Использование LDAP в качестве технологии единого входа (Active Directory)

В дополнение к стандартным методам аутентификации вы можете использовать метод аутентификации пользователей через LDAP сервер в UseResponse (Microsoft Active Directory Server, OpenLDAP и пр.).


LDAP доступен только в Enterprise пакете


Основные настройки LDAP

В разделе Администрирование » Логин Плюс » Единый вход выберите метод LDAP.

Если вы планируете использовать систему только внутри вашей компании, выберите опцию "Использовать только единый вход". В результате будет использоваться LDAP форма авторизации без необходимости регистрации в сообществе.

Когда новый пользователь будет регистрироваться через LDAP сервер, в UseResponse будет создаваться учетная запись пользователя. Чтобы не отправлять пользователю регистрационные данные, включите соответствующию опцию "Не отправлять письмо регистрации".

Другие базовые настройки по подключению к вашему LDAP серверу:

  • LDAP (Хост, Порт, Версия протокола) - укажите имя хоста или IP вашего LDAP сервера. Настройки по умолчанию - localhost, порт 389, версия протокола 3. Когда сервер обеспечивает безопасное соединение, добавьте к имени хоста ldaps://;
  • BaseDN (Base Distinguished Name) - базовое отличительное имя для Active Directory со значением по умолчанию dc=localhost;
  • Администратор и пароль LDAP - если ваш LDAP сервер требует авторизации для получения данных, для соединения введите учетные данные администратора.

Вы всегда можете проверить соединение с вашим LDAP сервером с сохраненными настройками. Нажмите кнопку "Протестировать" и введите Имя пользователя и пароль любого пользователя на вашем LDAP сервере.

Скрипт php

Чтобы использовать метод авторизации LDAP, вам нужно установить на свой сервер PHP расширение - "php_ldap".

Расширенные настройки LDAP

Если у вас определенная конфигурация вашего LDAP сервера, перейдите к Расширенным настройкам, где вы можете управлять следующим:

  • Привязка имени пользователя - поле/контейнер (cn, uid), чтобы связать пользователей LDAP-Useresponse между собой. Если вы используете авторизацию по любому полю в структуре LDAP, тогда потребуется указать администратора и пароль LDAP.
  • Имя пользователя в DN-нотации - некоторые конфигурации могут требовать имя пользователя в DN-нотации;
  • Соответствие имени пользователя - поле/контейнер (cn, displayname, givenname). По умолчанию используйте "auto";
  • Соответствие email - поле/контейнер (mail, email, userprincipalname). По умолчанию используйте "auto";
  • Доменная зона для email - если email не определен, то он будет сформирован по принципу username@domainzone;
  • Дополнительный фильтр поиска - вы можете указать конкретный фильтр, чтобы только определенные пользователи вашего LDAP сервера могли входить в систему UseResponse. Значение по умолчанию (objectClass=*).

Любой пользователь, который регистрируется в UseResponse через LDAP сервер, получает роль "Пользователь". Если вы хотите настроить дополнительные правила назначения роли для определенных пользователей, используйте настройку "Разрешить назначение роли".

Устранение неполадок

Во время тестирования соединения или обработки пользовательских данных при входе в систему, вы можете столкнуться с ошибками соединения, привязки имени пользователя и пр.

Можете использовать любой инструмент для тестирования LDAP, прежде чем сохранить любые из настроек в UseResponse. По коду ошибки можно определить, где возникает проблема. Распространенные причины ошибок LDAP имеются в публичном доступе.

Была ли статья полезной?