Интеграция с LDAP

С помощью интеграции вы можете синхронизировать пользователей между LDAP и BILLmanager, чтобы при авторизации пользователя в BILLmanager введённые данные проходили проверку на стороне LDAP.

В BILLmanager импортируются новые клиенты и проверяется состояние существующих. Если пользователь блокируется в LDAP, после синхронизации он будет заблокирован и в BILLmanager.

Пользователи LDAP могут быть импортированы как сотрудники с полными правами, либо как клиенты.

Установка модуля

Чтобы установить модуль, перейдите в раздел Интеграция → Модули → LDAP → кнопка Установить.

Настройки подключения

Чтобы настроить синхронизацию с LDAP, перейдите в раздел Интеграция → Синхронизация с LDAP:

1. Провайдер — выберите провайдера;
2. Название подключения — укажите название подключения;
3. Тип подключения — выберите реализацию LDAP
   • FreeIPA;
   • ActiveDirectory.
4. Адрес сервера — укажите путь до сервера LDAP;
5. Порт сервера — укажите порт для подключения к серверу LDAP;
6. Игнорировать SSL — активируйте опцию, чтобы не проверять наличие и валидность SSL-сертификата;
7. Путь до сертификата — укажите путь до файла публичного сертификата центра сертификации (CA certificate) на сервере. Обычно указывается для cамозаверенных сертификатов или сертификатов, которые не установлены на сервере;
8. Base DN (Distinguished Name (имя основного домена)) — укажите объект каталога, начиная с которого производится поиск;
9. Bind DN (Distinguished Name) — укажите пользователя в LDAP, от имени которого будут происходить запросы в LDAP;
10. Пароль — введите пароль пользователя для подключения к серверу LDAP.

Настройка синхронизации

Синхронизация сотрудников

Укажите настройки, чтобы импортировать пользователей LDAP как сотрудников:

• Путь к пользователям — укажите путь к пользователям, которых необходимо импортировать как сотрудников. Для записи используйте синтаксис строк подключения ADSI;
• Фильтр для импорта пользователей — используется в запросах к LDAP-серверу при запросе списка пользователей. 
  Чтобы добавить фильтр по группе пользователей, используйте конструкцию (memberOf=). Например, если путь к пользователям — cn=admins,cn=groups,cn=accounts,dc=example,dc=com, укажите фильтр (memberOf=cn=admins,cn=groups,cn=accounts,dc=example,dc=com).

Синхронизация клиентов

Группы LDAP, полученные по указанным настройкам, будут импортированы как "Клиенты". Пользователи LDAP, которые состоят в этих группах, будут импортированы как пользователи "Клиента".

• Путь к группам — укажите путь к группам, которые необходимо импортировать как клиентов. Для записи используйте синтаксис строк подключения ADSI;
• Фильтр для импорта групп — используется в запросах к LDAP-серверу при запросе списка групп;
• Атрибут наименования клиента — укажите имя атрибута на вашем LDAP-сервере, в котором хранится название группы. Например, CN;
• Фильтр для импорта пользователей — используется в запросах к LDAP-серверу при запросе пользователей группы, которая импортируется как клиент.

Настройки атрибутов пользователя

Укажите соответствия атрибутов пользователей LDAP и параметров пользователей BILLmanager:

• Атрибут E-mail — имя атрибута на LDAP-сервере, в котором хранится email пользователя. Например, mail;
• Атрибут ФИО — имя атрибута на LDAP-сервере, в котором хранится полное имя пользователя. Например, CN;
• Атрибут принадлежности к группе — имя атрибута на LDAP-сервере, который отвечает за принадлежность пользователя к группе. Например, memberOf;
• Атрибут блокировки — имя атрибута на LDAP-сервере, который отвечает за блокировку пользователя.

Удаление

Чтобы удалить синхронизацию с LDAP, перейдите в раздел Интеграция → Синхронизация с LDAP → выберите в списке подключение → кнопка Удалить.

Удаление интеграции с LDAP не затрагивает синхронизированных пользователей.

Синхронизация

Синхронизация запускается раз в день с помощью задания cron:

0 0 * * *  /usr/local/mgr5/sbin/mgrctl -m billmgr crontask action=ldap.sync sok=ok sok=ok >/dev/null 2>&1

Чтобы запустить синхронизацию вручную, нажмите в списке подключений кнопку Синхронизация.