Механизм работы с службами каталогов

При формировании подсистемы безопасности репозитория в менеджере безопасности создаются пользователи и группы. Если предполагается вход в репозитории с использованием доменной/интегрированной доменной аутентификации, то в менеджере безопасности необходимо добавить доменных пользователей и группы.

«Форсайт. Аналитическая платформа» получает информацию о доменных субъектах безопасности из службы каталогов домена или глобального каталога, которые должны быть настроены в компьютерной сети. Механизм взаимодействия зависит от типа используемой службы каталогов и от операционной системы, которая установлена на сервере службы каталогов. Поддерживается работа с такими службами каталогов, как: Active Directory, OpenLDAP.

Примечание. Взаимодействие со службами каталогов осуществляется только по протоколу LDAP.

Дополнительные настройки

Если осуществляется подключение к службе каталогов текущего домена (глобальному каталогу текущей сети) и служба сформирована на базе Active Directory (ОС Windows), то каких-либо дополнительных настроек на стороне «Форсайт. Аналитическая платформа» производить не требуется.

Если служба каталогов расположена на сервере с ОС Linux или необходимо подключиться к службе каталогов не текущей, а какой-либо другой сети (сервер с ОС Linux или Windows), то для взаимодействия будет использоваться OpenLDAP (открытая реализация протокола LDAP). При этом, если доступ к службе каталогов осуществляется с компьютера с ОС Linux, то используются системные библиотеки OpenLDAP. На компьютерах с ОС Windows потребуется установка стороннего программного обеспечения, предоставляющего реализацию OpenLDAP (например, OpenLDAP for Windows).

Если предполагается аутентификация по протоколу GSSAPI в серверах LDAP и PostgreSQL, то дополнительно необходимо установить «MIT Kerberos for Windows 4.1» (разрядность должна совпадать с разрядностью используемой версии «Форсайт. Аналитическая платформа»). Также потребуется доработать конфигурационные файлы:

Примеры файла Settings.xml в зависимости от типа ОС, на базе которой работает служба каталогов:

ОС Linux ОС Windows

<Configuration>
    <Root>
        <Key Name="PP">
            <BIS>
                <Key Name="System">
                    <Ldap Proto="LDAP" url="ldap://доменное имя сервера или IP-адрес:порт" base="dc=...,dc=..." libldap="libldap-2.4.so.2" liblber="liblber-2.4.so.2">
                        <user filter="(objectClass=posixAccount)" groupsFilter="(&amp;(|(memberUid=%1))(objectClass=posixGroup))">
                            <Key Name="a0" ldap="objectClass" filter="posixAccount"/>
                            <Key Name="a1" ldap="dn" map_to="DistinguishedName" get_full_domain="1"/>
                            <Key Name="a2" ldap="uid" map_to="name" make_upn="1" make_sam_account="1"/>
                            <Key Name="a3" ldap="cn" map_to="DisplayName"/>
                            <Key Name="a4" ldap="entryUUID" map_to="Sid" sid_prefix="1"/>
                            <Key Name="a5" ldap="description" map_to="Descr"/>
                            <Key Name="a6" ldap="name" map_to="LookupName"/>
                        </user>
                        <group filter="(objectClass=posixGroup)">
                            <Key Name="a1" ldap="objectClass" filter="posixGroup"/>
                            <Key Name="a2" ldap="dn" map_to="DistinguishedName" get_full_domain="1"/>
                            <Key Name="a3" ldap="cn" map_to="DisplayName" make_sam_account="1"/>
                            <Key Name="a4" ldap="entryUUID" map_to="Sid" sid_prefix="1"/>
                            <Key Name="a5" ldap="description" map_to="Descr"/>
                            <Key Name="a6" ldap="name" map_to="LookupName"/>
                        </group>
                        <credentials realm="" Crs="..." Crsa="..." mechanism=""/>
                    </Ldap>
                </Key>
            </BIS>
        </Key>
    </Root>
</Configuration>

<Configuration>
    <Root>
        <Key Name="PP">
            <BIS>
                <Key Name="System">
                    <Ldap Proto="LDAP" url="ldap://доменное имя сервера или IP-адрес:порт" base="dc=...,dc=..." libldap="libldap.dll" liblber="libldap.dll" >
                        <user filter="(&amp;(objectClass=user)(sAMAccountType=805306368))" groupsFilter="(&amp;(member=%1)(objectClass=group)(sAMAccountType=268435456))">
                            <Key Name="a0" ldap="objectClass" filter="user"/>
                            <Key Name="a1" ldap="distinguishedName" map_to="DistinguishedName" get_full_domain="1"/>
                            <Key Name="a2" ldap="sAMAccountName" map_to="name" make_sam_account="1"/>
                            <Key Name="a3" ldap="cn" map_to="DisplayName"/>
                            <Key Name="a4" ldap="objectSid" map_to="Sid"/>
                            <Key Name="a5" ldap="displayName" map_to="Descr"/>
                            <Key Name="a6" ldap="name" map_to="LookupName"/>
                            <Key Name="a7" ldap="userPrincipalName" map_to="userPrincipalName"/>
                            <Key Name="a8" ldap="sAMAccountName" map_to="sAMAccountName"/>
                        </user>
                        <group filter="(&amp;(objectClass=group)(sAMAccountType=268435456))">
                            <Key Name="a1" ldap="objectClass" filter="group"/>
                            <Key Name="a2" ldap="distinguishedName" map_to="DistinguishedName" get_full_domain="1"/>
                            <Key Name="a3" ldap="cn" map_to="DisplayName"/>
                            <Key Name="a4" ldap="objectSid" map_to="Sid"/>
                            <Key Name="a5" ldap="description" map_to="Descr"/>
                            <Key Name="a6" ldap="name" map_to="LookupName"/>
                            <Key Name="a7" ldap="sAMAccountName" map_to="sAMAccountName"  make_sam_account="1"/>
                        </group>
                        <credentials realm="" Crs="..." Crsa="..." mechanism="GSSAPI"/>
                    </Ldap>
                    <Gssapi libgssapi="libgssapi_krb5.so.2" libgssapi_32="gssapi32.dll" libgssapi_64="gssapi64.dll" libkrb5="libkrb5.so.3" libkrb5_32="krb5_32.dll" libkrb5_64="krb5_64.dll"/>
                </Key>
            </BIS>
        </Key>
    </Root>
</Configuration>

Особенности использования атрибутов в разделах:

Proto. Используемая реализация взаимодействия со службами каталогов:

LDAP. Для клиента OpenLDAP;
GC. Для клиента Active Directory Windows. Поддерживается только в ОС Windows и рекомендуется для использования.

При настройке прав доступа и распределении привилегий доменным пользователям через группы учитывайте следующие особенности:

если атрибут принимает значение «GC», то при подключении к репозиторию возвращается информация обо всех доменных группах, включая вложенные;
если атрибут принимает значение «LDAP», то при подключении к репозиторию возвращается информация только о доменных группах первого уровня.

url. Адрес сервера службы каталогов в формате: ldap[s]://<доменное имя сервера или IP-адрес:порт>. Схема ldap указывается, если работа сервера настроена по протоколу TCP, и ldaps, если используется TLS/SSL. В качестве порта для ldap укажите 389, для ldaps - 636;
base. Компоненты домена. Всю необходимую информацию можно получить у администратора сети, в которой расположен сервер.

Примечание. Атрибут может быть задан только в одном из файлов: ldap.conf или Settings.xml.

filter. Дополнительный фильтр поиска по типу субъекта: user или group;
map_to. Соответствие ldap-атрибутов для поиска и добавления доменных субъектов (пользователей или групп) в менеджере безопасности. Атрибут содержит следующие значения:

Descr. Описание субъекта. Отображается в качестве значения параметра «Описание» в свойствах пользователя или группы;
DisplayName. Полное наименование доменного пользователя. Отображается в качестве значения параметра «Полное наименование» в свойствах пользователя;
EMail. Адрес электронной почты субъекта по умолчанию. Задаётся в качестве значения свойства IUserProfile.Email;

SamAccountName. Наименование пользователя без учёта домена в формате <домен>\<имя>. Если не указано, то значение должно быть сформировано с помощью значения «Name» с атрибутом make_sam_account. В этом случае наименование доменного пользователя будет сформировано с учётом домена;

UserPrincipalName. Наименование пользователя с учётом домена в формате <имя>@<домен>. Если не указано, то значение должно быть сформировано с помощью значения «Name» с атрибутом make_upn. Задаётся в качестве значения свойства ISecuritySubject.UserPrincipalName;
Name. Способ формирования наименования субъекта. Может содержать атрибуты:

make_upn со значением «1» формирует «UserPrincipalName» на основе значения «Name» с учётом домена;
make_sam_account со значением «1» формирует «SamAccountName» на основе значения «Name» с учётом домена;

Примечание. При использовании значения «Name» с атрибутами, «DistinguishedName» должен быть задан с атрибутом get_full_domain.

DistinguishedName. Уникальное имя для субъекта в формате, который определен для службы каталогов, например: CN=user,OU=group,DC=domain,DC=ru. Используется для формирования значений «SamAccountName» и «UserPrincipalName», если задано значение «Name» с атрибутами make_sam_account или make_upn соответственно. Может содержать атрибут get_full_domain со значением «1». Задаётся в качестве значения свойства ISecuritySubject.DistinguishedName;
Sid. Идентификатор субъекта. Может содержать атрибут sid_prefix со значением «1», который добавляет префикс «LDAP-» к оригинальному SID-идентификатору. Задаётся в качестве значения свойства ISecuritySubject.Sid;
LookupName. Значение ldap-атрибута, по которому будет выполняться поиск доменных субъектов.

Примечание. Для ldap-атрибута должен быть указан хотя бы один атрибут map_to со значением «LookupName».

realm. Домен;
Crs/Crsa. Учётные данные для подключения к серверу службы каталогов в зашифрованном виде. Зашифрованные значения этих атрибутов можно получить с помощью утилиты PP.Util, используя параметр /encrypt_creds;
username/password. Имя пользователя и пароль в открытом виде. Используются для совместимости с предыдущими версиями «Форсайт. Аналитическая платформа». Если указаны обе пары атрибутов, то будут использоваться зашифрованные учётные данные.

Совет. В целях безопасности рекомендуется использовать учётные данные в зашифрованном виде. Если указаны обе пары атрибутов Crs/Crsa и username/password, то наибольший приоритет у атрибутов Crs/Crsa.

mechanism. Механизм подключения к серверу службы каталогов, например «GSSAPI». Если указана пустая строка или в атрибуте «url» задан адрес сервера службы каталогов с протоколом ldaps, то используется механизм SASL SIMPLE.

Примечание. Убедитесь, что используемый механизм поддерживается сервером службы каталогов.