Интеграция LDAP/AD

В этой главе описывается настройка Veyon для подключения его к LDAP-совместимым серверам. В дальнейшем будет использоваться общий термин LDAP, который относится ко всем LDAP-совместимым продуктам и технологиям, таким как OpenLDAP, Samba или Active Directory. Интеграция с LDAP позволяет использовать информацию о пользователях, группах пользователей, компьютерах и местоположениях, которые уже существуют в большинстве сред, вместо того, чтобы вручную копировать ее в конфигурации Veyon. После настройки Veyon Master может извлекать местоположения и компьютеры для отображения непосредственно из службы каталогов. Кроме того, пользователи LDAP и группы пользователей могут служить базой для Контроль доступа к компьютеру.

Настройка интеграции LDAP выполняется на странице конфигурации LDAP в конфигураторе Veyon. Страница разделена на несколько подстраниц для Основные настройки, Настройки среды, Расширенные настройки и Тестирования интеграции.

Основные настройки

Основные настройки влияют на все основные параметры доступа к серверу LDAP. Они обязательны для правильно работающей интеграции LDAP.

Главное

LDAP сервер и порт: Введите здесь адрес сервера LDAP (имя хоста или IP-адрес). Если используется порт, отличный от порта LDAP 389 по умолчанию, параметр порта должен быть соответствующим образом скорректирован.

Анонимная привязка / Использование учетных данных привязки: В зависимости от среды и конфигурации сервера LDAP запросы LDAP могут выполняться либо от имени анонимного пользователя, либо только с действительными именами пользователей и паролями. Если для доступа к серверу требуется имя пользователя и пароль, необходимо выбрать опцию Регистрационные данные привязки и ввести учетные данные в поля ввода ниже. В противном случае можно использовать параметр по умолчанию Анонимная привязка.

DN для привязки: DN для привязки — это имя пользователя, используемое для входа на сервер для выполнения операций LDAP. Однако требуемый формат в значительной степени зависит от сервера LDAP и его конфигурации. Возможные форматы включают User, DOMAIN\User или cn=User,…,dc=example,dc=org.

Пароль привязки: В дополнение к DN привязке необходимо ввести соответствующий пароль.

Вы можете воспользоваться кнопкой Тестировать, чтобы чтобы убедиться, что доступ к серверу работает с указанными параметрами.

Подсказка

Veyon требует только права на чтение каталога LDAP. В целях дополнительной безопасности на сервере LDAP можно создать отдельного пользователя с правами только на чтение каталога LDAP, например «Veyon-LDAP-RO». Доступ этого пользователя к соответствующим атрибутам можно дополнительно ограничить.

Защита соединения

Veyon может устанавливать зашифрованные соединения с сервером LDAP. Для этого в разделе Защита соединения доступны соответствующие настройки.

Протокол шифрования

Вы можете выбрать между протоколами шифрования Нет, TLS и SSL. Рекомендуется использовать современный протокол TLS.

По умолчанию: Нет

Проверка сертификата TLS

Этот параметр определяет, как должен проверяться сертификат безопасности сервера LDAP при установлении зашифрованного соединения. При настройке по умолчанию Системные настройки по умолчанию, в зависимости от операционной системы, выполняется попытка проверки сертификата с использованием корневых сертификатов, установленных в масштабах всей системы. Хранилище сертификатов Windows здесь не учитывается, поэтому, возможно, придется хранить отдельный файл сертификата CA. При установке параметра Никогда сертификат сервера вообще не проверяется. Это, однако, допускает атаки типа человек-посередине и поэтому должно использоваться только в исключительных случаях. Параметр Необычный файл службы сертификации CA гарантирует, что проверка сертификата выполняется на основе указанного файла сертификата CA.

По умолчанию: Системные настройки по умолчанию

Пользовательский файл сертификата CA: Если вы используете собственный центр сертификации (CA), может потребоваться сохранить его сертификат в формате PEM, чтобы Veyon мог проверять сертификат сервера LDAP.

Корневой DN

Базовый DN определяет адрес корневого объекта в каталоге. Все объекты хранятся ниже базового DN. Обычно базовый DN поступает из домена DNS или AD (см. также RFC 2247).

В большинстве случаев используется фиксированный базовый DN, поэтому необходимо выбрать параметр по умолчанию Фиксированный корневой DN. Затем базовый DN необходимо ввести в соответствующее поле ввода или выбрать на сервере с помощью кнопки Навигация. Вы можете использовать кнопку Тестировать, чтобы проверить, правильны ли настройки и можно ли найти записи.

Если общая конфигурация Veyon должна использоваться в нескольких местоположениях с разными базовыми DNS, Veyon можно настроить так, чтобы базовый DN всегда запрашивался динамически с использованием контекстов именования LDAP. Чтобы это сработало, необходимо выбрать Определить корневой DN по контексту имен и адаптировать атрибут контекста именования. Вы можете использовать кнопку Тестировать, чтобы проверить, можно ли определить базовый DN.

После импорта общей конфигурации Veyon без фиксированного базового DN также можно определить базовый DN через Интерфейс командной строки и записать его в локальную конфигурацию.

Настройки среды

После того, как основные настройки были сделаны и протестированы, теперь можно выполнять настройки, зависящие от конкретной среды. Эти параметры определяют, какие деревья содержат объекты определенных типов, а также имена определенных атрибутов объектов. С помощью этих параметров Veyon может извлекать всю необходимую информацию из каталога LDAP.

Деревья объектов

Деревья объектов — это организационные или структурные единицы, в которых хранятся определенные типы объектов (пользователи, группы, компьютеры). Соответствующие CN (Общие имена) или OU (Организационные единицы) должны быть введены без базовой части DN в соответствующем поле ввода. Рядом с каждым полем ввода расположены кнопки для открытия диалоговых окон просмотра и для тестирования отдельных настроек.

Дерево пользователей: Здесь должно быть введено дерево LDAP (без базового DN), в котором расположены пользовательские объекты, например, OU=Users или CN=Users.

Дерево групп: Здесь необходимо ввести дерево LDAP (без базового DN), в котором расположены объекты группы, например, OU=Groups или CN=Groups.

Дерево компьютеров: Здесь должно быть введено дерево LDAP (без базового DN), в котором расположены компьютерные объекты, например, OU=Computers или CN=Computers.

Дерево групп компьютеров: Если группы компьютеров расположены в дереве, отличном от обычных групп пользователей, или в поддереве, здесь можно указать соответствующее дерево LDAP. В противном случае дерево групп используется для запроса компьютерных групп и фильтрации их с помощью определенного фильтра объектов, если это необходимо.

Выполнить рекурсивные действия по поиску в деревьях объектов

Этот параметр можно использовать для управления тем, следует ли рекурсивно запрашивать объекты. Затем поиск выполняется не только в указанном дереве, но и в любых существующих поддеревьях.

По умолчанию: отключено

Подсказка

Если объекты одного типа хранятся в разных деревьях объектов (например, пользователи как в CN=Teachers, так и в CN=Students), параметр для соответствующего дерева объектов можно оставить пустым и активировать опцию Выполнить рекурсивные действия по поиску в деревьях объектов. Затем выполняется рекурсивный поиск во всем каталоге LDAP, начиная с базового DN. В этом случае, однако, настоятельно рекомендуется установить фильтры объектов для соответствующего типа объекта.

Атрибуты объектов

Чтобы Veyon мог извлекать необходимую информацию из запрашиваемых объектов, необходимо настроить имена некоторых атрибутов объекта, поскольку они существенно различаются в зависимости от среды и сервера LDAP. Рядом с каждым полем ввода доступны кнопки для просмотра атрибута существующего объекта и проверки соответствующего имени атрибута.

Атрибут имени пользователя для входа: Этот атрибут должен содержать имя пользователя для входа в систему. Атрибут используется для определения пользовательского объекта LDAP, связанного с конкретным именем пользователя. В среде OpenLDAP часто используется имя атрибута uid, в то время как имя sAMAccountName распространено в Active Directories.

Атрибут членства в группе: Члены группы перечислены в объектах группы с помощью этого атрибута. Атрибут используется для определения групп, членом которых является конкретный пользователь. В зависимости от конфигурации используемый атрибут также сопоставляет компьютеры с местоположениями. В среде OpenLDAP часто используется имя атрибута member, в то время как имя memberUid распространено в Active Directories.

Атрибут показываемого названия компьютера

Содержимое этого необязательного атрибута используется для определения имени компьютера, отображаемого в Veyon Master. Если оставить поле пустым, вместо него используется общее имя (cn).

По умолчанию: cn

Атрибут имени хоста компьютера: Этот атрибут должен содержать DNS-имя компьютера. Он используется для определения компьютерного объекта LDAP, связанного с конкретным именем хоста компьютера. В среде OpenLDAP часто используется имя атрибута name, в то время как имя dNSHostName распространено в Active Directories.

Имена хостов сохранены как полные доменные имена (FQDN, например, myhost.example.org)

Этот параметр указывает, следует ли использовать полное доменное имя (FQDN) для сопоставления имен компьютеров с компьютерными объектами LDAP. Если имена компьютеров хранятся без доменной части в каталоге LDAP, эту опцию следует оставить отключенной, в противном случае она должна быть включена.

По умолчанию: отключено

Атрибут MAC-адреса компьютера: В дополнение к имени компьютера MAC-адреса компьютеров хранятся в каталоге LDAP в некоторых средах, например, если сервер DHCP также обращается к каталогу LDAP. Если функция Veyon будет использоваться для включения компьютеров через Wake-on-LAN, здесь необходимо ввести соответствующее имя атрибута, поскольку для этого функциональнала требуется MAC-адрес. Типичными именами атрибутов являются hwAddress или dhcpAddress.

Подсказка

В стандартном Active Directory нет атрибута, который хранит MAC-адреса. Поэтому вы должны вручную заполнить MAC-адреса в существующем неиспользуемом атрибуте, таком как wwwHomepage, или расширить схему AD. Кроме того, вы можете предоставить компьютерам групповой доступ на запись в SELF и использовать сценарий PowerShell, чтобы заставить каждый компьютер автоматически сохранять MAC-адрес своего первого физического адаптера локальной сети при загрузке.

Атрибут местоположения компьютера: Если схема LDAP для компьютерных объектов предоставляет специальный атрибут для сопоставления с местоположением, имя этого атрибута можно ввести здесь. Кнопка Тестировать может использоваться для проверки правильности запроса компьютеров в местоположении с использованием настроенного атрибута. В дополнительных настройках вы можете затем указать в разделе Места компьютеров, что используется атрибут местоположения компьютера.

Атрибут название местоположения: При идентификации местоположений компьютеров с помощью компьютерных групп или компьютерных контейнеров значение определенного атрибута может отображаться как название местоположения вместо Common Names этих групп или объектов. Если, например, группы компьютеров имеют атрибут с именем name или description, в этом атрибуте может быть сохранено значимое название местоположения, и имя атрибута может быть введено здесь.

Расширенные настройки

С помощью расширенных настроек интеграция LDAP и использование информации из каталога LDAP могут быть настроены в соответствии с индивидуальными потребностями.

Опциональные фильтры объектов

С помощью фильтров LDAP объекты LDAP, используемые Veyon, могут быть сужены, если, например, компьютерные объекты, такие как принтеры, не должны отображаться в Veyon Master. Рядом с каждым полем ввода есть кнопка для проверки соответствующего фильтра объектов.

Начиная с версии Veyon 4.1 дополнительные фильтры следуют хорошо известной схеме для фильтров LDAP (см. например, RFC 2254 или Active Directory: Синтаксис фильтров LDAP ), такие как (objectClass=XYZ).

Фильтр для пользователей: Вы можете определить фильтр LDAP для пользователей здесь, например (objectClass=person) или (&(objectClass=person)(objectClass=veyonUser)).
Фильтр для групп пользователей: Вы можете определить фильтр LDAP для групп пользователей здесь, например (objectClass=group) или (|(cn=teachers)(cn=students)(cn=admins)).
Фильтр для компьютеров: Вы можете определить фильтр LDAP для компьютеров здесь, например (objectClass=computer) или (&(!(cn=printer*))(!(cn=scanner*))).

Фильтр для групп компьютеров: Вы можете определить фильтр LDAP для компьютерных групп здесь, например (objectClass=room) или (cn=Room*). Если в качестве местоположений используются группы компьютеров, вы можете отфильтровать отображаемые местоположения таким образом.

Фильтр для контейнеров компьютеров: Вы можете определить фильтр LDAP для компьютерных контейнеров здесь, например (objectClass=container) или (objectClass=organizationalUnit). Если в качестве местоположений используются контейнеры/подразделения, вы можете отфильтровать отображаемые местоположения таким образом.

Параметры запроса

Опросить вложенные группы пользователей (поддерживается только AD)

Если у вас есть вложенные группы пользователей (в настоящее время поддерживаются только Active Directory), вы можете включить эту опцию, чтобы заставить Veyon запрашивать все (даже косвенные) группы пользователя. Если эта функция включена, вы можете, например, создать группу Veyon Users с существующими группами пользователей Teachers и IT Staff в качестве участников. Группа Veyon Users затем может быть использована для целей Контроль доступа.

По умолчанию: отключено

Сопоставить структуру контейнера/подразделения 1:1 с местоположениями

При использовании параметра Места компьютеров — «Контейнеры компьютеров или OU» — все контейнеры и организационные единицы (OU) по умолчанию отображаются в виде плоского списка. Чтобы вместо этого отображалась исходная иерархическая структура контейнеров и OU, достаточно включить эту опцию.

По умолчанию: отключено

Идентификация участников группы

Содержимое атрибутов членства в группе варьируется в разных реализациях LDAP. В то время как в Active Directory различимое имя (DN) объекта хранится в атрибуте участника, OpenLDAP обычно хранит имя пользователя для входа (uid или аналогичное) или имя компьютера. Чтобы Veyon использовал правильное значение для запроса групп пользователя или компьютера, здесь необходимо выбрать соответствующую настройку.

Уникальное имя (Samba/AD): Этот параметр должен быть выбран, если различимое имя (DN) объекта хранится в атрибуте члена группы. Обычно Samba и AD server используют эту схему.
Настроенный атрибут для имени пользователя для входа или имени хоста компьютера (OpenLDAP): Этот параметр необходимо выбрать, если имя входа пользователя (username) или имя хоста компьютера хранятся в атрибутах участника группы. Обычно сервер OpenLDAP использует эту схему.

Места компьютеров

Veyon предлагает несколько методов для представления местоположений компьютеров в каталоге LDAP. В простом случае существует одна компьютерная группа для каждого местоположения (например, комнаты). Все компьютеры в определенном местоположении являются членами соответствующей группы. Если вместо этого компьютеры организованы в контейнеры или организационные единицы (OU), эти родительские объекты можно использовать в качестве местоположений. Обе процедуры не требуют какой-либо адаптации схемы LDAP. В качестве третьей возможности имя местоположения также может быть сохранено в качестве специального атрибута в каждом компьютерном объекте.

Группы компьютеров

Этот параметр указывает, что местоположения компьютеров определяются с помощью компьютерных групп. Затем все компьютерные группы отображаются в виде местоположений в Veyon Master. Для каждого местоположения отображаются все компьютеры, входящие в соответствующую группу. Если не все группы LDAP должны отображаться как местоположения, необходимо настроить либо выделенное дерево компьютерных групп, либо группы компьютеров должны быть ограничены с помощью фильтр компьютерных групп.

По умолчанию: включено

Контейнеры компьютеров или OU

Этот параметр указывает, что контейнеры/подразделения, содержащие компьютерные объекты, используются в качестве расположения компьютеров. Контейнеры - это объекты, которые являются родительскими для компьютерных объектов в дереве LDAP. Если не все контейнеры должны отображаться как местоположения, можно настроить соответствующий фильтр контейнера компьютера.

По умолчанию: отключено

Атрибут места в объектах компьютеров

Если схема LDAP для компьютерных объектов предоставляет специальный атрибут для сопоставления компьютерных объектов с местоположениями, эта опция может быть включена и имя атрибута может быть введено. Кнопка Тестировать может использоваться для проверки правильности запроса элементов расположения компьютера с использованием настроенного атрибута.

По умолчанию: отключено

Тестирования интеграции

Интеграционные тесты могут быть использованы для проверки интеграции LDAP в целом. Кнопки позволяют выполнять различные тесты. Все тесты должны быть успешными и предоставлять достоверные результаты до того, как соединение LDAP будет использовано в рабочей среде.

Использование бэкенда LDAP

После успешной настройки и проверки интеграции LDAP можно активировать LDAP-бэкенды. Для этого необходимо изменить бэкенд каталога сетевых объектов и бэкенд групп пользователей для управление доступом к компьютерам. Только после переключения каталога сетевых объектов на режим LDAP информация о расположениях и компьютерах из LDAP-каталога начнёт использоваться в Veyon Master.

Внимание

После изменения бэкенда для управления доступом к компьютерам все ранее настроенные правила доступа необходимо в обязательном порядке проверить, поскольку информация о группах и расположениях изменяется, и в большинстве случаев существующие правила доступа перестанут быть корректными или будут обрабатываться неправильно.

Интерфейс командной строки

Интерфейс командной строки Veyon позволяет выполнять некоторые операции, специфичные для LDAP. Все операции доступны с помощью модуля ldap. Список всех поддерживаемых команд отображается через veyon-cli ldap help, в то время как тексты справки по конкретным командам могут отображаться через veyon-cli ldap help <command>.

autoconfigurebasedn

Эта команда может быть использована для автоматического определения используемого базового DN и постоянной записи его в конфигурацию. В качестве параметров необходимо указать URL-адрес сервера LDAP и, необязательно, атрибут контекста именования:

veyon-cli ldap autoconfigurebasedn ldap://192.168.1.2/ namingContexts
veyon-cli ldap autoconfigurebasedn ldap://Administrator:MYPASSWORD@192.168.1.2:389/

Подсказка

Специальные символы, такие как @ или : – особенно в пароле - могут быть указаны с помощью URL-процентной кодировки.

query

Эта команда позволяет запрашивать объекты LDAP (locations, computers, groups, users) и в основном используется для тестирования. Эта функция также может быть использована для разработки сценариев для задач системной интеграции.

veyon-cli ldap query users
veyon-cli ldap query computers