Kaspersky SD-WAN

Создание LDAP-подключения

Вам нужно создать LDAP-подключение, чтобы ваши пользователи могли аутентифицироваться в веб-интерфейсе оркестратора, используя учетные данные, хранящиеся на удаленном LDAP-сервере. Поддерживаются следующие LDAP-серверы:

• OpenLDAP с Simple-аутентификацией и Simple SSL-аутентификацией.
• Microsoft Active Directory с Kerberos-аутентификацией и Kerberos SSL-аутентификацией.

Оркестратор не может вносить изменения на подключенном LDAP-сервере.

Чтобы настроить подключение оркестратора к удаленному LDAP-серверу:

1. В меню перейдите в раздел Пользователи.

   Отобразится страница управления пользователями. По умолчанию выбрана вкладка Пользователи, на которой отображается таблица пользователей.

2. Выберите вкладку LDAP-подключение.

   Отобразится таблица LDAP-подключений.

3. Вверху страницы нажмите на кнопку + LDAP.
4. В отобразившейся области настройки в поле Имя введите имя LDAP-подключения.
5. В поле Домен введите FQDN домена, в котором находится LDAP-сервер.
6. В поле Альтернативное имя домена введите альтернативное имя домена (как правило, NETBIOS-имя). Альтернативное имя используется при создании и аутентификации пользователей наряду с FQDN домена. Например, если FQDN домена – example.com, а альтернативное имя – example, пользователи могут ввести следующие значения при аутентификации:
   • admin@example.com;
   • admin@example;
   • example.com\admin;
   • example\admin.
7. В поле LDAP-хост введите имя хоста LDAP-сервера. Поддерживаются следующие форматы имени хоста:
   • ldap://<имя хоста>:<номер порта> – для стандартного LDAP-сервера. Порт по умолчанию: 389.
   • ldaps://<имя хоста>:<номер порта> – для LDAP-сервера с SSL-аутентификацией. Порт по умолчанию: 636.

   Например, если вы вводите ldap://example.com:100, имя хоста LDAP-сервера – example.com, а номер порта – 100.

8. В поле Базовое различающееся имя введите базовое различающееся имя (англ. base distinguished name), которое оркестратор должен использовать как начальную точку поиска учетных записей пользователей в директории LDAP-сервера. Поддерживаются следующие форматы базового различающегося имени:
   • OU=<значение>,OU=<значение> – для аутентификации в OpenLDAP. Базовое различающееся имя состоит из одного или нескольких атрибутов OU, обозначающих структуру организационных единиц (англ. organizational units) в директории LDAP-сервера. Например, если вы вводите OU=OU_example1,OU=OU_example2, начальной точкой поиска учетных записей пользователей является организационная единица OU_example2, находящаяся внутри OU_example1.
   • DC=<значение>,DC=<значение> – для аутентификации в Microsoft Active Directory. Базовое различающееся имя состоит из двух атрибутов DC, обозначающих компоненты домена (англ. domain components) LDAP-сервера. Например, если вы вводите DC=example,DC=com, начальной точкой поиска учетных записей пользователей является домен example.com.
9. В раскрывающемся списке Атрибут поиска выберите атрибут, который оркестратор должен использовать для поиска учетных записей пользователей в директории LDAP-сервера:
   • uid (OpenLDAP) – идентификатор пользователя uid (user ID) для поиска в OpenLDAP. Это значение выбрано по умолчанию.
   • sAMAccountName (Active Directory) – пре-Windows 2000 имя пользователя (англ. pre-Windows 2000 logon name) для поиска в Microsoft Active Directory.
10. В поле Различающееся имя введите различающееся имя (англ. distinguished name) для аутентификации оркестратора в LDAP-сервере. Поддерживаются следующие форматы различающегося имени:
    • UID=<значение>,OU=<значение> – для аутентификации в OpenLDAP. Различающееся имя состоит из одного атрибута UID и одного или нескольких атрибутов OU. Атрибут UID обозначает идентификатор пользователя, в то время как атрибуты OU обозначают структуру организационных единиц в директории LDAP-сервера, в которой находится этот пользователь. Например, если вы вводите UID=user_example,OU=OU_example, для аутентификации оркестратора в LDAP-сервере используется пользователь с идентификатором user_example, который находится в организационной единице OU_example.
    • CN=<значение>,OU=<значение>,DC=<значение>,DC=<значение> – для аутентификации в Microsoft Active Directory. Различающееся имя состоит из одного атрибута CN, одного или нескольких атрибутов OU, а также двух атрибутов DC. Атрибут CN обозначает общее имя (англ. common name) пользователя, в то время как атрибуты OU обозначают структуру организационных единиц в директории LDAP-сервера, в которой находится этот пользователь. Последние два атрибута DC обозначают компоненты домена, в котором находится пользователь. Например, если вы вводите CN=user_example,OU=OU_example,DC=example,DC=com, для аутентификации оркестратора в LDAP-сервере используется пользователь с именем user_example, который находится в организационной единице OU_example в домене example.com.
11. В поле Пароль привязки введите пароль для аутентификации оркестратора в LDAP-сервере.
12. При необходимости убедиться в доступности LDAP-сервера нажмите на кнопку Проверить аутентификацию.
13. Нажмите на кнопку Создать.

LDAP-подключение будет создано и отобразится в таблице. Теперь LDAP-сервер можно использовать при создании пользователей или групп пользователей.