pierwszego zdefiniowanego mapowania, w którym się znajduje.
Na przykład:
Użytkownik przypisany jest do grup A i B. Dla grupy B, zdefiniowane jest mapowanie z połączeniem Sejf RDP i przypisanymi źródłami uwierzytelnienia CERB i Radius. Grupa A, mapowana jest w drugiej kolejności, na połączenie Sejf SSH i ma przypisane źródło uwierzytelnienia AD.
Wheel Fudo PAM uwierzytelniając użytkownika będzie wysyłać zapytania do zewnętrznych źródeł uwierzytelniania w następującej kolejności:
- CERB.
- Radius.
- AD.
- Kliknij .
Informacja
Opcja Wymuś pełną synchronizację pozwala na przetworzenie zmian po stronie serwera usług katalogowych, które nie są odwzorowywane w procesie okresowej synchronizacji, tj. usunięcie zdefiniowanej grupy, lub usunięcie obiektu użytkownika.
Pełna synchronizacja wyzwalana jest automatycznie raz na dobę, w czasie do 5 minut po godzinie 00:00.
Tematy pokrewne: