Настройка интеграции со службой Active Directory
В платформе предусмотрена возможность использования доменных учетных записей посредством интеграции с Active Directory.
Для настройки интеграции необходимо:
- указать адрес LDAP сервера,
- указать аккаунт и пароль для поиска по LDAP в настройках KeyCloak.
Если на контроллере(ах) домена LDAP ранее не настраивался, то необходимо установить Microsoft Identity Management for UNIX Role Service (см. рисунок 1).
Рисунок 1 -- Выбор служб ролей в Microsoft Identity Management for UNIX Role Service
Настройка LDAP
После установки службы перейдите в KeyCloak и начните настройку LDAP, выполнив следующие действия:
- Откройте консоль администрирования KeyCloak (<адрес Платформы>:8180) и перейдите в пункт меню "User Federation" (см. рисунок 2).
-
Откройте список "Add Provider" (см. рисунок 2).
Рисунок 2 -- Консоль администрирования KeyCloak, раздел меню "User Federation", список "Add Provider"
-
В открывшемся списке "Add Provider" выберите раздел "LDAP" и заполните на вкладке "Settings" предоставленные программой поля (см. рисунок 3).
Следующие поля обязательны для заполнения:Edit Mode
- значение READ_ONLY (устанавливается по умолчанию);Vendor
- указать Active Directory;Username LDAP attribute
- указать sAMAccountName;RDN LDAP attribute
- значение cn (установлено по умолчанию);UUID LDAP attribute
- значение objectGUID (установлено по умолчанию);User Object Classes
- значения person, organizationPerson, user (установлены по умолчанию);Connection URL
- указать IP-адрес сервера Active Directory, например - ldap://srv-dc2.youdomain.local ;Users DN
- в соответствии с примеромDC=youdomain,DC=local
;Authentication Type
- выбрать Simple;Bind DN
- указать системный аккаунт в Active Director для чтения данных из LDAP (например, ldap-ro-user@youdoman.local) ;Bind Credential
- пароль системного аккаунта;Search Scope
- выберите Subtree.
Рисунок 3 -- Заполнение данных по LDAP
-
При необходимости можно протестировать введенные параметры LDAP, нажав последовательно кнопки "Test connection" и "Test authentication" (см. рисунок 3).
- Для сохранения введённых настроек LDAP нажмите кнопку Save, расположенную в самом низу экрана.
- Перейдите к процедуре настройки маппинга, который необходим для подмены атрибутов LDAP. Для этого перейдите на вкладку "Mappers" и выбрать пункт Username (см. рисунок 4).
-
Укажите следующие характеристики:
LDAP attribute
- указать sAMAccountName;
-
Сохраните введенные настройки маппинга, нажав Save (см. рисунок 4).
Рисунок 4 -- Настройка маппинга
Синхронизация доменных пользователей
После настройки LDAP необходимо провести синхронизацию доменных пользователей. Для этого выполните следующие действия:
- Вернитесь на основную страницу раздела "User Federation" и выберите созданный LDAP.
- Для импорта пользователей из Active Directory нажмите кнопку Synchronize all users (см. рисунок 5).
Рисунок 5 -- Синхронизация доменных пользователей в разделе "User Federation"
Для проверки проведённого импорта пользователей из Active Directory перейдите в раздел основного меню "Users" и нажмите кнопку View all users. На экране должен открыться список синхронизированных пользователей.
Определение возможных причин сбоя при синхронизации
Если синхронизация пользователей не произошла, то для определения причины сбоя в первую очередь надо смотреть лог плагина /opt/wildfly/standalone/log/keycloak.log
. В логе следует просмотреть события, зафиксированные в момент нажатия тестовых кнопок или кнопок синхронизации пользователей.