Перейти к содержанию

Настройка интеграции со службой Active Directory

В платформе предусмотрена возможность использования доменных учетных записей посредством интеграции с Active Directory.

Для настройки интеграции необходимо:

  • указать адрес LDAP сервера,
  • указать аккаунт и пароль для поиска по LDAP в настройках KeyCloak.

Если на контроллере(ах) домена LDAP ранее не настраивался, то необходимо установить Microsoft Identity Management for UNIX Role Service (см. рисунок 1).

Рисунок 1 -- Выбор служб ролей в Microsoft Identity Management for UNIX Role Service

Настройка LDAP

После установки службы перейдите в KeyCloak и начните настройку LDAP, выполнив следующие действия:

  1. Откройте консоль администрирования KeyCloak (<адрес Платформы>:8180) и перейдите в пункт меню "User Federation" (см. рисунок 2).

  2. Откройте список "Add Provider" (см. рисунок 2).

    Рисунок 2 -- Консоль администрирования KeyCloak, раздел меню "User Federation", список "Add Provider"

  3. В открывшемся списке "Add Provider" выберите раздел "LDAP" и заполните на вкладке "Settings" предоставленные программой поля (см. рисунок 3).
    Следующие поля обязательны для заполнения:

    • Edit Mode - значение READ_ONLY (устанавливается по умолчанию);
    • Vendor - указать Active Directory;
    • Username LDAP attribute - указать sAMAccountName;
    • RDN LDAP attribute - значение cn (установлено по умолчанию);
    • UUID LDAP attribute - значение objectGUID (установлено по умолчанию);
    • User Object Classes - значения person, organizationPerson, user (установлены по умолчанию);
    • Connection URL - указать IP-адрес сервера Active Directory, например - ldap://srv-dc2.youdomain.local ;
    • Users DN - в соответствии с примером DC=youdomain,DC=local;
    • Authentication Type - выбрать Simple;
    • Bind DN - указать системный аккаунт в Active Director для чтения данных из LDAP (например, ldap-ro-user@youdoman.local) ;
    • Bind Credential - пароль системного аккаунта;
    • Search Scope - выберите Subtree.

    Рисунок 3 -- Заполнение данных по LDAP

  4. При необходимости можно протестировать введенные параметры LDAP, нажав последовательно кнопки "Test connection" и "Test authentication" (см. рисунок 3).

  5. Для сохранения введённых настроек LDAP нажмите кнопку Save, расположенную в самом низу экрана.
  6. Перейдите к процедуре настройки маппинга, который необходим для подмены атрибутов LDAP. Для этого перейдите на вкладку "Mappers" и выбрать пункт Username (см. рисунок 4).

  7. Укажите следующие характеристики:

    • LDAP attribute - указать sAMAccountName;

  8. Сохраните введенные настройки маппинга, нажав Save (см. рисунок 4).

Рисунок 4 -- Настройка маппинга

Синхронизация доменных пользователей

После настройки LDAP необходимо провести синхронизацию доменных пользователей. Для этого выполните следующие действия:

  1. Вернитесь на основную страницу раздела "User Federation" и выберите созданный LDAP.
  2. Для импорта пользователей из Active Directory нажмите кнопку Synchronize all users (см. рисунок 5).

Рисунок 5 -- Синхронизация доменных пользователей в разделе "User Federation"

Для проверки проведённого импорта пользователей из Active Directory перейдите в раздел основного меню "Users" и нажмите кнопку View all users. На экране должен открыться список синхронизированных пользователей.

Определение возможных причин сбоя при синхронизации

Если синхронизация пользователей не произошла, то для определения причины сбоя в первую очередь надо смотреть лог плагина /opt/wildfly/standalone/log/keycloak.log. В логе следует просмотреть события, зафиксированные в момент нажатия тестовых кнопок или кнопок синхронизации пользователей.