Настройка LDAP-синхронизации
Для упрощения процесса подключения и доступа из сети предприятия, Altium Concord Pro поддерживает работу со службами каталогов через свой веб-интерфейс.
Здесь предлагается синхронизация пользователей домена на основе облегченного протокола доступа к каталогам (Lightweight Directory Access Protocol – LDAP), с помощью которого осуществляется доступ к информации о группе пользователей домена и их участия в роли от центрального сервера LDAP сети. Аутентификация пользователей домена через эти службы обеспечивает доступ ко всем системам предприятия, в том числе к серверу Altium Concord Pro, с помощью единых учетных данных.
LDAP-синхронизация Altium Concord Pro опрашивает службы сети на основе роли пользователя, где берется информация об участии в роли для авторизации доступа пользователя к серверу Concord Pro. Опрос принадлежности к домену через службу LDAP (синхронизацию) позволяет системе отвечать на изменении настроек учетной записи пользователя домена в цикле синхронизации.
LDAP-синхронизация
LDAP-синхронизация позволяет администратору Altium Concord Pro использовать существующие в домене сети учетные данные, поэтому нет необходимости создавать учетные записи пользователей по одной на странице Users веб-интерфейса Concord Pro. При правильной настройке учетные данные пользователей будут автоматически появляться на странице Users, что позволит этим пользователям входить в Altium Concord Pro с помощью корпоративного имени пользователя и пароля.
На этой странице описан проверенный на практике подход, который был успешно использован для настройки LDAP-синхронизации. Попробуйте этот подход, когда будете настраивать синхронизацию в собственном домене.
Что необходимо?
- Вход с правами администратора на Altium Concord Pro.
- Не обязательная, но крайне полезная утилита – приложение под названием LDAP Admin (можно загрузить архив LdapAdminExe-<версия>.zip с сайта http://www.ldapadmin.org/)
Получение строки поиска LDAP (Уникальное имя)
При настройке задачи LDAP-синхронизации через веб-интерфейс Altium Concord Pro вам необходимо уникальное имя LDAP (Distinguished Name – DN), которое вводится в строковом формате. Это имя определяет базу объектов поиска LDAP. Чтобы получить эту строку, мы использовали утилиту LDAP Admin, поэтому сначала загрузите zip-архив и распакуйте исполняемый файл LdapAdmin.
Запустите исполняемый файл LdapAdmin.exe от имени администратора – щелкните по нему ПКМ и выберите Run as administrator (Запустить от имени администратора).
Когда откроется панель LDAP Admin, выберите Start » Connect (Пуск » Соединение) – откроется диалоговое окно Connections (Соединения), затем дважды кликните по New connection (Новое соединение), чтобы открыть диалоговое окно Connection properties (Свойства соединения).
На вкладке General (Главная) диалогового окна Connection properties настройте соединение в соответствии с вашим доменом. Пример:
- Connection name (Имя соединения) – произвольное имя, которое будет использоваться для отображения соединения.
- Host (Хост): testsite.com
- Port (Порт): 389
- Base (База): DC=testsite, DC=com
- Включите параметр GSS-API.
- Account (Аккаунт): просто оставьте параметр Use current user credentials (Использовать учетные данные текущего пользователя).
После настройки свойств соединения нажмите кнопку Test connection (Проверить соединение). Если все настроено правильно, вы увидите сообщение Connection is successful (Соединение успешно установлено). Нажмите OK, чтобы завершить создание нового соединения.
Теперь вам необходимо определить строку для объекта базы поиска LDAP. Для этого:
- Выберите созданное соединение и нажмите OK в диалоговом окне Connections. Будет показана иерархия вашего домена сети и группы пользователей.
- Разверните дерево папок, пока не найдете папку с нужными пользователями.
- Щелкните ПКМ по этой папке и выберите из контекстного меню команду Search (Поиск). Откроется панель Search. Ключевой частью информации является строка, которой уже заполнено поле Path (Путь). Если читать эту строку слева направо, то она укажет путь к папке пользователей внутри структуры домена. В нашем примере предположим, что папка пользователей – Designers, которая является дочерней по отношению к папке Users. В этом случае строка будет выглядеть так: OU=Designers,OU=Users,DC=testsite,DC=com.
- Скопируйте и вставьте эту строку в текстовый файл для ее последующего использования при настройке. Либо просто оставьте панель Search доступной.
На этом этапе в утилите LDAP Admin больше нет необходимости.
Настройка Altium Concord Pro для использования LDAP-синхронизации
Теперь перейдем к Altium Concord Pro. Войдите в веб-интерфейс Altium Concord Pro как администратор. Если вы собираетесь создавать учетные данные пользователей автоматически посредством LDAP, скорее всего, вы захотите удалить учетные записи, созданные вручную. Поэтому лучше всего, если здесь будут пользователи, созданные автоматически: admin и System (на странице Users веб-интерфейса, в разделе Team).
Если вы хотите, чтобы созданные с помощью LDAP пользователи были назначены определенной роли, вы можете переключиться на вкладку Roles (Роли) и создать новую роль (например, Electrical Designers, Mechanical Designers, PCB Specialists и т.д.) и оставить ее пустой (не назначать участников). Для нашего примера создадим роль Designers.
Теперь переключитесь на страницу LDAP Sync и нажмите кнопку , чтобы открыть диалоговое окно ADD LDAP SYNC TASK.
Введите следующую информацию (пример – на основе структуры домена, которая была использована в предыдущем разделе):
General (Главное)
- Target Role (Целевая роль): Designers
- Distinguished Name (Уникальное имя): OU=Designers,OU=Users,DC=testsite,DC=com
- Url (URL-адрес): LDAP://testsite.com:389
- Scope (Глубина поиска): sub
- Attributes (Атрибуты): sAMAccountName
- Filter (Фильтр) – оставьте это поле пустым, чтобы получить учетные записи всех пользователей из группы, определенной доменом (полем DN). Если эта область структуры домена в свою очередь содержит группу пользователей, вы можете взять только эту группу с помощью строки в этом поле.
Например, предположим, что в группе Designers есть пользователи с правами администраторов (CN=Administrators). Чтобы указать лишь это подмножество пользователей, а не всех проектировщиков (в области OU=Designers структуры домена), следует ввести строку, которая указывает именно на эту точку в структуре домена:
(&(objectClass=user)(memberof=CN=Administrators,OU=Designers,OU=Users,DC=testsite,DC=com))
Attribute Mapping (Отображение атрибутов)
- First Name (Имя): givenName
- Last Name (Фамилия): sn
- Email: mail
- User Name (Имя пользователя): sAMAccountName
- Overwrite existing users (Перезаписывать существующих пользователей) – когда этот параметр включен, LDAP-синхронизация перезапишет пользователей, созданных вручную, теми, которые соответствуют запросу синхронизации, если имена пользователей совпадают.
Authentication (Аутентификация)
- User Name (Имя пользователя): domain\<ваше_имя_пользователя> (например, testsite\jason.howie)
- Password (Пароль): <ваш_пароль>
- User authentication type (Тип аутентификации пользователей): Windows
- Domain (Домен): testsite.com
По завершении всех настроек нажмите . Это запустит процесс синхронизации, который может занять несколько минут, поскольку обрабатывается введенная вами информация.
По завершении процесса перейдите на страницу Users, в списке которой появятся учетные записи всех пользователей, заданных параметром OU=<НазваниеГруппы> (см. пример на изображении ниже). Теперь пользователи смогут входить в Altium Concord Pro с помощью своих учетных данных Windows.