Механизм работы со службами каталогов

«Форсайт. Аналитическая платформа» получает информацию о доменных субъектах безопасности из службы каталогов домена или глобального каталога, которые должны быть настроены в компьютерной сети. Механизм взаимодействия зависит от типа используемой службы каталогов и от операционной системы, которая установлена на сервере службы каталогов. Поддерживается работа с такими службами каталогов, как: Active Directory, OpenLDAP.

Примечание. Взаимодействие со службами каталогов осуществляется только по протоколу LDAP.

Если осуществляется подключение к службе каталогов текущего домена (глобальному каталогу текущей сети) и служба сформирована на базе Active Directory в ОС Windows, то каких-либо дополнительных настроек на стороне «Форсайт. Аналитическая платформа» производить не требуется.

Если служба каталогов расположена на сервере с ОС Linux или необходимо подключиться к службе каталогов не текущей, а какой-либо другой сети (сервер с ОС Linux или Windows), то для взаимодействия будет использоваться OpenLDAP (открытая реализация протокола LDAP). При этом, если доступ к службе каталогов осуществляется в ОС Linux, то используются системные библиотеки OpenLDAP. В ОС Windows потребуется установка стороннего программного обеспечения, предоставляющего реализацию OpenLDAP (например, OpenLDAP for Windows).

Если предполагается аутентификация по протоколу GSSAPI на серверах LDAP и PostgreSQL, то дополнительно необходимо установить «MIT Kerberos for Windows 4.1» (разрядность должна совпадать с разрядностью используемой версии «Форсайт. Аналитическая платформа»). Также потребуется доработать конфигурационные файлы:

Примеры файла settings.xml в зависимости от типа ОС, на базе которой работает служба каталогов:

ОС Linux ОС Windows

<Configuration>
  <Root>
    <Key Name="PP">
      <BIS>
        <Key Name="System">
          <Ldap Proto="LDAP" url="ldap://IP-адрес или доменное имя сервера:порт" base="dc=...,dc=..." libldap="libldap-2.4.so.2" liblber="liblber-2.4.so.2">
            <user filter="(&amp;(objectClass=user)(sAMAccountType=805306368))" groupsFilter="(&amp;(member=%1)(objectClass=group)(sAMAccountType=268435456))">
              <Key Name="a0" filter="user" ldap="objectClass"/>
              <Key Name="a1" map_to="DistinguishedName" ldap="distinguishedName" get_full_domain="1"/>
              <Key Name="a2" map_to="Name" ldap="sAMAccountName" make_sam_account="1" make_upn="1"/>
              <Key Name="a3" map_to="Sid" ldap="objectSid"/>
              <Key Name="a4" map_to="DisplayName" ldap="cn"/>
              <Key Name="a5" map_to="Descr" ldap="displayName"/>
              <Key Name="a6" map_to="LookupName" ldap="sAMAccountName"/>
              <Key Name="a7" map_to="LookupName" ldap="userPrincipalName"/>
              <Key Name="a8" map_to="LookupName" ldap="displayName"/>
              <Key Name="a9" map_to="LookupName" ldap="cn"/>
            </user>
            <group filter="(&amp;(objectClass=group)(sAMAccountType=268435456))">
              <Key Name="a0" filter="group" ldap="objectClass"/>
              <Key Name="a1" map_to="DistinguishedName" ldap="distinguishedName" get_full_domain="1"/>
              <Key Name="a2" map_to="Name" ldap="sAMAccountName" make_sam_account="1"/>
              <Key Name="a3" map_to="Sid" ldap="objectSid"/>
              <Key Name="a4" map_to="DisplayName" ldap="cn"/>
              <Key Name="a5" map_to="Descr" ldap="description"/>
              <Key Name="a6" map_to="LookupName" ldap="sAMAccountName"/>
              <Key Name="a7" map_to="LookupName" ldap="description"/>
            </group>
            <credentials realm="" Crs="..." Crsa="..." mechanism="GSSAPI"/>
          </Ldap>
          <Gssapi libgssapi="libgssapi_krb5.so.2" libkrb5="libkrb5.so.3"/>
        </Key>
      </BIS>
    </Key>
  </Root>
</Configuration>

<Configuration>
  <Root>
    <Key Name="PP">
      <BIS>
        <Key Name="System">
          <Ldap Proto="LDAP" url="ldap://IP-адрес или доменное имя сервера:порт" base="dc=...,dc=..." libldap="libldap.dll" liblber="liblber.dll" >
            <user filter="(&amp;(objectClass=user)(sAMAccountType=805306368))" groupsFilter="(&amp;(member=%1)(objectClass=group)(sAMAccountType=268435456))">
              <Key Name="a0" filter="user" ldap="objectClass"/>
              <Key Name="a1" map_to="DistinguishedName" ldap="distinguishedName" get_full_domain="1"/>
              <Key Name="a2" map_to="Name" ldap="sAMAccountName" make_sam_account="1" make_upn="1"/>
              <Key Name="a3" map_to="Sid" ldap="objectSid"/>
              <Key Name="a4" map_to="DisplayName" ldap="cn"/>
              <Key Name="a5" map_to="Descr" ldap="displayName"/>
              <Key Name="a6" map_to="LookupName" ldap="sAMAccountName"/>
              <Key Name="a7" map_to="LookupName" ldap="userPrincipalName"/>
              <Key Name="a8" map_to="LookupName" ldap="displayName"/>
              <Key Name="a9" map_to="LookupName" ldap="cn"/>
            </user>
            <group filter="(&amp;(objectClass=group)(sAMAccountType=268435456))">
              <Key Name="a0" filter="group" ldap="objectClass"/>
              <Key Name="a1" map_to="DistinguishedName" ldap="distinguishedName" get_full_domain="1"/>
              <Key Name="a2" map_to="Name" ldap="sAMAccountName" make_sam_account="1"/>
              <Key Name="a3" map_to="Sid" ldap="objectSid"/>
              <Key Name="a4" map_to="DisplayName" ldap="cn"/>
              <Key Name="a5" map_to="Descr" ldap="description"/>
              <Key Name="a6" map_to="LookupName" ldap="sAMAccountName"/>
              <Key Name="a7" map_to="LookupName" ldap="description"/>
            </group>
            <credentials realm="" Crs="..." Crsa="..." mechanism="GSSAPI"/>
          </Ldap>
          <Gssapi libgssapi_32="gssapi32.dll" libgssapi_64="gssapi64.dll" libkrb5_32="krb5_32.dll" libkrb5_64="krb5_64.dll"/>
        </Key>
      </BIS>
    </Key>
  </Root>
</Configuration>

Особенности использования атрибутов в разделах:

Proto. Используемая реализация взаимодействия со службами каталогов:

LDAP. Для клиента OpenLDAP;
GC. Для клиента Active Directory Windows. Поддерживается только в ОС Windows и рекомендуется для использования.

При настройке прав доступа и распределении привилегий доменным пользователям через группы учитывайте следующие особенности:

если атрибут принимает значение «GC», то при подключении к репозиторию возвращается информация обо всех доменных группах, включая вложенные;
если атрибут принимает значение «LDAP», то при подключении к репозиторию возвращается информация только о доменных группах первого уровня.

url. Адрес сервера службы каталогов в формате: ldap[s]://<IP-адрес или доменное имя сервера>:<порт>. Схема ldap указывается, если работа сервера настроена по протоколу TCP, и ldaps, если используется TLS/SSL. В качестве порта для ldap укажите 389, для ldaps - 636;
base. Компоненты домена. Всю необходимую информацию можно получить у администратора сети, в которой расположен сервер.

Примечание. Атрибут может быть задан только в одном из файлов: ldap.conf или settings.xml. По умолчанию ldap.conf содержится в папке: /etc/ldap в Debian-подобных дистрибутивах, /etc/openldap в RedHat-подобных дистрибутивах и ALT Linux, C:\OpenLDAP в ОС Windows.

filter. Дополнительный фильтр поиска по типу субъекта: user или group;
map_to. Соответствие ldap-атрибутов для поиска и добавления доменных субъектов (пользователей или групп) в менеджере безопасности. Атрибут содержит следующие значения:

Descr. Описание субъекта. Отображается в качестве значения параметра «Описание» в свойствах пользователя или группы;
DisplayName. Полное наименование доменного пользователя. Отображается в качестве значения параметра «Полное наименование» в свойствах пользователя;
EMail. Адрес электронной почты субъекта по умолчанию. Задаётся в качестве значения свойства IUserProfile.Email;

SamAccountName. Наименование пользователя без учёта домена в формате <домен>\<имя>. Если не указано, то значение должно быть сформировано с помощью значения «Name» с атрибутом make_sam_account. В этом случае наименование доменного пользователя будет сформировано с учётом домена;

UserPrincipalName. Наименование пользователя с учётом домена в формате <имя>@<домен>. Если не указано, то значение должно быть сформировано с помощью значения «Name» с атрибутом make_upn. Задаётся в качестве значения свойства ISecuritySubject.UserPrincipalName;
Name. Способ формирования наименования субъекта. Может содержать атрибуты:

make_upn со значением «1» формирует «UserPrincipalName» на основе значения «Name» с учётом домена;
make_sam_account со значением «1» формирует «SamAccountName» на основе значения «Name» с учётом домена;

Примечание. При использовании значения «Name» с атрибутами, «DistinguishedName» должен быть задан с атрибутом get_full_domain.

DistinguishedName. Уникальное имя для субъекта в формате, который определен для службы каталогов, например: CN=user,OU=group,DC=domain,DC=ru. Используется для формирования значений «SamAccountName» и «UserPrincipalName», если задано значение «Name» с атрибутами make_sam_account или make_upn соответственно. Может содержать атрибут get_full_domain со значением «1». Задаётся в качестве значения свойства ISecuritySubject.DistinguishedName;
Sid. Идентификатор субъекта. Может содержать атрибут sid_prefix со значением «1», который добавляет префикс «LDAP-» к оригинальному SID-идентификатору. Задаётся в качестве значения свойства ISecuritySubject.Sid;
LookupName. Значение ldap-атрибута, по которому будет выполняться поиск доменных субъектов.

Примечание. Для ldap-атрибута должен быть указан хотя бы один атрибут map_to со значением «LookupName».

realm. Домен;
Crs/Crsa. Учётные данные для подключения к серверу службы каталогов в зашифрованном виде. Зашифрованные значения этих атрибутов можно получить с помощью утилиты PP.Util, используя параметр /encrypt_creds;
username/password. Имя пользователя и пароль в открытом виде. Используются для совместимости с предыдущими версиями «Форсайт. Аналитическая платформа». Если указаны обе пары атрибутов, то будут использоваться зашифрованные учётные данные.

Совет. В целях безопасности рекомендуется использовать учётные данные в зашифрованном виде. Если указаны обе пары атрибутов Crs/Crsa и username/password, то наибольший приоритет у атрибутов Crs/Crsa.

mechanism. Механизм подключения к серверу службы каталогов, например «GSSAPI». Если указана пустая строка или в атрибуте «url» задан адрес сервера службы каталогов с протоколом ldaps, то используется механизм SASL SIMPLE.

Примечание. Убедитесь, что используемый механизм поддерживается сервером службы каталогов.

Подключение дополнительных контроллеров домена

Для основного контроллера домена и поддоменов доступно подключение дополнительных контроллеров, которые будут использоваться в качестве альтернативных, если основной контроллер домена или поддомен недоступны после трёх попыток подключения к ним. При разрыве соединения с одним контроллером и переключении на другой контроллер активная сессия пользователя сохраняется.

Список дополнительных контроллеров домена задаётся в разделе controllers с разделами Key. Допустимые атрибуты раздела Key:

Основной контроллер домена

Для подключения дополнительных контроллеров в основной контроллер домена:

Поддомены

Для подключения дополнительных контроллеров в поддоменах:

<subdomains>
  <Key Name="наименование поддомена 1" url="ldap://IP-адрес или доменное имя сервера:порт">
    <controllers>
      <Key Name="наименование контроллера 1" url="ldap://IP-адрес или доменное имя сервера:порт" />
      <Key Name="наименование контроллера 2" url="ldap://IP-адрес или доменное имя сервера:порт" />
    </controllers>
  </Key>
  <Key Name="наименование поддомена 2" url="ldap://IP-адрес или доменное имя сервера:порт">
    <controllers>
      <Key Name="наименование контроллера 3" url="ldap://IP-адрес или доменное имя сервера:порт" />
      <Key Name="наименование контроллера 4" url="ldap://IP-адрес или доменное имя сервера:порт" />
    </controllers>
  </Key>
</subdomains>