Перейти к основному содержимому
Версия: 8.9

Active Directory

Общие положения

Интеграция и синхронизация системы мониторинга с Active Directory посредством протокола LDAP предоставляет расширенные возможности управления пользователями и группами через внешнюю службу.

  • Синхронизация пользователей и групп AD с Monq происходит через каталоги пользователей
  • Пользователи и группы в AD сопоставляются с группами пользователей и автоматически клонируются в Monq. Любые изменения этих объектов в AD отражаются в платформе.
  • Все синхронизируемые с AD объекты могут быть отредактированы только через службу каталогов Active Directory. Изменения в интерфейсе Monq возможны только при выключенной синхронизации.
  • Пользователи могут авторизоваться в Monq с помощью учетной записи AD без необходимости использования отдельного окна для ввода данных. Аутентификация выполняется сначала через AD, а затем через локальный сервис Monq, если это необходимо.

Администратору доступны следующие действия:

  • Изменять конфигурацию подключения
  • Включать и выключать синхронизацию
  • Определять интервал автоматической синхронизации
  • Запускать синхронизацию вручную
  • Выполнять валидацию настроек

Синхронизация

По умолчанию синхронизация с Active Directory запускается 1 раз в минуту. Администратор пространства может изменить этот интервал.

Алгоритм синхронизации пользователей

в ADв Monqрезультат
создается пользовательпользователь не существуетпользователь создается в Monq
создается пользовательпользователь существуетпользователь синхронизируется по email, имени и набору групп, приводится в соответствие с данными AD
редактируется пользовательпользователь существуетв Monq обновляются имя и набор групп пользователя
почта пользователя меняется с А на Бсуществует пользователь с почтой Ав Monq почта А меняется на Б
почта пользователя меняется с А на Бсуществует пользователь с почтой Б1. пользователь AD привязывается к пользователю Monq с почтой Б
2. пользователь Monq с почтой А удаляется
блокируется пользовательпользователь не существуетничего не происходит
блокируется пользовательпользователь активенпользователь блокируется в Monq
удаляется пользовательпользователь существуетпользователь удаляется в Monq
пользователь не существуетсоздается пользовательв AD никаких изменений не происходит
пользователь существуетсоздается пользовательсоздание пользователя в Monq невозможно
пользователь существуетредактируется пользовательредактирование пользователя запрещено, все изменения определяются данными AD
пользователь существуетблокируется пользовательпри следующей синхронизации статус пользователя обновляется в соответствии с AD

Алгоритм синхронизации групп

в ADв Monqрезультат
создается группагруппа не существуетгруппа создается в Monq
создается группагруппа существуетв Monq обновляются название и состав группы в соответствии с AD
редактируется группагруппа существуетв Monq обновляются название и состав группы в соответствии с AD
удаляется группагруппа существуетгруппа удаляется из Monq
группа не существуетсоздается группав AD никаких изменений не происходит
группа существуетсоздается группасоздание группы в Monq невозможно
группа существуетредактируется группаредактирование группы запрещено, все изменения определяются данными AD

Настройка синхронизации

Чтобы настроить синхронизацию с Active Directory, выполните следующие действия:

  1. Перейдите в Администрирование → Настройки пространства → LDAP
  2. В блоке «Конфигурация интеграции с LDAP» укажите:
    • Периодичность
    • Хост — адрес сервера Active Directory
    • Порт — номер порта для подключения
    • Использовать SSL — флаг, определяющий использование защищенного соединения
    • Имя пользователя — учетная запись с доступом к Active Directory
    • Пароль — пароль от учетной записи
    • Базовое DN
      Например: DC=int,DC=loc
    • Дополнительное DN пользователей
      Например: OU=Organization_6703
    • Дополнительное DN групп
      Например: OU=Organization_6703
    • Разбивать запросы на пакеты — опция дробления запросов на более мелкие
    • Фильтр пользователей / групп
      В отличие от Дополнительных DN, которые ограничивают область поиска в ветви каталога, фильтры LDAP позволяют более точно отобрать нужные записи внутри этой области, используя заданные условия.
      Например: (memberOf=cn=MonqAccess,OU=Organization_6703,DC=int,DC=loc)- для получения пользователей указанной группы
      Например: (groupType:1.2.840.113556.1.4.803:=2147483648) - для получения групп только с типом security
  3. Нажмите «Сохранить»
  4. Включите синхронизацию

Изображение

Перед началом синхронизации выполняется проверка доступности сервера Active Directory:

  • При успешном подключении вокруг блока «Последняя синхронизация» появляется зеленый индикатор
  • При ошибке подключения загорается красный индикатор и указывается причина ошибки синхронизации: Изображение
вложенные объекты

Синтаксис фильтра LDAP позволяет выполнять фильтрацию с учетом вложенности.
Для этого используется фильтр в следующем формате:
(memberOf:1.2.840.113556.1.4.1941:= cn=Test,ou=East,dc=Domain,dc=com)

Например, у нас есть объекты со следующей вложенностью:

OU=Organization  
└─ Group_Level2 (группа)
└─Worker2 (пользователь)
└─ Group_Level3 (группа)
└─ Worker3 (пользователь)

И нам необходимо создать пользователей из группы Group_Level2, при этом рекурсивно по всем подуровням.
Тогда в «Фильтр пользователей» мы укажем:
(memberOf:1.2.840.113556.1.4.1941:=CN=Group_Level2,OU=Organization,DC=int,DC=loc)

Почти аналогичная ситуация и с фильтром групп. Разница только в том, что нужно добавить условие "ИЛИ", чтобы помимо вложенных групп, создалась и указанная:
(|(cn=Group_Level2_6703)(memberOf:1.2.840.113556.1.4.1941:=CN=Group_Level2_6703,OU=Organization_6703,DC=int,DC=loc))

Полное описание синтаксиса и возможных вариантов фильтрации можно найти на странице документации Microsoft Active Directory: LDAP Syntax Filters

Тест соединения

Перед сохранением и началом синхронизации администратор может выполнить предварительную валидацию настроек с помощью кнопки Тест соединения
Это позволяет убедиться в корректности введенных данных и устранить возможные ошибки до запуска синхронизации.

Результат проверки отображается в виде уведомления с одним из статусов:

  • Соединено — подключение успешно, данные заполнены корректно
  • Ошибка соединения — подключение не удалось, требуется проверить и скорректировать введенные параметры

Изображение

Дробление запросов

Опция «Разбивать запросы синхронизации на пакеты» используется для обхода ограничений LDAP-службы на количество записей в одном ответе (в Active Directory по умолчанию — 1000).

При включении запрос делится на части, каждая из которых содержит указанное количество записей. Запросы выполняются последовательно до получения всех данных.

Если указано значение выше лимита AD — часть данных не будет получена.

Изображение

Авторизация

Возможность авторизации пользователя определяется администратором пространства выбранными способами аутентификации в профиле пользователя.

Для пользователей, изначально созданных внутри Monq, установлен способ аутентификации «Local».

Если включена синхронизация с LDAP и пользователь в AD уже существует, в настройках его профиля активируется способ аутентификации «Active Directory».

Для новых пользователей, созданных в результате синхронизации с AD, по умолчанию разрешается только способ аутентификации через Active Directory, а на почту направляется соответствующее письмо с уведомлением.

Изображение