Active Directory

Общие положения

Интеграция и синхронизация системы мониторинга с Active Directory посредством протокола LDAP предоставляет расширенные возможности управления пользователями и группами через внешнюю службу.

• Синхронизация пользователей и групп AD с Monq происходит через каталоги пользователей
• Пользователи и группы в AD сопоставляются с группами пользователей и автоматически клонируются в Monq. Любые изменения этих объектов в AD отражаются в платформе.
• Все синхронизируемые с AD объекты могут быть отредактированы только через службу каталогов Active Directory. Изменения в интерфейсе Monq возможны только при выключенной синхронизации.
• Пользователи могут авторизоваться в Monq с помощью учетной записи AD без необходимости использования отдельного окна для ввода данных. Аутентификация выполняется сначала через AD, а затем через локальный сервис Monq, если это необходимо.

Администратору доступны следующие действия:

• Изменять конфигурацию подключения
• Включать и выключать синхронизацию
• Определять интервал автоматической синхронизации
• Запускать синхронизацию вручную
• Выполнять валидацию настроек

Синхронизация

По умолчанию синхронизация с Active Directory запускается 1 раз в минуту. Администратор пространства может изменить этот интервал.

Алгоритм синхронизации пользователей

в AD	в Monq	результат
создается пользователь	пользователь не существует	пользователь создается в Monq
создается пользователь	пользователь существует	пользователь синхронизируется по email, имени и набору групп, приводится в соответствие с данными AD
редактируется пользователь	пользователь существует	в Monq обновляются имя и набор групп пользователя
почта пользователя меняется с А на Б	существует пользователь с почтой А	в Monq почта А меняется на Б
почта пользователя меняется с А на Б	существует пользователь с почтой Б	1. пользователь AD привязывается к пользователю Monq с почтой Б 2. пользователь Monq с почтой А удаляется
блокируется пользователь	пользователь не существует	ничего не происходит
блокируется пользователь	пользователь активен	пользователь блокируется в Monq
удаляется пользователь	пользователь существует	пользователь удаляется в Monq
пользователь не существует	создается пользователь	в AD никаких изменений не происходит
пользователь существует	создается пользователь	создание пользователя в Monq невозможно
пользователь существует	редактируется пользователь	редактирование пользователя запрещено, все изменения определяются данными AD
пользователь существует	блокируется пользователь	при следующей синхронизации статус пользователя обновляется в соответствии с AD

Алгоритм синхронизации групп

в AD	в Monq	результат
создается группа	группа не существует	группа создается в Monq
создается группа	группа существует	в Monq обновляются название и состав группы в соответствии с AD
редактируется группа	группа существует	в Monq обновляются название и состав группы в соответствии с AD
удаляется группа	группа существует	группа удаляется из Monq
группа не существует	создается группа	в AD никаких изменений не происходит
группа существует	создается группа	создание группы в Monq невозможно
группа существует	редактируется группа	редактирование группы запрещено, все изменения определяются данными AD

Настройка синхронизации

Чтобы настроить синхронизацию с Active Directory, выполните следующие действия:

1. Перейдите в Администрирование → Настройки пространства → LDAP
2. В блоке «Конфигурация интеграции с LDAP» укажите:
   • Периодичность
   • Хост — адрес сервера Active Directory
   • Порт — номер порта для подключения
   • Использовать SSL — флаг, определяющий использование защищенного соединения
   • Имя пользователя — учетная запись с доступом к Active Directory
   • Пароль — пароль от учетной записи
   • Базовое DN
     Например: DC=int,DC=loc
   • Дополнительное DN пользователей
     Например: OU=Organization_6703
   • Дополнительное DN групп
     Например: OU=Organization_6703
   • Разбивать запросы на пакеты — опция дробления запросов на более мелкие
   • Фильтр пользователей / групп
     В отличие от Дополнительных DN, которые ограничивают область поиска в ветви каталога, фильтры LDAP позволяют более точно отобрать нужные записи внутри этой области, используя заданные условия.
     Например: (memberOf=cn=MonqAccess,OU=Organization_6703,DC=int,DC=loc)- для получения пользователей указанной группы
     Например: (groupType:1.2.840.113556.1.4.803:=2147483648) - для получения групп только с типом security
3. Нажмите «Сохранить»
4. Включите синхронизацию

Перед началом синхронизации выполняется проверка доступности сервера Active Directory:

• При успешном подключении вокруг блока «Последняя синхронизация» появляется зеленый индикатор
• При ошибке подключения загорается красный индикатор и указывается причина ошибки синхронизации:

вложенные объекты

Синтаксис фильтра LDAP позволяет выполнять фильтрацию с учетом вложенности.
Для этого используется фильтр в следующем формате:
(memberOf:1.2.840.113556.1.4.1941:= cn=Test,ou=East,dc=Domain,dc=com)

Например, у нас есть объекты со следующей вложенностью:

OU=Organization  
└─ Group_Level2 (группа)  
        └─Worker2 (пользователь)  
        └─ Group_Level3 (группа)  
                └─ Worker3 (пользователь)

И нам необходимо создать пользователей из группы Group_Level2, при этом рекурсивно по всем подуровням.
Тогда в «Фильтр пользователей» мы укажем:
(memberOf:1.2.840.113556.1.4.1941:=CN=Group_Level2,OU=Organization,DC=int,DC=loc)

Почти аналогичная ситуация и с фильтром групп. Разница только в том, что нужно добавить условие "ИЛИ", чтобы помимо вложенных групп, создалась и указанная:
(|(cn=Group_Level2_6703)(memberOf:1.2.840.113556.1.4.1941:=CN=Group_Level2_6703,OU=Organization_6703,DC=int,DC=loc))

Полное описание синтаксиса и возможных вариантов фильтрации можно найти на странице документации Microsoft Active Directory: LDAP Syntax Filters

Тест соединения

Перед сохранением и началом синхронизации администратор может выполнить предварительную валидацию настроек с помощью кнопки Тест соединения
Это позволяет убедиться в корректности введенных данных и устранить возможные ошибки до запуска синхронизации.

Результат проверки отображается в виде уведомления с одним из статусов:

• Соединено — подключение успешно, данные заполнены корректно
• Ошибка соединения — подключение не удалось, требуется проверить и скорректировать введенные параметры

Дробление запросов

Опция «Разбивать запросы синхронизации на пакеты» используется для обхода ограничений LDAP-службы на количество записей в одном ответе (в Active Directory по умолчанию — 1000).

При включении запрос делится на части, каждая из которых содержит указанное количество записей. Запросы выполняются последовательно до получения всех данных.

Если указано значение выше лимита AD — часть данных не будет получена.

Авторизация

Возможность авторизации пользователя определяется администратором пространства выбранными способами аутентификации в профиле пользователя.

Для пользователей, изначально созданных внутри Monq, установлен способ аутентификации «Local».

Если включена синхронизация с LDAP и пользователь в AD уже существует, в настройках его профиля активируется способ аутентификации «Active Directory».

Для новых пользователей, созданных в результате синхронизации с AD, по умолчанию разрешается только способ аутентификации через Active Directory, а на почту направляется соответствующее письмо с уведомлением.