Настройки для
подключения к серверам на базе ОС LinuxПри формировании подсистемы безопасности репозитория в менеджере безопасности создаются пользователи и группы. При первом входе администратора в приложение FlyBI требуется добавить доменные учётные записи пользователей и администраторов.
FlyBI получает информацию о доменных субъектах безопасности из службы каталогов домена или глобального каталога, которые должны быть настроены в компьютерной сети. Механизм взаимодействия зависит от типа используемой службы каталогов. Поддерживается работа с такими службами каталогов, как:
Active Directory;
Astra Linux Directory;
OpenLDAP.
Примечание. Взаимодействие со службами каталогов осуществляется только по протоколу LDAP.
Если осуществляется подключение к службе каталогов текущего домена (глобальному каталогу текущей сети) и служба сформирована на базе Active Directory в ОС Windows, то каких-либо дополнительных настроек на стороне FlyBI производить не требуется.
Если служба каталогов расположена на сервере с ОС Linux или требуется подключение к службе каталогов не текущей, а какой-либо другой сети на сервере с ОС Linux или Windows, то для взаимодействия будет использоваться OpenLDAP - открытая реализация протокола LDAP. При этом имеются особенности работы OpenLDAP в зависимости от ОС компьютера, с которого осуществляется доступ к службе каталогов:
LInux. Используются системные библиотеки OpenLDAP;
Windows. Требуется установка стороннего программного обеспечения, предоставляющего реализацию OpenLDAP, например OpenLDAP for Windows, а также установка MIT Kerberos for Windows 4.1 (разрядность должна совпадать с разрядностью используемой версии FlyBI) для корректной аутентификации по протоколу GSSAPI на серверах LDAP и PostgreSQL.
Дополнительно требуется доработка конфигурационных файлов:
в файле Settings.xml или в реестре задайте параметры сопоставления атрибутов службы каталогов и атрибутов субъектов безопасности FlyBI, укажите учётные данные для подключения к службе каталогов;
в конфигурационных файлах OpenLDAP и Kerberos задайте настройки, управляющие работой в текущей сети и определяющие параметры подключения к различным доменам. Настройка осуществляется в соответствии с документацией по OpenLDAP и Kerberos. Задаваемые настройки должны учитывать параметры работы текущей компьютерной сети и должны быть скоординированы с администратором сети.
Ниже приведены примеры файла Settings.xml в зависимости от типа ОС, на базе которой работает служба каталогов. Особенности примеров:
в атрибуте url укажите адрес сервера службы каталогов в формате:
ldap[s]://<IP-адрес сервера>:<порт>
если работа сервера настроена по протоколу TCP, то укажите схему ldap и порт 389, если по протоколу TLS/SSL, то схему ldaps и порт 636;
в атрибуте base задайте компоненты домена. Всю необходимую информацию можно получить у администратора сети, в которой расположен сервер;
в атрибутах Crs/Crsa подраздела credentials укажите учётные данные для подключения к серверу службы каталогов в зашифрованном виде. Зашифрованные значения этих атрибутов можно получить с помощью утилиты PP.Util, используя параметр /encrypt_creds.
Примечание. Задавать атрибут base одновременно в ldap.conf и в Settings.xml нельзя.
Настройки для
подключения к серверам на базе ОС Linux
Настройки для
подключения к серверам на базе ОС Windows
См. также:
Создание учётных записей пользователей и работа с ними | Добавление доменных пользователей