Інтеграція з LDAP/AD¶

У цій главі описано налаштовування Veyon на інтеграцію із сумісними з LDAP серверами. У подальшому викладі ми використовуватимемо загальний термін LDAP щодо усіх сумісних із LDAP продуктів і технологій, зокрема OpenLDAP, Samba та Active Directory. За допомогою інтеграції із LDAP ви зможете скористатися інформацією щодо користувачів, груп користувачів, комп’ютерів і місць, яку вже визначено у більшості середовищ, і не витрачати час на відтворення цієї інформації у налаштуваннях Veyon. Якщо інтеграцію буде налаштовано, Veyon Master зможе отримувати дані щодо місць і комп’ютерів, пункти яких слід показувати, безпосередньо зі служби каталогів. Крім того, дані щодо користувачів та груп користувачів LDAP може бути використано як основу для Керування доступом до комп’ютерів.

Налаштовування інтеграції із LDAP слід виконувати за допомогою сторінки налаштовування LDAP засобу налаштовування Veyon. Сторінку налаштувань поділено на вкладки для Основні параметри, Налаштування середовища, Додаткові параметри та Перевірки інтеграції.

Основні параметри¶

Основні параметри стосуються усіх базових параметрів доступу до сервера LDAP. Вони є обов’язковими для належної роботи засобів інтеграції із LDAP.

Загальні¶

Сервер і порт LDAP: Тут слід вказати адресу сервера LDAP (назву вузла або IP-адресу). Якщо буде використано порт, який є відмінним від типового порту LDAP, 389, слід змінити вміст поля параметра порту відповідними чином.

Анонімна прив’язка / Реєстраційні дані прив’язки: Залежно від середовища та налаштувань сервера LDAP, запити до LDAP можуть виконуватися або від імені анонімного користувача, або лише від імені чинних користувачів, розпізнавання яких виконується за іменем користувача та паролем. Якщо для доступу до сервера слід вказувати ім’я користувача і пароль, слід позначити пункт Реєстраційні дані прив’язки і ввести реєстраційні дані до полів для введення, які розташовано нижче. Якщо ж для доступу не потрібні реєстраційні дані, слід лишити позначеним типовий варіант — Анонімна прив’язка.

DN для прив’язки: DN (визначальна назва) прив’язки є іменем користувача, яке буде використано для входу до сервера з метою виконання дій із LDAP. Втім, формат її запису дуже залежить від сервера LDAP та його налаштувань. Можливі такі формати: Користувач, ДОМЕН\Користувач та cn=Користувач,…,dc=example,dc=org.

Пароль прив’язки: Окрім DN прив’язки, слід ввести відповідний пароль.

Ви можете скористатися кнопкою Перевірити, щоб перевірити, чи працює доступ до сервера із визначеним параметрами.

Підказка

Veyon потрібен доступ до каталогу LDAP лише для читання даних. Як додатковий захід захисту на сервері LDAP, можна створити спеціальний запис користувача із доступом лише до читання каталогу LDAP, наприклад «Veyon-LDAP-RO». Крім того, можна обмежити доступ для цього користувача лише відповідними атрибутами.

Захист з’єднання¶

Veyon може встановлювати шифровані з’єднання з сервером LDAP. Для налаштовування цієї можливості передбачено розділ Захист з’єднання.

Протокол шифрування

Ви можете вибрати між протоколами шифрування Немає, TLS і SSL. Рекомендуємо скористатися сучасним протоколом TLS.

Типове значення: Немає

Перевірка сертифіката TLS

За допомогою цього параметра можна визначити, у який спосіб слід перевіряти сертифікат захисту сервера LDAP при встановлення шифрованого з’єднання. Якщо вибрано типовий варіант, Типове для системи, залежно від операційної системи, буде зроблено спробу перевірити сертифікат за допомогою кореневих сертифікатів, які встановлено на рівні системи. При цьому сховище сертифікатів Windows до уваги не береться, отже, може виникнути потреба у збереженні окремого файла сертифіката служби сертифікації (CA). Якщо вибрати варіант Ніколи, сертифікат сервера взагалі не перевірятиметься. Втім, це може зробити систему вразливою до атак типу перехоплення даних (man-in-the-middle), тому цим варіантом слід користуватися лише у виключних випадках. Варіантом Визначений користувачем файл сертифіката CA можна скористатися, якщо перевірку сертифіката слід виконувати за допомогою вказаного файла сертифіката CA.

Типове значення: загальносистемні типові параметри

Нетиповий файл служби сертифікації (CA): Якщо ви використовуєте власну службу сертифікації (CA), можливо, варто зберігати сертифікат у форматі файла PEM, щоб Veyon міг перевірити цей сертифікат сервера LDAP.

Кореневий DN¶

Кореневий DN визначає адресу кореневого об’єкта у каталозі. Усі інші об’єкти зберігаються під кореневим DN. Зазвичай, кореневий DN надається доменом DNS або AD (див. також RFC 2247).

У більшості випадків використовується фіксований кореневий DN, отже, слід вибрати Фіксований кореневий DN. Далі, слід вказати кореневий DN у відповідному полі для введення або вибрати його на сервері за допомогою кнопки Навігація. Ви можете скористатися кнопкою Перевірити, щоб перевірити, чи правильно визначено параметри і чи можна знайти записи з використанням цих параметрів.

Якщо типові налаштування Veyon буде використано у декількох місцях із різними кореневими DN, Veyon можна налаштувати так, щоб коренева DN завжди отримувалася динамічно з використанням контекстів іменування LDAP. Щоб це спрацювало, слід вибрати Визначити кореневий DN за контекстом назв і скоригувати атрибут контексту іменування. Ви можете скористатися кнопкою Перевірити, щоб перевірити, чи може бути визначено кореневий DN у такий спосіб.

Після імпортування базових налаштувань Veyon без фіксованого базового DN також можна визначити базовий DN за допомогою Інтерфейс командного рядка і записати його до локальних налаштувань.

Налаштування середовища¶

Після налаштовування і перевірки базових параметрів, можна визначити специфічні до середовища параметри. Ці параметри визначають, які ієрархії містять об’єкти певних типів, а також назви атрибутів певних об’єктів. За допомогою цих параметрів Veyon може отримувати усі потрібні програмі відомості з каталогу LDAP.

Ієрархії об’єктів¶

Ієрархії об’єктів є організаційними та структурними одиницями, у яких зберігаються об’єкти певних типів (користувачі, групи, комп’ютери). Відповідні CN (загальні назви) або OU (організаційні одиниці) слід вводити у відповідні поля для введення без частини, яка відповідає кореневому DN. Поряд із кожним полем для введення розташовано кнопки для відкриття діалогових вікон навігації та перевірки окремих параметрів.

Ієрархія користувачів: Тут слід ввести ієрархію LDAP (без базового DN), у якій розташовано об’єкти користувачів, наприклад OU=Users або CN=Users.

Ієрархія груп: Тут слід ввести ієрархію LDAP (без базового DN), у якій розташовано об’єкти груп, наприклад OU=Groups або CN=Groups.

Ієрархія комп’ютерів: Тут слід ввести ієрархію LDAP (без базового DN), у якій розташовано об’єкти комп’ютерів, наприклад OU=Computers або CN=Computers.

Ієрархія груп комп’ютерів: Якщо групи комп’ютерів розташовано у іншій ієрархії, ніж групи звичайних користувачів, або у підлеглій ієрархії, у цьому полі можна вказати відповідну ієрархію LDAP. Якщо нічого вказано не буде, для запитів щодо груп комп’ютерів та фільтрування результатів за певним фільтром об’єктів, якщо потрібно, буде використано ієрархію (або дерево) груп.

Виконати рекурсивні дії з пошуку у ієрархіях об’єктів

Цим пунктом можна скористатися для керування тим, чи слід виконувати опитування об’єктів рекурсивно. Якщо пункт позначено, пошук відбуватиметься не лише у вказаній ієрархії, але в усіх її підлеглих ієрархіях.

Типове значення: вимкнено

Підказка

Якщо об’єкти одного типу зберігаються у різних ієрархіях об’єктів (наприклад, записи користувачів зберігаються у CN=Teachers і у CN=Students), параметр для відповідної ієрархії об’єктів можна не заповнювати, і можна позначити пункт Виконати рекурсивні дії з пошуку у ієрархіях об’єктів. Далі буде виконано рекурсивний пошук у всьому каталозі LDAP, починаючи з кореневого DN. Втім, у цьому випадку наполегливо рекомендуємо встановити фільтри об’єктів для відповідного типу об’єктів.

Атрибути об’єкта¶

Щоб програми Veyon могли отримати потрібні їм дані з опитаних об’єктів, слід налаштувати назви деяких з атрибутів об’єктів, оскільки вони значно відрізняються у різних середовищах та для різних серверів LDAP. Поряд з кожним полем для введення розташовано кнопки для навігації атрибутами наявного об’єкта та перевірки відповідних назв атрибутів.

Атрибут імені користувача: Цей атрибут має містити назву облікового запису користувача. Атрибут використовується для визначення об’єкта користувача LDAP, який пов’язано із певним іменем користувача. У середовищі OpenLDAP часто використовується атрибут із назвою uid, а у Active Directory стандартним є атрибут sAMAccountName.

Атрибут членства у групі: За допомогою цього атрибута програма будує список учасників груп у об’єктах груп. Атрибути використовується для визначення груп, учасником яких є певний користувач. Залежно від налаштувань, атрибут також використовується для прив’язки комп’ютерів до місць. У середовищі OpenLDAP часто використовується назва атрибута member, а у середовищі Active Directorys — memberUid.

Атрибут показаної назви комп’ютера

Вміст цього необов’язкового атрибута використовується для визначення назви комп’ютера, яку буде показано у Veyon Master. Якщо для атрибута не визначено значення, буде використано загальну назву (cn).

Типове значення: cn

Атрибут назви вузла комп’ютера: Цей атрибут має містити назву DNS комп’ютера. Його використовують для визначення об’єкта комп’ютера LDAP, який пов’язано із певною назвою вузла комп’ютера. У середовищі OpenLDAP часто використовується назва атрибута name, а у середовищах Active Directory — dNSHostName.

Назви вузлів збережено як повні доменні назви (FQDN, наприклад myhost.example.org)

За допомогою цього пункту можна вказати, чи слід використовувати повну назву у домені (FQDN) для прив’язки назв комп’ютерів до об’єктів комп’ютерів LDAP. Якщо назви комп’ютерів зберігаються без частини, яку пов’язано із доменом, у каталозі LDAP, цей пункт слід лишити вимкненим. Якщо ж це не так, слід увімкнути цей пункт.

Типове значення: вимкнено

Атрибут MAC-адреси комп’ютера: Окрім назви комп’ютера, у деяких середовищах у каталозі LDAP зберігаються MAC-адреси комп’ютерів. Таке, наприклад, трапляється, якщо до каталогу LDAP також має доступ сервер DHCP. Якщо ви маєте намір користуватися можливістю Veyon із вмикання комп’ютерів за допомогою локальної мережі, у цьому пункті слід вказати назву відповідного атрибута, оскільки для реалізації цієї функціональної можливості потрібна MAC-адреса. Типовими назвами атрибутів є hwAddress і dhcpAddress.

Підказка

У стандартній Active Directory немає атрибутів, у яких зберігаються MAC-адреси. Тому вам слід вказати MAC-адреси вручну у наявному невикористаному атрибуті, наприклад wwwHomepage, або розширити схему AD. Крім того, ви можете надати групі комп’ютерів доступ до запису до SELF і скористатися скриптом PowerShell, щоб наказати кожному комп’ютеру автоматично зберігати MAC-адресу його першого фізичного адаптера LAN під час завантаження.

Атрибут місця комп’ютера: Якщо у схемі LDAP для об’єктів комп’ютерів передбачено спеціальний атрибут для прив’язування комп’ютера до місця, за допомогою цього пункту можна вказати назву цього атрибута. За допомогою кнопки Перевірити можна перевірити, чи можна належним чином опитати комп’ютери з використанням налаштованого атрибута. Потім у розширених параметрах ви можете вказати у розділі Місця комп’ютерів, що використано атрибут місця комп’ютера.

Атрибут назви місця: При ідентифікації місць комп’ютерів за групами комп’ютерів або контейнерами комп’ютерів значення певного атрибута може бути показано як назву місця замість Загальних назв (CN) цих груп або об’єктів. Якщо, наприклад, у груп комп’ютерів є атрибут із назвою name або description, у цьому атрибуті може бути збережено значущу назву місця, а за допомогою цього пункту можна ввести відповідну назву атрибута.

Додаткові параметри¶

За допомогою додаткових параметрів можна налаштувати до власних потреб інтеграцію із LDAP та використання даних з каталогу LDAP.

Додаткові фільтри об’єктів¶

За допомогою фільтрів LDAP можна звузити список об’єктів LDAP, які використовуються Veyon, якщо у Veyon Master, наприклад, не слід показувати певні комп’ютерні об’єкти, зокрема принтери. Поряд з кожним полем для введення передбачено кнопку для перевірки відповідного фільтра об’єктів.

Починаючи з версії Veyon 4.1, додаткові фільтри визначаються добре відомою схемою фільтрів LDAP (див., наприклад, RFC 2254 або підручник з синтаксису фільтрів LDAP для Active Directory), наприклад (objectClass=XYZ).

Фільтрування за користувачами: Тут ви можете визначити фільтр LDAP для користувачів, наприклад (objectClass=person) або (&(objectClass=person)(objectClass=veyonUser)).
Фільтрування за групами користувачів: Тут ви можете визначити фільтр LDAP для груп користувачів, наприклад (objectClass=group) або (|(cn=teachers)(cn=students)(cn=admins)).
Фільтр для комп’ютерів: Тут ви можете визначити фільтр LDAP для комп’ютерів, наприклад (objectClass=computer) або (&(!(cn=printer*))(!(cn=scanner*))).

Фільтрування за групами комп’ютерів: Тут ви можете визначити фільтр LDAP для груп комп’ютерів, наприклад (objectClass=room) або (cn=Room*). Якщо групи комп’ютерів використовуються як місця, у цей спосіб ви можете фільтрувати показані місця.

Фільтр для контейнерів комп’ютерів: Тут ви можете визначити фільтр LDAP для контейнерів комп’ютерів, наприклад (objectClass=container)` або (objectClass=organizationalUnit). Якщо контейнери або OU використовуються як місця, у цей спосіб ви можете фільтрувати показані місця.

Параметри запиту¶

Опитати вкладені групи користувачів (лише для AD): Якщо групи користувачів у вас є вкладеними (у поточній версії передбачено підтримку лише Active Directory), ви можете увімкнути цю можливість, щоб наказати Veyon опитувати усі (навіть опосередковані) групи у пошуку користувача. Якщо можливість увімкнено, ви можете, наприклад, створити групу Користувачі Veyon із наявними групами користувачів Викладачі та Техніки. Далі, групою Користувачі Veyon можна буде скористатися для Керування доступом.

Ідентифікація учасників групи¶

Вміст атрибутів участі у групах є різним для різних реалізацій LDAP. В Active Directory унікальні назви (DN) об’єктів зберігаються у атрибуті member, а в OpenLDAP, зазвичай, цей атрибут зберігає ім’я користувача для входу (uid або подібне) або назву комп’ютера. Щоб у програмах Veyon було використано належне значення для опитування груп користувача або комп’ютера, слід вибрати відповідну назву параметра у цьому пункті.

Унікальна назва (Samba/AD): Цей пункт слід вибрати, якщо унікальна назва (DN) об’єкта зберігається у атрибуті членства групи. Зазвичай, така схема використовується у серверах Samba та AD.
Налаштований атрибут для імені користувача або назви вузла комп’ютера (OpenLDAP): Цей пункт слід вибрати, якщо ім’я користувача для входу до системи або назва вузла комп’ютера зберігаються у атрибутах участі групи. Зазвичай, така схема використовується на серверах OpenLDAP.

Місця комп’ютерів¶

У Veyon передбачено декілька способів представлення місць комп’ютерів у каталозі LDAP. У простому випадку існує одна група комп’ютерів для кожного місця (наприклад класу). Усі комп’ютери у певному місці є учасниками відповідної групи. Якщо замість цього комп’ютери упорядковано за контейнерами або організаційними одиницями (OU), цими батьківськими об’єктами можна скористатися як місцями. Обидві процедури не потребують адаптації до схеми LDAP. Третій варіант полягає у тому, що назва місця може також зберігатися як спеціальний атрибут в об’єкті кожного комп’ютера.

Групи комп’ютерів

За допомогою цього пункту можна вказати, що місця комп’ютерів визначаються за групами комп’ютерів. Далі, усі групи комп’ютерів буде показано у Veyon Master як місця. Для кожного місця буде показано усі комп’ютери, які є учасниками відповідної групи. Якщо не усі групи LDAP має бути показано як місця, має бути налаштовано або окрему ієрархію груп комп’ютерів, або групи комп’ютерів має бути обмежено використанням фільтра груп комп’ютерів.

Типове значення: увімкнено

Контейнери комп’ютерів або OU

За допомогою цього пункту можна визначити, що як місця комп’ютерів слід використовувати контейнери або організаційні одиниці (OU), які містять об’єкти комп’ютерів. Контейнери є об’єктами, які є батьківськими для об’єктів комп’ютерів у ієрархії LDAP. Якщо не усі контейнери слід показувати як місця, можна налаштувати відповідний фільтр контейнерів комп’ютерів.

Типове значення: вимкнено

Атрибут місця у об’єктах комп’ютерів

Якщо у схемі LDAP для об’єктів комп’ютерів передбачено спеціальний атрибут для прив’язки об’єктів комп’ютерів до місць, можна позначити цей пункт і вказати назву атрибута. За допомогою кнопки Перевірити можна перевірити, чи можна належним чином опитати записи комп’ютерів-учасників місця з використанням налаштованого атрибута.

Типове значення: вимкнено

Перевірки інтеграції¶

Для перевірки інтеграції LDAP на загальному рівні можна скористатися тестами інтеграції. За допомогою кнопок можна виконати різноманітні перевірки. Перш ніж з’єднання із LDAP можна буде використовувати у робочому режимі, усі перевірки має бути пройдено із наданням коректних результатів.

Користування модулями LDAP¶

Після успішного налаштовування і тестування інтеграції з LDAP можна активувати модулі LDAP. Для цього слід адаптувати каталог об’єктів мережі і модуль груп користувачів для керування доступом до комп’ютерів. Дані щодо місць і комп’ютерів з каталогу LDAP буде використано у Veyon Master лише після перемикання каталогу об’єктів мережі на LDAP.

Увага

Після зміни модуля для керування доступом до комп’ютерів слід обов’язково перевірити усі раніше налаштовані правила доступу до комп’ютерів, оскільки змінюються дані щодо груп і місць і у більшості випадків правила доступу втратять чинність і програма не зможе обробити їх належним чином.

Інтерфейс командного рядка¶

Інтерфейс командного рядка Veyon уможливлює деякі специфічні для LDAP дії. Доступ до усіх дій можна отримати за допомогою модуля ldap. Зі списком усіх підтримуваних команд можна ознайомитися за допомогою команди veyon-cli ldap help. Специфічну для окремих команд довідку можна отримати за допомогою команди veyon-cli ldap help <команда>.

autoconfigurebasedn

Цією командою можна скористатися для автоматичного визначення використаної кореневої DN та остаточного запису її до налаштувань. Як параметри слід вказати адресу сервера LDAP та, необов’язково, атрибут контексту іменування:

veyon-cli ldap autoconfigurebasedn ldap://192.168.1.2/ namingContexts
veyon-cli ldap autoconfigurebasedn ldap://Administrator:MYPASSWORD@192.168.1.2:389/

Підказка

Спеціальні символи, зокрема @ і : — особливо у паролі — можна задати за допомогою відсоткового кодування адрес.

query

За допомогою цієї команди можна опитати об’єкти LDAP (locations, computers, groups, users). Команда, в основному, використовується для тестування. Цією функціональною можливістю також можна скористатися для розробки скриптів для завдань системної інтеграції.

veyon-cli ldap query users
veyon-cli ldap query computers