- Технологический стек
- Установка и настройка MULTIDIRECTORY
- Настройка Kerberos в WEB-интерфейсе MULTIDIRECTORY
- Настройка DNS в WEB-интерфейсе MULTIDIRECTORY
- Настройка доверия в MULTIDIRECTORY
- Групповые политики
- Подключение MULTIFACTOR SelfService Portal к MULTIDIRECTORY
- Управление пользователями, группами и ресурсами
- Подключение к MULTIFACTOR
- Политики доступа
- Схема LDAP
- Журналирование событий
- Парольные политики
- Роли и полномочия
- LDAP-аутентификация в Пассворк
- LDAP-аутентификация в Ansible AWX
- LDAP-аутентификация в ArgoCD
- LDAP-аутентификация в Authelia
- LDAP-аутентификация в BearPass
- LDAP-аутентификация в DeepMail
- LDAP-аутентификация в ELMA365
- LDAP-аутентификация в FreePBX
- LDAP-аутентификация в GitLab
- LDAP-аутентификация в Grafana
- LDAP-аутентификация в IVA MCU
- LDAP-аутентификация в Jenkins
- LDAP-аутентификация в Jira
- LDAP-аутентификация в Keycloak
- LDAP-аутентификация в Kerio Connect
- LDAP-аутентификация в Kibana
- LDAP-аутентификация в Harbor
- LDAP-аутентификация в S3 MinIO
- LDAP-аутентификация в Nexus
- LDAP-аутентификация на Nextсloud
- LDAP-аутентификация на OpenVPN
- LDAP-аутентификация на ownCloud
- LDAP-аутентификация в PostgreSQL
- LDAP-аутентификация в Rancher
- LDAP-аутентификация в RuPost
- LDAP-аутентификация в Seafile
- LDAP-аутентификация в Snipe-IT
- LDAP-аутентификация на SSH клиенте
- LDAP-аутентификация в TrueConf
- LDAP-аутентификация на UserGate клиенте
- LDAP-аутентификация в Vault
- LDAP-аутентификация в Zabbix
- LDAP-аутентификация в Zimbra
Настройка расширенной схемы LDAP
Общая информация
Интерфейс MULTIDIRECTORY обеспечивает функциональные возможности для создания и управления пользовательскими объектными классами и атрибутами в рамках схемы LDAP. Администратор имеет полномочия для определения новых атрибутов и их привязки к соответствующим сущностям, что позволяет гибко настраивать и расширять структуру данных в соответствии с требованиями системы.
Для перехода в меню настройки схемы, вам необходимо перейти в главный каталог (где находится список каталогов). Выбрать значок шестеренки в правом верхнем углу -> «Настройки схемы».
Настройка расширенной схемы LDAP
Сущности
Сущность — это экземпляр класса объекта, описанный в схеме LDAP, с набором определённых атрибутов, которые соответствуют правилам этого класса. В системе присутствуют неизменяемые (системные), наборы сущностей.
Описание сущностей:
- Computer — объект компьютера в домене.
- Container – общий контейнер для хранения других объектов.
- Domain — основная сущность LDAP-директории, представляющая корневой домен.
- Group — групповой объект (объединение пользователей и других объектов в LDAP).
- KRB Container — контейнер для хранения объектов Kerberos.
- KRB Principal — основной объект Kerberos, представляющий пользователя или сервис.
- KRB Realm Container — контейнер, описывающий Kerberos Realm.
- Organizational Unit (OU) — логическое деление внутри домена. Позволяет структурировать объекты по отделам, филиалам и т.п.
- User – пользователь (представляет собой учётную запись сотрудника или сервиса. Используется для аутентификации и авторизации).
Классы объектов
Object Classes (класс объекта) — это центральная часть LDAP-схемы, которая определяет типы объектов и какие атрибуты к ним применимы.
Примеры классов:
- user — шаблон для пользователя.
- person — шаблон для человека.
- domain — шаблон для домена.
- country — шаблон для страны.
- krbContainer — шаблон для Kerberos-контейнера.
Каждый класс объекта содержит набор атрибутов, которые можно (или нужно) указывать при создании объекта.
Для добавления класса объекта, выберете «Классы объектов» -> «Добавить».
Описание настроек:
- oid — это как уникальный ID этого класса, известный системе;
- пример:
(1.3.6.1.4.1.9999.1.1)- name – имя класса;
- пример:
user,person,myCustomObject- kind – определение типа класса объекта в LDAP. Влияет на то, как этот класс можно использовать при создании записей (объектов);
- Auxiliary — добавляет дополнительные атрибуты к объекту, но сам по себе не может быть единственным классом
- Structural — основной тип класса, из которого можно создавать объекты в каталоге.
У каждого объекта может быть только один structural-класс- Abstract — базовый класс, от которого наследуются другие классы
В созданном классе, можно настроить следующие параметры:
Вкладка Атрибуты — список для атрибутов, которые будут ассоциированы с классом объекта. Его можно наполнить системными или созданными атрибутами.
Класс объекта ДОЛЖЕН иметь / Класс объекта МОЖЕТ иметь — поля для указания обязательных (Должен) и необязательных (Может) классов, от которых наследуется текущий класс объекта в LDAP-схеме. Это определяет иерархию и структуру данных.
Вхождения, в контексте LDAP-схемы вкладка «Вхождения» используется для управления экземплярами (вхождениями) определенного класса объекта в дереве каталога.
Атрибуты
Атрибут — это элемент данных, который описывает свойства объекта в каталоге. Каждый объект (например, пользователь, группа или устройство) состоит из набора атрибутов, которые имеют имя и значение (или несколько значений).
Атрибуты составляют структуру данных в LDAP и используются для поиска, аутентификации и управления объектами в каталоге
Описание настроек:
- oid — это как уникальный ID этого класса, известный системе;
- пример:
(1.3.6.1.4.1.9999.1.1);- name – имя класса;
- single_value – определение типа класса объекта в LDAP. Влияет на то, как этот класс можно использовать при создании записей (объектов).
Вопросы и ответы
Вопрос: почему нельзя удалить системные «классы обьектов» и атрибуты?
Ответ
Удалять системные (стандартные) объектные классы и атрибуты в LDAP нельзя по нескольким важным причинам, которые касаются как технической, так и логической целостности каталога:
- Нарушение стандартной схемы LDAP
- системные объектные классы и атрибуты являются частью базовой схемы LDAP, которая определяет структуру, поведение и совместимость каталога.
- их удаление может привести к некорректной работе клиента LDAP или нарушению совместимости с другими системами.
- Зависимости между объектами
Многие другие классы и сущности в каталоге наследуют системные объектные классы или используют встроенные атрибуты.
Удаление приведёт к разрушению этих связей, в результате чего:
- объекты перестанут соответствовать своей схеме;
- появятся ошибки при чтении или модификации записей;
- возможна потеря доступа к критическим записям.
- Нарушение работы службы каталогов
LDAP-серверы (например, Active Directory) зависит от стандартных классов и атрибутов для своей работы:
organizationalUnit,person,top,cn,sn,uid— всё это основы схемы.- их отсутствие вызовет сбой в инициализации сервиса, его репликации, авторизации и других критически важных функций.
Вопрос: как создать, назначить атрибут на «класс объекта» и «класс объекта» назначить на сущность?
Ответ
что бы назначить атрибут, на системном или созданном объекте, например
user, выполните следующие действия:
- перейдите в корневой каталог MULTIDIRECTORY;
- перейдите, нажав «шестеренку» в правом верхнем углу → Настройки схемы;
- выберите вкладку Атрибуты → Добавить, ввести нужные данные в поля;
- выберите вкладку Классы объектов → Добавить, ввести нужные данные в поля →
после выберите Сущность ДОЛЖНА/МОЖЕТ иметь созданный ранее атрибут → Готово;- выберите сущность, на которую будет “навешан” вновь созданный объект.
Вопрос: как назначить атрибут, на объект в MULTIDIRECTORY?
Ответ
что бы назначить атрибут, на любой выбранный объект в
MULTIDIRECTORY, выполните следующие действия:
- перейдите в корневой каталог MULTIDIRECTORY;
- выберите интересующий вас объект, которому необходимо добавить атрибут;
- перейдите во вкладку Атрибуты. Прокрутите вниз и выберите вкладку Фильтр.
В появившимся окне, выберите «Показать только атрибуты, доступные для записи».
После данных действий, появится список активных атрибутов, которые можно добавить на объект.
