Перейти к содержанию

Настройка интеграции со службой Active Directory

В платформе предусмотрена возможность использования доменных учетных записей по средствам интеграции с Active Directory.

Для настройки интеграции необходимо:

  • указать адрес LDAP сервера,
  • указать аккаунт и пароль для поиска по LDAP в настройках KeyCloak.

Если на контроллере(ах) домена LDAP ранее не настраивался, то необходимо установить Microsoft Identity Management for UNIX Role Service (см. Рисунок 1).


Рисунок 1. Выбор служб ролей в Microsoft Identity Management for UNIX Role Service

Настройка LDAP

После установки службы перейдите в KeyCloak и начните настройку LDAP, выполнив следующие действия:

  1. Откройте консоль администрирования KeyCloak (<адрес Платформы>:8180) и перейдите в пункт меню "User Federation" (см. Рисунок 2).
  2. Откройте список "Add Provider" (см. Рисунок 2).

    Рисунок 2. Консоль администрирования KeyCloak, раздел меню "User Federation", список "Add Provider"

  3. В открывшемся списке "Add Provider" выберите раздел "LDAP" и заполните на вкладке "Settings" предоставленные программой поля (см. Рисунок 3).
    Следующие поля обязательны для заполнения:

  4. Edit Mode - значение READ_ONLY (устанавливается по умолчанию);

  5. Vendor - указать Active Directory;
  6. Username LDAP attribute - указать sAMAccountName;
  7. RDN LDAP attribute - значение cn (установлено по умолчанию);
  8. UUID LDAP attribute - значение objectGUID (установлено по умолчанию);
  9. User Object Classes - значения person, organizationPerson, user (установлены по умолчанию);
  10. Connection URL - указать IP-адрес сервера Active Directory, например - ldap://srv-dc2.youdomain.local ;
  11. Users DN - в соответствии с примером DC=youdomain,DC=local;
  12. Authentication Type - выбрать Simple;
  13. Bind DN - указать системный аккаунт в Active Director для чтения данных из LDAP (например, ldap-ro-user@youdoman.local) ;
  14. Bind Credential - пароль системного аккаунта;
  15. Search Scope - выберите Subtree.


Рисунок 3. Заполнение данных по LDAP

  1. При необходимости можно протестировать введенные параметры LDAP, нажав последовательно кнопки "Test connection" и "Test authentication" (см. Рисунок 3).
  2. Для сохранения введённых настроек LDAP нажмите кнопку Save, расположенную в самом низу экрана.
  3. Перейдите к процедуре настройки маппинга, который необходим для подмены атрибутов LDAP. Для этого перейдите на вкладку "Mappers" и выбрать пункт Username (см. Рисунок 4).
  4. Укажите следующие характеристики:

  5. LDAP attribute - указать sAMAccountName;

  6. Сохраните введенные настройки маппинга, нажав Save (см. Рисунок 4).


Рисунок 4. Настройка маппинга

Синхронизация доменных пользователей

После настройки LDAP необходимо провести синхронизацию доменных пользователей. Для этого выполните следующие действия:

  1. Вернитесь на основную страницу раздела "User Federation" и выберите созданный LDAP.
  2. Для импорта пользователей из Active Directory нажмите кнопку Synchronize all users (см. Рисунок 5).

Рисунок 5. Синхронизация доменных пользователей в разделе "User Federation"

Для проверки проведённого импорта пользователей из Active Directory перейдите в раздел основного меню "Users" и нажмите кнопку View all users. На экране должен открыться список синхронизированных пользователей.

Определение возможных причин сбоя при синхронизации

Если синхронизация пользователей не произошла, то для определения причины сбоя в первую очередь надо смотреть лог плагина /opt/wildfly/standalone/log/keycloak.log. В логе следует просмотреть события, зафиксированные в момент нажатия тестовых кнопок или кнопок синхронизации пользователей.