Инструкция по настройке LDAP-аутентификации в zVirt

Краткое описание

В статье описывается настройка LDAP-аутентификации в zVirt, где поставщиком учетных записей является MULTIDIRECTORY.

Требование для настройки

• Установленная служба каталогов MULTIDIRECTORY.
• Предустановленный zVirt.

Подготовка к настройке

• Создайте сервисную учетную запись в MULTIDIRECTORY, у которой будут права на чтение каталога.

Конфигурация zVirt

Для настройки перейдите в веб-интерфейс zVirt, выполните следующие шаги:

Перейдите в «Портал Keycloak».

Перейдите в раздел «Федерация пользователей» и нажмите на кнопку «Добавить Ldap провайдера».

Чтобы подключиться к LDAP и настроить профиль, укажите «Имя в консоли», «Провайдер», «URL-соединения», «STARTTLS», «Использование Truststore SPI», «Пул соединений», «Таймаут соединения». Нажмите на кнопку «Проверка соединения» для проверки успешности подключения.

Описание полей

• Имя в консоли — оотображаемое имя провайдера LDAP в интерфейсе Keycloak.
• Провайдер— тип LDAP-сервера, выберите Active Directory.
• URL-соединения — адрес и протокол подключения к LDAP-серверу.

Заполните «Тип аутентификации», «Сопоставление DN», «Привязка учетных данных» и нажмите на кнопку «Проверка аутентификации» для проверки успешного подключения к LDAP.

Описание полей

• Тип аутентификации — метод аутентификации при подключении к LDAP-серверу. Для MULTIDIRECTORY используется значение simple.
• Сопоставление DN — Укажите учетную запись с правами чтения каталога.
• Привязка учетных данных — пароль сервисной учетной записи, указанной в поле «Сопоставление DN».

Перейдите в поиск и обновление по LDAP и заполните параметры.

Описание полей

• Режим редактирования — определяет возможность изменения данных через LDAP. Для интеграции с MULTIDIRECTORY выберите READ_ONLY, так как запись данных в каталог не требуется.
• Пользователи DN — путь (Base DN) в дереве LDAP, где находятся учетные записи пользователей.
• Атрибут имени пользователя в LDAP — атрибут, значение которого будет использоваться в качестве логина при входе в систему.
• Атрибут RDN в LDAP — атрибут, используемый в относительном различающемся имени (RDN) для построения DN записи.
• Атрибут UUID в LDAP — атрибут, содержащий уникальный идентификатор объекта.
• Классы объектов пользователя — список классов объектов LDAP, которые определяют запись как пользователя.
• Поиск области — глубина поиска в дереве LDAP. Значение «Поддерево» (Subtree) выполняет поиск во всех вложенных подразделениях. «Одноуровневый» (One Level) ищет только на указанном уровне.

Перейдите в раздел «Настройки синхронизации» и настройте его.

Описание полей

• Импортировать пользователей — включает автоматический импорт пользователей из LDAP в базу данных Keycloak при их первой аутентификации. Рекомендуется включить.
• Синхронизация регистраций — определяет, будут ли синхронизироваться изменения атрибутов пользователей (например, имени, фамилии, email) при каждой аутентификации. Рекомендуется включить.
• Количество LDAP-пользователей — количество пользователей, синхронизируемых за один цикл. Оставьте значение по умолчанию (1000).
• Периодическая полная синхронизация — включает регулярную полную синхронизацию всех пользователей из LDAP с базой данных Keycloak. Для рабочего окружения рекомендуется включить с периодичностью 86400 секунд (раз в сутки).
• Периодическая синхронизация изменений пользователей — включает синхронизацию только измененных объектов с использованием атрибута uSNChanged. Для MULTIDIRECTORY оставьте выключенным, так как данный механизм не поддерживается.

Перейдите в раздел «Интеграция с Kerberos», «Настройки кэша» и  «Дополнительные» и настройте. Дополнительно можно запросить поддерживаемые расширения. После заполнения всех полей нажмите «Сохранить»

Описание полей

• Аутентификация Kerberos — включает возможность аутентификации пользователей через протокол Kerberos.
• Использование Kerberos для аутентификации по паролю — позволяет использовать Kerberos для проверки пароля при стандартной аутентификации.
• Политика кэширования — определяет стратегию кэширования данных пользователей. Значение DEFAULT использует стандартные настройки кэширования Keycloak.
• Расширенная операция изменения пароля LDAPv3 — включает возможность смены пароля через LDAP-сервер с использованием расширенной операции LDAPv3. Оставьте выключенным.
• Проверка политики паролей — включает проверку паролей пользователей на соответствие политике паролей LDAP-сервера. Оставьте выключенным.
• Подтверждение e-mail — включает проверку подтверждения email-адресов пользователей. Оставьте выключенным.

После во вкладке «Федерация пользователей» появится каталог MULTIDIRECTORY.

Для настройки отображения всех доступных групп из MULTIDIRECTORY необходимо настроить сопоставление. Перейдите в меню «Федерация пользователей» и выберите ранее настроенное LDAP-подключение

В открывшемся окне в верхней части экрана переключитесь на вкладку «Сопоставления» и нажмите кнопку «Добавить сопоставителя».

В окне создания сопоставления внесите «Наименование шаблона клиента» (оно должно быть уникально) и выберите «Тип сопоставления». Укажите расположение организационного подразделения, где хранятся группы безопасности, которые необходимо получить в интерфейсе.

Перейдите в «Группы» -> «Domain users» и нажмите на кнопку «Добавить члена», выберите пользователя, а также в «Сопоставления ролей» группы выберите «Realm management».

Перейдите в «Пользователи» и в выбранном пользователе MULTIDIRECTORY назначьте роль «Realm-admin».

Процесс аутентификации в Zvirt

Откройте веб-интерфейс Zvirt -> Keycloak.

Введите учетные данные пользователя из MULTIDIRECTORY

Заполните поля для входа в систему:
E-mail — используйте UPN (userPrincipalName) учетной записи.
Пароль — пароль от учетной записи указанной выше.

После успешной авторизации сервис доступен.