LDAP/Active Directory

ℹ️ О разделе

В этом разделе описывается интеграция IDENTYX с LDAP-серверами, включая Microsoft Active Directory и FreeIPA. Вы узнаете, как настроить домен для аутентификации, импортировать пользователей и автоматизировать процессы.

Обзор LDAP интеграции

IDENTYX поддерживает интеграцию с LDAP-серверами для централизованной аутентификации пользователей. Это позволяет:

  • Использовать существующие учетные записи — пользователи могут входить с доменными логинами и паролями
  • Автоматически создавать пользователей — при первом входе через домен учетная запись создается автоматически
  • Импортировать пользователей массово — выбрать из списка домена и добавить сразу группу пользователей
  • Автоматически распределять по группам — новые пользователи могут сразу добавляться в нужные группы и организации
  • Синхронизировать данные — отображаемые имена берутся из LDAP

Поддерживаемые LDAP серверы

🪟 Active Directory

Полная поддержка Microsoft Active Directory. Используется для корпоративных сетей Windows.

  • Аутентификация по domain\username
  • Аутентификация по username@domain.local
  • Поддержка LDAPS (порт 636)
  • Требуется сервисная учетная запись для поиска
🐧 FreeIPA/OpenLDAP

Поддержка FreeIPA и OpenLDAP для Linux-окружений.

  • Аутентификация по domain\username
  • Аутентификация по username@domain.local
  • Поддержка LDAPS (порт 636)
  • Поддержка анонимного поиска

Добавление LDAP домена

Основные настройки

Для добавления нового домена:

  1. Перейдите в раздел Настройки системыLDAP домены
  2. Нажмите кнопку "Добавить домен"
  3. Заполните основные поля:
Поле Описание Пример
Имя домена Отображаемое название домена в системе. Используется для идентификации. company.local
Адрес КД IP-адрес или DNS-имя контроллера домена (Domain Controller). 192.168.1.10 или dc01.company.local
ℹ️ Синхронизация имен

По умолчанию все внутренние имена домена синхронизируются с основным именем. Если требуется указать разные значения, установите флажок "Дополнительные параметры домена".

Дополнительные параметры домена

Если ваша инфраструктура требует разных имен для разных целей, активируйте дополнительные параметры:

Поле Назначение Формат
Локальный домен Короткое имя, используется при входе в формате domain\username COMPANY
LDAP домен Полное доменное имя (FQDN) для LDAP-соединения company.local

Локальный домен как синоним

Параметр "Локальный домен" может выступать в качестве синонима основного имени домена. Это дает две важные возможности:

1️⃣ Упрощение входа пользователей

Вместо длинного полного имени домена можно использовать короткий псевдоним:

  • Полное имя домена: ivanov@company-subsidiary-branch.local
  • Короткий синоним: COMPANY\ivanov или ivanov@company

Это значительно упрощает ввод логина для пользователей, особенно при длинных доменных именах.

2️⃣ Работа с доменами с одинаковыми именами

Если в вашей инфраструктуре есть несколько доменов с одинаковым полным именем (например, разные филиалы с одним и тем же доменом company.local), настройка локального домена позволяет:

  • Добавить оба домена в IDENTYX
  • Задать каждому уникальный локальный домен (например, COMPANY1 и COMPANY2)
  • Пользователи смогут входить по своим именам: COMPANY1\ivanov и COMPANY2\petrov
  • Система будет корректно различать пользователей из разных доменов
ℹ️ Пример использования

Компания имеет два филиала с независимыми контроллерами домена, но оба используют имя домена company.local. В IDENTYX можно настроить:

  • Домен 1: Имя домена = company.local, Локальный домен = MOSCOW, Адрес КД = 192.168.1.10
  • Домен 2: Имя домена = company.local, Локальный домен = SPB, Адрес КД = 192.168.2.10

Теперь пользователи могут входить как MOSCOW\ivanov и SPB\petrov, и система будет обращаться к правильному контроллеру домена.

Учетная запись для подключения

Для работы с Active Directory требуется сервисная учетная запись, которая имеет права на чтение данных из домена:

Поле Описание
Логин Имя сервисной учетной записи. Может быть в формате username или DOMAIN\username
Пароль Пароль сервисной учетной записи
⚠️ Безопасность учетной записи

Рекомендуется создать выделенную сервисную учетную запись с минимальными правами — только на чтение пользователей из домена. Не используйте учетные записи администраторов домена.

ℹ️ FreeIPA/OpenLDAP

Для FreeIPA и OpenLDAP можно не указывать учетную запись, если сервер поддерживает анонимный поиск. В этом случае поля логина и пароля можно оставить пустыми.

Настройки LDAP

На вкладке "Основные настройки" укажите параметры подключения:

Параметр Описание
LDAP провайдер Выберите тип сервера: ActiveDirectory или FreeIpa/OpenLdap
LDAPS (порт 636) Использовать защищенное соединение через LDAPS вместо обычного LDAP (порт 389)
Не проверять сертификат Пропустить проверку SSL-сертификата сервера (доступно только при включенном LDAPS)
⚠️ Проверка сертификата

Опция "Не проверять сертификат" снижает безопасность соединения. Используйте её только для тестирования или если у вас самоподписанный сертификат на контроллере домена.

Аутентификация через LDAP

Форматы входа

Пользователи могут входить в систему используя один из следующих форматов:

📝 Формат domain\username

Стандартный формат Windows:

company\ivanov

Где company — это значение поля "Локальный домен" из настроек домена.

📧 Формат username@domain

Альтернативный формат:

ivanov@company.local

Где company.local — это значение поля "Локальный домен" из настроек домена.

ℹ️ Определение формата

Система автоматически определяет, какой формат использует пользователь. Если формат не распознан как доменный, происходит попытка локальной аутентификации.

Первый вход через LDAP

При первом входе пользователя через LDAP происходит следующее:

  1. Система проверяет, существует ли привязка пользователя LDAP к учетной записи в IDENTYX
  2. Если привязки нет и включена опция "Автоматически создавать пользователей":
    • Создается новая учетная запись в IDENTYX
    • Отображаемое имя берется из LDAP
    • Создается привязка к доменной учетной записи
    • Пользователь автоматически добавляется в указанные группы
    • Пользователь автоматически добавляется в указанные организации
  3. Если автоматическое создание отключено — вход запрещается
  4. При успешной аутентификации проверяется, разрешен ли пользователю вход через LDAP
⚠️ Блокировка учетной записи

Даже если пользователь успешно аутентифицировался в домене, вход будет запрещен, если его учетная запись в IDENTYX заблокирована.

Автоматизация

Автоматическое создание учетных записей

На вкладке "Автоматизация" в карточке домена можно настроить автоматическое создание пользователей при первом входе:

  1. Установите флажок "Автоматически создавать пользователей в системе, аутентифицировавшихся через домен"
  2. Выберите группы, в которые будут автоматически добавляться новые пользователи
  3. Если в системе есть организации, выберите организации для автоматического добавления
✅ Рекомендация

Создайте специальную группу для доменных пользователей (например, "Пользователи домена Company") и настройте автоматическое добавление в неё. Это упростит управление правами для всех пользователей из домена.

Автоматическое добавление в группы

После активации автоматического создания пользователей доступна настройка групп:

  • Используйте поле "Добавлять новых пользователей в группы"
  • Можно выбрать одну или несколько групп
  • Группы должны быть созданы заранее в разделе "Локальные группы"
  • При импорте пользователя он автоматически станет членом выбранных групп

Автоматическое добавление в организации

Если в системе используются организации, можно настроить автоматическое распределение:

  1. В разделе "Автоматическое добавление в организации" отобразится дерево организаций
  2. Отметьте галочками организации, в которые должны попадать новые пользователи
  3. Можно выбрать несколько организаций
  4. При первом входе пользователь будет автоматически назначен в выбранные организации
ℹ️ Дерево организаций

Галочки доступны только для конечных узлов дерева организаций (не имеющих дочерних элементов). Это сделано для точного распределения пользователей.

Принадлежность домена к организациям

На вкладке "Организации" можно указать, к каким организациям относится сам домен:

  • Это помогает организовать управление доменами по структурным подразделениям
  • Локальные администраторы смогут управлять только теми доменами, которые принадлежат к их организациям
  • Можно выбрать несколько организаций
ℹ️ Отличие от автодобавления

Принадлежность домена к организациям — это для управления доступом администраторов к настройкам домена. Автоматическое добавление в организации — это для пользователей, которые импортируются из этого домена.

Массовый импорт пользователей

Просмотр пользователей домена

Чтобы просмотреть список пользователей в домене:

  1. Перейдите в раздел ПользователиЛокальные пользователи
  2. Нажмите кнопку "Массовый импорт" или аналогичную кнопку для импорта
  3. Выберите домен из списка
  4. Система подключится к домену и загрузит список пользователей
ℹ️ Время загрузки

Загрузка списка пользователей может занять некоторое время в зависимости от размера домена и скорости сети. Обычно это занимает от нескольких секунд до минуты.

Импорт выбранных пользователей

После загрузки списка пользователей:

  1. Отметьте галочками пользователей, которых нужно импортировать
  2. Выберите группы, в которые будут добавлены пользователи (необязательно)
  3. Выберите организации, в которые будут добавлены пользователи (необязательно, если организации включены)
  4. Нажмите кнопку "Импортировать" или "Создать"

Система выполнит следующие действия для каждого выбранного пользователя:

  • Проверит, не существует ли уже привязка к этому доменному пользователю
  • Если пользователь уже импортирован — пропустит его
  • Создаст новую учетную запись с отображаемым именем из LDAP
  • Создаст привязку к доменной учетной записи
  • Добавит в выбранные группы
  • Добавит в выбранные организации
  • Разрешит вход через LDAP
✅ Результат импорта

После завершения импорта система отобразит количество успешно импортированных и пропущенных пользователей. Если были ошибки, они будут перечислены отдельно.

⚠️ Дубликаты

Если пользователь с такой доменной учетной записью уже существует в системе, он будет пропущен при импорте. Система проверяет связку по домену и имени пользователя в LDAP.

Привязка LDAP учетной записи

Что такое привязка

Привязка — это связь между учетной записью в IDENTYX и учетной записью в домене LDAP. Привязка содержит:

  • ID домена — идентификатор домена в IDENTYX
  • Имя пользователя в домене — логин в LDAP
  • Отображаемое имя — полное имя из LDAP

Привязка создается автоматически при:

  • Первом входе пользователя через LDAP (если включено автосоздание)
  • Массовом импорте пользователей из домена

Правила привязки

  • Одна учетная запись IDENTYX может быть привязана только к одной доменной учетной записи конкретного домена
  • Привязка уникальна по связке: домен + имя пользователя в LDAP
  • При повторном входе система ищет существующую привязку для аутентификации
  • Если привязка найдена, пользователь аутентифицируется в домене и получает доступ к IDENTYX

Синхронизация данных из LDAP

Отображаемое имя

При создании пользователя через LDAP (первый вход или импорт) отображаемое имя автоматически берется из LDAP. Обычно это поле displayName или cn (Common Name).

ℹ️ Обновление имени

В текущей версии отображаемое имя синхронизируется только при создании пользователя. Если имя изменилось в LDAP, оно не обновится автоматически в IDENTYX. Администратор может изменить его вручную в профиле пользователя.

Генерация имени пользователя

При автоматическом создании пользователя из LDAP:

  • В IDENTYX создается учетная запись со случайно сгенерированным именем пользователя (username)
  • Этот username не используется для входа — вход происходит через доменное имя
  • Пароль также генерируется случайный и не может быть использован для входа
  • Вся аутентификация идет через LDAP домен

Разрешения на вход

Разрешение входа через LDAP

Для каждого пользователя можно управлять тем, разрешен ли ему вход через LDAP:

  1. Откройте карточку пользователя в разделе Локальные пользователи
  2. На вкладке "Методы аутентификации" или в соответствующем разделе найдите опцию "Разрешить вход через LDAP"
  3. Установите или снимите флажок
⚠️ Блокировка LDAP входа

Если снять разрешение на вход через LDAP, пользователь не сможет войти используя доменную учетную запись, даже если пароль в домене правильный. Это позволяет временно заблокировать доступ без удаления привязки.

Работа с несколькими доменами

IDENTYX поддерживает подключение нескольких LDAP доменов одновременно:

  • Добавьте каждый домен отдельно в разделе LDAP домены
  • Укажите уникальные имена доменов
  • Пользователи из разных доменов могут одновременно работать в системе
  • При входе пользователь указывает, из какого домена он входит (через формат domain\username)
ℹ️ Разграничение доступа

Если в системе используются организации, можно привязать разные домены к разным организациям. Локальные администраторы будут видеть и управлять только доменами своих организаций.

Ограниченное администрирование

Локальные администраторы (пользователи с правом на ограниченное администрирование конкретных организаций) имеют следующие возможности с LDAP доменами:

  • Просмотр доменов — видят только домены, привязанные к их организациям
  • Просмотр пользователей домена — могут загружать список пользователей из доменов своих организаций
  • Импорт пользователей — могут импортировать пользователей только в свои организации
  • Ограничения — не могут создавать, редактировать или удалять домены (требуются права супер-администратора)
⚠️ Права супер-администратора

Создание, редактирование и удаление LDAP доменов доступно только пользователям с правами супер-администратора IAM.

Безопасность

Безопасное подключение

Для защиты данных рекомендуется:

  • Использовать LDAPS — включите опцию "LDAPS (порт 636)" для шифрования соединения
  • Проверять сертификат — не отключайте проверку сертификата в производственной среде
  • Использовать выделенную учетную запись — создайте специальную сервисную учетную запись с минимальными правами
  • Регулярно менять пароли — периодически обновляйте пароль сервисной учетной записи

Безопасность паролей

При аутентификации через LDAP:

  • Пароль пользователя передается на контроллер домена для проверки
  • IDENTYX не сохраняет и не кэширует доменные пароли
  • Политики паролей управляются на стороне домена
  • При использовании LDAPS пароль передается в зашифрованном виде

Решение проблем

Проблемы подключения

Проблема Возможные причины Решение
Не удается подключиться к контроллеру домена
  • Неверный адрес КД
  • Сетевые проблемы
  • Firewall блокирует порт
  • Проверьте доступность КД командой ping
  • Убедитесь, что порт 389 (LDAP) или 636 (LDAPS) открыт
  • Попробуйте указать IP вместо DNS имени
Ошибка аутентификации сервисной учетной записи
  • Неверный логин или пароль
  • Учетная запись заблокирована
  • Истек срок действия пароля
  • Проверьте логин и пароль
  • Убедитесь, что учетная запись активна в домене
  • Попробуйте войти с этой УЗ на другой машине в домене
Список пользователей не загружается
  • Недостаточно прав у сервисной УЗ
  • Неверная структура домена
  • Таймаут соединения
  • Убедитесь, что сервисная УЗ имеет права на чтение пользователей
  • Проверьте, что указан правильный LDAP провайдер
  • Увеличьте таймаут (если возможно)

Проблемы с LDAPS

Проблема Решение
Ошибка проверки сертификата
  • Временно включите "Не проверять сертификат" для тестирования
  • Установите корневой сертификат CA домена на сервер IDENTYX
  • Убедитесь, что сертификат КД не истек
LDAPS не работает, LDAP работает
  • Убедитесь, что на КД настроен сертификат для LDAPS
  • Проверьте, что порт 636 открыт
  • Попробуйте подключиться с помощью утилиты ldapsearch

Проблемы с аутентификацией

Проблема Возможная причина Решение
Пользователь не может войти с доменной УЗ
  • Нет привязки
  • Отключено автосоздание
  • Запрещен вход через LDAP
  • УЗ заблокирована
  • Проверьте, есть ли у пользователя привязка к домену
  • Включите автоматическое создание пользователей в настройках домена
  • Проверьте флажок "Разрешить вход через LDAP" в профиле
  • Убедитесь, что учетная запись не заблокирована
Домен не распознается при входе Неверный формат или имя домена
  • Проверьте правильность написания имени домена
  • Используйте формат domain\username или username@domain
  • Убедитесь, что поле "Локальный домен" совпадает с тем, что вводит пользователь

Рекомендации

🔐 Безопасность
  • Всегда используйте LDAPS в производственной среде
  • Создайте выделенную сервисную учетную запись с минимальными правами
  • Регулярно проверяйте журнал событий на подозрительную активность
  • Не отключайте проверку сертификата без необходимости
⚙️ Настройка
  • Включите автоматическое создание пользователей для удобства
  • Настройте автодобавление в базовые группы
  • Используйте организации для разграничения доменов
  • Тестируйте подключение на одном пользователе перед массовым импортом
👥 Управление пользователями
  • Используйте массовый импорт для быстрого добавления группы пользователей
  • Создайте отдельные группы для пользователей из разных доменов
  • Настройте права доступа на уровне групп, а не отдельных пользователей
  • Периодически проверяйте, что все нужные пользователи импортированы
📊 Мониторинг
  • Проверяйте журнал событий на успешные и неудачные попытки входа через LDAP
  • Следите за работоспособностью соединения с контроллерами домена
  • Регулярно обновляйте список пользователей при изменениях в домене
  • Используйте алерты при множественных неудачных попытках аутентификации
✅ Готовы продолжить?

Теперь, когда вы настроили LDAP интеграцию, переходите к разделу Российские OAuth провайдеры для настройки входа через Сбер ID, VK ID, Яндекс ID и ЕСИА.