Внешняя система LDAP

Общие сведения о протоколе LDAP

Протокол LDAP (Lightweight Directory Access Protocol) — облегченный протокол доступа к каталогам. Протокол LDAP представляет собой сетевой протокол для доступа к службе каталогов X.500, созданный IETF, как облегченный вариант разработанного ITU-T протокола DAP.

LDAP использует TCP/IP, как правило, LDAP-сервер принимает входящие соединения на порт 389 по протоколам TCP или UDP, для LDAP-сеансов, инкапсулированных в SSL, используется порт 636.

LDAP позволяет производить операции аутентификации (bind), поиска (search) и сравнения (compare), а также операции импорта и синхронизации данных с каталогом LDAP: добавление, изменение или удаление записей.

Любая запись в каталоге LDAP состоит из одного или нескольких атрибутов и обладает уникальным именем — DN (Distinguished Name). Уникальное имя состоит из одного или нескольких относительных уникальных имен — RDN (Relative Distinguished Name), разделенных запятой. Относительное уникальное имя имеет вид: "имя Атрибута=значение". Например, "cn=Иван Петров, ou=Сотрудники, dc=example, dc=com".

На одном уровне каталога не может существовать двух записей с одинаковыми относительными уникальными именами. Данная структура уникального имени позволяет представить записи в каталоге LDAP в виде дерева.

Запись в каталоге LDAP может состоять только из атрибутов, определенных в описании класса записи (object class). Классы записи в свою очередь объединены в схемы (schema). В схеме указываются обязательные атрибуты для данного класса и опциональные атрибуты, а также тип и правила сравнения атрибутов.

LDAP является широко используемым стандартом. Одной из наиболее популярных его реализаций является служба каталогов Active Directory (Microsoft Windows), предназначенная для централизации управления сетями Windows. Свои реализации служб каталогов на основе LDAP предлагают и другие крупные компании, например, Novell и Sun. Существуют также свободно распространяемые открытые реализации LDAP, например, Open LDAP.

Интеграция системы SMP с LDAP-сервером реализуется для решения следующих задач:

  • импорт информации из каталога LDAP;
  • использование информации из хранилища LDAP-сервера для аутентификации пользователей при входе в SMP.

Добавление подключения к LDAP

Место настройки в интерфейсе

Меню навигации "Настройка системы" → "Синхронизация" → вкладка "Подключения". Подробнее в разделе Подключения.

Выполнение настройки

В списке подключений нажмите Добавить подключение. На форме добавления заполните поля и нажмите Сохранить.

Поля на форме добавления подключения:

  • Тип подключения: LDAP.
  • Название — название подключения для отображения в интерфейсе.
  • Код — уникальный идентификатор подключения для использования его в конфигурации импорта.
  • Строка подключения — адрес подключения к LDAP-серверу. Значение указывается в формате "ldap://server:port".

    • Для нешифрованного соединения: ldap://192.168.1.1:389
    • Для ssl соединения: ldaps://192.168.1.1:636
  • Тип идентификации — тип идентификации, который будет использован при подключении к домен-контроллеру.

    Возможные значения:

    • не указано (либо simple) — аутентификация пользователя в LDAP, от имени которого происходит импорт, осуществляется по логину и паролю;
    • none — подключение к LDAP осуществляется без проверки логина и пароля, импорт выполняется от имени анонимного пользователя.
  • Протокол безопасности — протокол безопасности для подключения к LDAP-серверу.

    Возможные значения:

    • не указано (либо plain) — для нешифрованного соединения;
    • SSL — для SSL-соединения. Если указано SSL, то сертификат должен быть загружен в хранилище сертификатов java.
  • Игнорировать проверку сертификата:

    • флажок снят (по умолчанию) — выполняется проверка сертификата SSL;
    • флажок установлен — проверка сертификата SSL отключается (если используется ldaps и серверный сертификат самоподписанный). Подключение небезопасно.

    Параметр влияет на поведение системы только при использовании протокола безопасности SSL.

  • Таймаут подключения, мин. — введите время (в минутах), в течение которого приложение ждет ответа на запрос от LDAP-сервера. Если в течение этого времени сервер не отвечает, то соединение завершается.

    Возможное значение от 1 до 60. По умолчанию 1 минута.

  • Имя пользователя — введите имя пользователя для подключения к LDAP-серверу.
  • Пароль — введите пароль подключения к LDAP-серверу.

Результат настройки

Новое подключение отобразится в списке подключений на вкладке "Подключения".

В файле конфигурации укажите связь подключения и конфигурации импорта, подробнее в разделе <ldap-data-source>.