- Технологический стек
- Установка и настройка MULTIDIRECTORY
- Настройка Kerberos в WEB-интерфейсе MULTIDIRECTORY
- Настройка DNS в WEB-интерфейсе MULTIDIRECTORY
- Настройка доверия в MULTIDIRECTORY
- Групповые политики
- Подключение MULTIFACTOR SelfService Portal к MULTIDIRECTORY
- Управление пользователями, группами и ресурсами
- Подключение к MULTIFACTOR
- Политики доступа
- Схема LDAP
- Журналирование событий
- Парольные политики
- Роли и полномочия
- LDAP-аутентификация в Пассворк
- LDAP-аутентификация в Ansible AWX
- LDAP-аутентификация в ArgoCD
- LDAP-аутентификация в Authelia
- LDAP-аутентификация в BearPass
- LDAP-аутентификация в DeepMail
- LDAP-аутентификация в ELMA365
- LDAP-аутентификация в FreePBX
- LDAP-аутентификация в GitLab
- LDAP-аутентификация в Grafana
- LDAP-аутентификация в IVA MCU
- LDAP-аутентификация в Jenkins
- LDAP-аутентификация в Jira
- LDAP-аутентификация в Keycloak
- LDAP-аутентификация в Kerio Connect
- LDAP-аутентификация в Kibana
- LDAP-аутентификация в Harbor
- LDAP-аутентификация в S3 MinIO
- LDAP-аутентификация в Nexus
- LDAP-аутентификация на Nextсloud
- LDAP-аутентификация на OpenVPN
- LDAP-аутентификация на ownCloud
- LDAP-аутентификация в PostgreSQL
- LDAP-аутентификация в Rancher
- LDAP-аутентификация в RuPost
- LDAP-аутентификация в Seafile
- LDAP-аутентификация в Snipe-IT
- LDAP-аутентификация на SSH клиенте
- LDAP-аутентификация в TrueConf
- LDAP-аутентификация на UserGate клиенте
- LDAP-аутентификация в Vault
- LDAP-аутентификация в Zabbix
- LDAP-аутентификация в Zimbra
Инструкция по настройке LDAP-аутентификации в Keycloak
Краткое описание
В статье описывается настройка LDAP-аутентификации в Keycloak, где поставщиком учетных записей является MULTIDIRECTORY.
Требования для настройки
- Установленная служба каталогов MULTIDIRECTORY.
- Предустановленный Keycloak.
Подготовка к настройке
- Создайте сервисную учетную запись в
MULTIDIRECTORY, у которой будут права на чтение каталога. - Опционально выдайте данной учетной записи права на редактирование каталога, если вы хотите чтобы
Keycloakвносил изменение вMULTIDIRECTORY.
Настройка LDAP-аутентификации в Keycloak
Для настройки LDAP-аутентефикации в Keycloak перейдите в «Федерация пользователей» и в открывшемся меню выберите «Add Ldap providers».
Ниже представлены описание обязательных к заполнению полей и примеры их заполнения.
General options
- Наименование в консоли (UI display name) — отображаемое имя поставщика при подключении в пользовательском интерфейсе администратора.
- Поставщик (Vendor) — LDAP-вендор.
Connection and authentication settings
- URL соединения (Connection URL) — URL-адрес подключения к вашему LDAP-серверу (указывается в формате ldap://… или ldaps://…)
- Тип аутентефикации (Bind type) — тип метода аутентификации, используемого во время операции привязки по протоколу LDAP. Он используется в большинстве запросов, отправляемых на сервер LDAP. В настоящее время доступны только механизмы «none» (анонимная аутентификация не поддерживается в MULTIDIRECTORY) или «simple» (привязка учетных данных + привязка пароля).
- Сопоставление DN (Bind DN) — DN сервисной учетной записи LDAP, который будет использоваться
Keycloakдля доступа к серверу LDAP. У данной учетной записи должны быть права на чтение и запись всего каталого. - Bind credentials — пароль сервисной учетной записи, которая будет использоваться
Keycloakдля доступа к серверу LDAP. - Проверка аутентефикации (Test authentication) — происходит тестовый запрос к вашей службе каталогов.
LDAP searching and updating
- Режим редактирования (Edit mode) — поле выступает в формате выпадающего списка, которое позволяет по разному взаимодействовать с LDAP:
- READ_ONLY означает доступ только на чтение из LDAP;
- WRITABLE означает, что данные будут обратно синхронизированы в LDAP по заявке;
- UNSYNCED означает, что данные пользователя будут импортированы, но не синхронизированы обратно в LDAP.
- Пользователи DN (Users DN) — полное доменное имя дерева LDAP, в котором находятся ваши пользователи. Это доменное имя является родительским для пользователей LDAP.
- Атрибут Username в LDAP (Username LDAP attribute) — имя атрибута LDAP, которое отображается как имя пользователя
Keycloak. ДляMULTIDIRECTORYэто может быть «sAMAccountName» или «cn». Атрибут должен быть заполнен для всех записей пользователей LDAP, которые вы хотите импортировать из LDAP вKeycloak. - Атрибут RDN в LDAP (RDN LDAP attribute) — имя атрибута LDAP, который используется как RDN (верхний атрибут) обычного пользовательского DN. Обычно это то же самое, что и атрибут LDAP «Username», однако это не обязательно. Например, для
MULTIDIRECTORYобычно используется «cn» в качестве атрибута RDN, когда атрибутом username может быть «sAMAccountName». - Атрибут UUID в LDAP (UUID LDAP attribute) — имя атрибута LDAP, который используется в качестве уникального идентификатора объекта (UUID) для объектов в LDAP. Например, для
MULTIDIRECTORYэто должно быть «objectGUID». - Классы объектов пользователя (Usre object classes) — все значения атрибута LDAP «objectClass» для пользователей в LDAP, разделенные запятыми. Например: «organizationalPerson». Вновь созданные пользователи
Keycloakбудут записаны в LDAP со всеми этими классами объектов, а существующие записи пользователей LDAP будут найдены только в том случае, если они содержат все эти классы объектов.
После завершения настройки нажмите кнопку «Сохранить».
Сопоставления (Mappers)
Для настройки отображения всех доступных групп из MULTIDIRECTORY необходимо настроить сопоставление:
Перейдите в меню «Федерация пользователей» и выберите ранее настроенное LDAP-подключение.
В открывшемся окне в верхней части экрана переключитесь на вкладку «Сопоставления(Mappers)» и нажмите кнопку «Add mapper».
В окне создания сопоставления внесите «Наименование шаблона клиента» (оно должно быть уникально) и выберите «Тип сопоставления».
Укажите расположение организационного подразделения, где хранятся группы безопасности, которые необходимо получить в интерфйесе Keycloak.
