Инструкция по настройке LDAP-аутентификации в Authelia

Краткое описание

В статье описывается настройка LDAP-аутентификации в Authelia, где поставщиком учетных записей является MULTIDIRECTORY.

Требования для настройки

• Установленная служба каталогов MULTIDIRECTORY.

• Предустановленный Autheliat.

Подготовка к настройке

• Создайте сервисную учетную запись в MULTIDIRECTORY, у которой будут права на чтение каталога.

Минимальная конфигурация серверной части Autheliat:

/authelia/examples/compose/local/authelia/configuration.yml  # Файл конфигурации Autheliat

В конфигурационном файле измените данный блок: authentication_backend

authentication_backend:
  ldap:
    address: 'ldap://192.168.1.2'
    implementation: 'custom'
    timeout: '5s'
    start_tls: false
    pooling:
      enable: false
      count: 5
      retries: 2
      timeout: '10s'
    base_dn: 'DC=md,DC=loc'
    additional_users_dn: 'OU=users'
    users_filter: '(&({username_attribute}={input})(objectClass=user))'
    additional_groups_dn: 'OU=groups'
    groups_filter: '(&(member={dn})(objectClass=group))'
    group_search_mode: 'filter'
    permit_referrals: false
    permit_unauthenticated_bind: false
    permit_feature_detection_failure: false
    user: 'CN=admin,OU=users,DC=md,DC=loc'
    password: 'PASSWORD'
    attributes:
      distinguished_name: 'distinguishedName'
      username: 'uid'
      display_name: 'displayName'
      family_name: 'cn'
      given_name: 'givenName'
      middle_name: 'middleName'
      nickname: ''
      gender: ''
      birthdate: ''
      website: 'webpage'
      profile: ''
      picture: ''
      zoneinfo: ''
      locale: ''
      phone_number: 'telephoneNumber'
      phone_extension: ''
      street_address: ''
      locality: ''
      region: ''
      postal_code: ''
      country: ''
      mail: 'mail'
      member_of: 'memberOf'
      group_name: 'cn'
      extra:
        extra_example:
          name: ''
          multi_valued: false
          value_type: 'string'

Описание полей

• address — IP-адрес сервера MULTIDIRECTORY, к которому выполняется подключение.
• base_dn — базовый Distinguished Name (DN), от которого начинается поиск пользователей и групп.
• additional_users_dn — дополнительный DN-путь для поиска пользователей (например, отдельные OU).
• users_filter — LDAP-фильтр, задающий правила поиска учетных записей пользователей.
• additional_groups_dn — дополнительный DN-путь для поиска групп.
• groups_filter — LDAP-фильтр, задающий правила поиска групп.
• permit_unauthenticated_bind — разрешает анонимное подключение к каталогу (рекомендуется только для тестовых или небезопасных сценариев).
• user — DN сервисной учетной записи, имеющей права чтения каталога и используемой для подключения к LDAP.
• password — пароль от сервисной учетной записи.
• attributes — сопоставление LDAP-атрибутов с полями пользователя в системе (опционально):
  • distinguished_name — полный DN пользователя.
  • username — уникальное имя для входа.
  • display_name — отображаемое имя.
  • family_name — фамилия или общее имя.