Настройка LDAP-синхронизации

Вы просматриваете версию 4. Для самой новой информации, перейдите на страницу Настройка LDAP-синхронизации для версии 5.0

This documentation page references Altium Concord Pro, which has been discontinued. All your PCB design, data management and collaboration needs can now be delivered by Altium Designer and a connected Altium 365 Workspace. Check out the FAQs page for more information.

 

Для упрощения процесса подключения и доступа из сети предприятия, Altium Concord Pro поддерживает работу со службами каталогов через свой веб-интерфейс.

Здесь предлагается синхронизация пользователей домена на основе облегченного протокола доступа к каталогам (Lightweight Directory Access Protocol – LDAP), с помощью которого осуществляется доступ к информации о группе пользователей домена и их участия в роли от центрального сервера LDAP сети. Аутентификация пользователей домена через эти службы обеспечивает доступ ко всем системам предприятия, в том числе к серверу Altium Concord Pro, с помощью единых учетных данных.

LDAP-синхронизация Altium Concord Pro опрашивает службы сети на основе роли пользователя, где берется информация об участии в роли для авторизации доступа пользователя к серверу Concord Pro. Опрос принадлежности к домену через службу LDAP (синхронизацию) позволяет системе отвечать на изменении настроек учетной записи пользователя домена в цикле синхронизации.

Для получения более подробной информации о принципах, возможностях и синтаксисе внедрения LDAP см. https://tools.ietf.org/html/rfc4510 и связанные страницы.

LDAP-синхронизация

LDAP-синхронизация позволяет администратору Altium Concord Pro использовать существующие в домене сети учетные данные, поэтому нет необходимости создавать учетные записи пользователей по одной на странице Users веб-интерфейса Concord Pro. При правильной настройке учетные данные пользователей будут автоматически появляться на странице Users, что позволит этим пользователям входить в Altium Concord Pro с помощью корпоративного имени пользователя и пароля.

Чтобы войти на сервер с помощью своих учетных данных Windows, воспользуйтесь поддержкой аутентификации Windows сервером Concord Pro – включите параметр Use Windows Session (Использовать сессию Windows) или параметр Use Windows Session credentials (Использовать учетные данные сессии Windows) в диалоговом окне Sign in в Altium Designer.
Altium Concord Pro поддерживает как стандартный протокол LDAP, так и LDAPS (LDAP через SSL).

На этой странице описан проверенный на практике подход, который был успешно использован для настройки LDAP-синхронизации. Попробуйте этот подход, когда будете настраивать синхронизацию в собственном домене.

Что необходимо?

  • Вход с правами администратора на Altium Concord Pro.
  • Не обязательная, но крайне полезная утилита – приложение под названием LDAP Admin (можно загрузить архив LdapAdminExe-<версия>.zip с сайта http://www.ldapadmin.org/)
Приложение LDAP Admin можно использовать для точного определения строк и синтаксиса опроса групп пользователей, необходимых для настройки задачи LDAP-синхронизации Altium Concord Pro.

Получение строки поиска LDAP (Уникальное имя)

При настройке задачи LDAP-синхронизации через веб-интерфейс Altium Concord Pro вам необходимо уникальное имя LDAP (Distinguished Name – DN), которое вводится в строковом формате. Это имя определяет базу объектов поиска LDAP. Чтобы получить эту строку, мы использовали утилиту LDAP Admin, поэтому сначала загрузите zip-архив и распакуйте исполняемый файл LdapAdmin.

Загрузите и распакуйте файл LdapAdmin.exe.
Загрузите и распакуйте файл LdapAdmin.exe.

Запустите исполняемый файл LdapAdmin.exe от имени администратора – щелкните по нему ПКМ и выберите Run as administrator (Запустить от имени администратора).

Когда откроется панель LDAP Admin, выберите Start » Connect (Пуск » Соединение) – откроется диалоговое окно Connections (Соединения), затем дважды кликните по New connection (Новое соединение), чтобы открыть диалоговое окно Connection properties (Свойства соединения).

Создание нового соединения с помощью утилиты LDAP Admin.
Создание нового соединения с помощью утилиты LDAP Admin.

На вкладке General (Главная) диалогового окна Connection properties настройте соединение в соответствии с вашим доменом. Пример:

  • Connection name (Имя соединения) – произвольное имя, которое будет использоваться для отображения соединения.
  • Host (Хост): testsite.com
  • Port (Порт): 389

    Если вы настраиваете LDAPS (LDAP через SSL), укажите порт 636.
  • Base (База): DC=testsite, DC=com
  • Включите параметр GSS-API.

    Если вы настраиваете LDAPS (LDAP через SSL), то также включите параметр SSL.
  • Account (Аккаунт): просто оставьте параметр Use current user credentials (Использовать учетные данные текущего пользователя).

Пример настройки соединения при использовании стандартного LDAP. При использовании LDAPS (LDAP через SSL) нужно изменить порт на 636 и включить параметр SSL.
Пример настройки соединения при использовании стандартного LDAP. При использовании LDAPS (LDAP через SSL) нужно изменить порт на 636 и включить параметр SSL.

После настройки свойств соединения нажмите кнопку Test connection (Проверить соединение). Если все настроено правильно, вы увидите сообщение Connection is successful (Соединение успешно установлено). Нажмите OK, чтобы завершить создание нового соединения.

Теперь вам необходимо определить строку для объекта базы поиска LDAP. Для этого:

  1. Выберите созданное соединение и нажмите OK в диалоговом окне Connections. Будет показана иерархия вашего домена сети и группы пользователей.
  2. Разверните дерево папок, пока не найдете папку с нужными пользователями.
  3. Щелкните ПКМ по этой папке и выберите из контекстного меню команду Search (Поиск). Откроется панель Search. Ключевой частью информации является строка, которой уже заполнено поле Path (Путь). Если читать эту строку слева направо, то она укажет путь к папке пользователей внутри структуры домена. В нашем примере предположим, что папка пользователей – Engineers, которая является дочерней по отношению к папке Users. В этом случае строка будет выглядеть так: OU=Engineers,OU=Users,DC=testsite,DC=com.
  4. Скопируйте и вставьте эту строку в текстовый файл для ее последующего использования при настройке. Либо просто оставьте панель Search доступной.

На этом этапе в утилите LDAP Admin больше нет необходимости.

Настройка Altium Concord Pro для использования LDAP-синхронизации

Теперь вернемся к Altium Concord Pro. Войдите в веб-интерфейс Altium Concord Pro как администратор. Если вы собираетесь создавать учетные данные пользователей автоматически посредством LDAP, скорее всего, вы захотите удалить учетные записи, созданные вручную. Поэтому лучше всего, если здесь будет только пользователь-администратор по умолчанию admin (на странице Users веб-интерфейса, в разделе Team).

Пример Altium Concord Pro только с пользователем по умолчанию admin.
Пример Altium Concord Pro только с пользователем по умолчанию admin.

Если вы хотите, чтобы созданные с помощью LDAP пользователи были назначены определенной роли, вы можете переключиться на вкладку Roles (Роли) и создать новую роль (например, Electrical Designers, Mechanical Designers, PCB Specialists и т.д.) и оставить ее пустой (не назначать участников). В этом примере будет использоваться роль по умолчанию Engineers, которая была создана при установке вместе с примером структуры сервера.

Теперь переключитесь на страницу LDAP Sync и нажмите кнопку , чтобы открыть окно Add Ldap sync Task.

Добавление новой задачи LDAP-синхронизации через веб-интерфейс Altium Concord Pro.
Добавление новой задачи LDAP-синхронизации через веб-интерфейс Altium Concord Pro.

Введите следующую информацию (пример – на основе структуры домена, которая была использована в предыдущем разделе):

General (Главное)

  • Target Role (Целевая роль): Engineers
  • Distinguished Name (Уникальное имя): OU=Engineers,OU=Users,DC=testsite,DC=com

    Эта строка взята из поля Path (Путь) панели Search (Поиск) из утилиты LDAP Admin, которая использовалась в предыдущем разделе.
  • Url (URL-адрес): LDAP://testsite.com:389

    При настройке LDAPS (LDAP через SSL) в этом примере Url был бы: LDAPS://testsite.com:636.
  • Scope (Глубина поиска): sub
  • Attributes (Атрибуты): sAMAccountName
  • Filter (Фильтр) – оставьте это поле пустым, чтобы получить учетные записи всех пользователей из группы, определенной доменом (полем DN). Если эта область структуры домена в свою очередь содержит группу пользователей, вы можете взять только эту группу с помощью строки в этом поле.

    Например, предположим, что в группе Engineers есть пользователи с правами администраторов (CN=Administrators). Чтобы указать лишь это подмножество пользователей, а не всех инженеров (в области OU=Engineers структуры домена), следует ввести строку, которая указывает именно на эту точку в структуре домена:

    (&(objectClass=user)(memberof=CN=Administrators,OU=Engineers,OU=Users,DC=testsite,DC=com))

    Хотя поле Filter можно оставить пустым, что вернет всех пользователей по пути из поля DN, делать это достаточно опасно. Этот путь может указывать на область в структуре домена, которая содержит большое количество пользователей, и из-за большой нагрузки на Altium Concord Pro и Active Directory работа всего предприятия может приостановиться. Лучше указать одну или несколько групп определенных пользователей с помощью фильтра. Для получения более подробной информации о запросах LDAP, которые можно использовать для указания определенных наборов пользователей, перейдите по следующим ссылкам:

    • Common LDAP Queries (Общие запросы LDAP) – информация по запросам по работе с пользователями. Эта страница является частью подробного руководства от Google, которое относится к синхронизации каталогов приложений Google, но оно может быть полезно при работе с LDAP.
    • LDAP Query Basics (Основы запросов LDAP)

Attribute Mapping (Отображение атрибутов)

  • First Name (Имя): givenName
  • Last Name (Фамилия): sn
  • Email: mail
  • User Name (Имя пользователя): sAMAccountName
  • Overwrite existing users (Перезаписывать существующих пользователей) – когда этот параметр включен, LDAP-синхронизация перезапишет пользователей, созданных вручную, теми, которые соответствуют запросу синхронизации, если имена пользователей совпадают.

Authentication (Аутентификация)

  • User Name (Имя пользователя): domain\<ваше_имя_пользователя> (например, testsite\jason.howie)
  • Password (Пароль): <ваш_пароль>
  • User authentication type (Тип аутентификации пользователей): Windows
  • Domain (Домен): testsite.com

Пример задачи LDAP-синхронизации, настроенной для стандартного LDAP. При использовании LDAPS (LDAP через SSL), в поле Url нужно ввести LDAPS://testsite.com:636.
Пример задачи LDAP-синхронизации, настроенной для стандартного LDAP. При использовании LDAPS (LDAP через SSL), в поле Url нужно ввести LDAPS://testsite.com:636.

По завершении всех настроек нажмите . Это запустит процесс синхронизации, который может занять несколько минут, поскольку обрабатывается введенная вами информация.

По завершении процесса перейдите на страницу Users, в списке которой появятся учетные записи всех пользователей, заданных параметром OU=<НазваниеГруппы> (см. пример на изображении ниже). Теперь пользователи смогут входить в Altium Concord Pro с помощью своих учетных данных Windows.

Чтобы войти в Altium Concord Pro с помощью своих учетных данных Windows, воспользуйтесь поддержкой аутентификации Windows в Altium Concord Pro – включите параметр Use Windows Session (веб-интерфейс) или Use Windows Session credentials (диалоговое окно Sign in в Altium Designer).
Дополнительные пользователи могут быть созданы вручную вне процесса LDAP-синхронизации. Таким образом, в одном списке могут быть как пользователи, созданные вручную, так и добавленные с помощью LDAP-синхронизации.

Пример учетных записей пользователей Altium Concord Pro, добавленных с помощью LDAP-синхронизации.
Пример учетных записей пользователей Altium Concord Pro, добавленных с помощью LDAP-синхронизации.

If you find an issue, select the text/image and pressCtrl + Enterto send us your feedback.
Content