Интеграция бэкенда продукта с LDAP-сервером

Интеграция бэкенда продукта с LDAP-сервером позволяет организовать централизованное управление учетными данными пользователей и ресурсами.

Чтобы включить интеграцию, выполните шаги:

  1. Задайте настройки подключения к LDAP-серверу в конфигурационном файле application.properties.

  2. Выполните настройку импорта данных пользователей в пользовательском интерфейсе администратора.

  3. Выполните настройку импорта данных устройств в пользовательском интерфейсе администратора.

Настройка подключения к LDAP-серверу

При установке или последующей настройке продукта в конфигурационном файле application.properties каталога /opt/inno-lcm-core задайте настройки подключения к LDAP-серверу.

Пример:

lcm.inventory.ldap.datasource[0].name=lcm-1583.terra.inno.tech
lcm.inventory.ldap.datasource[0].host=10.6.32.204
lcm.inventory.ldap.datasource[0].port=636
lcm.inventory.ldap.datasource[0].username=Administrator@lcm-1583.terra.inno.tech
lcm.inventory.ldap.datasource[0].password=Welkom123
lcm.inventory.ldap.datasource[0].ssl=true
lcm.inventory.ldap.datasource[0].ssl-certificate=/opt/inno-lcm-core/samba_cert.pem
lcm.inventory.ldap.datasource[0].connect-timeout-millis=10000
lcm.inventory.ldap.datasource[0].response-timeout=10000
lcm.inventory.ldap.datasource[0].abandon-on-timeout=true
lcm.inventory.ldap.datasource[0].allow-concurrent-socket-factory-use=true
lcm.inventory.ldap.search-page-size=200

Где:

Наименование Описание Значение по умолчанию Пример значения

lcm.inventory.ldap.datasource[0].name

Название источника данных (например, имя домена)

lcm-1583.terra.inno.tech

lcm.inventory.ldap.datasource[0].host

IP-адрес или сетевое имя контроллера домена

10.6.32.204

lcm.inventory.ldap.datasource[0].port

Порт для соединения по протоколу LDAP. Опциональный параметр

389; для LDAP over SSL обычно используется порт 636

636

lcm.inventory.ldap.datasource[0].username

Имя пользователя для подключения к домену LDAP-сервера.

Может быть указано в одном из следующих форматов:

  • <имя_пользователя>@<имя домена>, например, ivanov@INNO;

  • пользователь в формате LDAP, например, CN=ivanov,CN=Users,DC=inno,DC=local

Administrator@lcm-1583.terra.inno.tech

lcm.inventory.ldap.datasource[0].password

Пароль пользователя для подключения к домену LDAP-сервера

Welkom123

lcm.inventory.ldap.datasource[0].ssl

Параметр, отвечающий за соединение по протоколу LDAP over SSL (LDAPS).

Возможные значения:

  • false — соответствует выключенному протоколу LDAPS, используется обычный LDAP;

  • true — соответствует включенному протоколу LDAPS, требует наличия файла с сертификатом для SSL-соединения (задается отдельным параметром);

  • trust-all — соответствует включенному протоколу LDAPS, принимает любые сертификаты без подтверждения.

Опциональный параметр

false

true

lcm.inventory.ldap.datasource[0].ssl-certificate

Относительный или абсолютный путь к файлу с сертификатом на на сервере, где установлен бэкенд продукта для подключения через LDAPS. Опциональный параметр

certificate.pem

/opt/inno-lcm-core/samba_cert.pem

lcm.inventory.ldap.datasource[0].connect-timeout-millis

Максимальная длительность подключения к LDAP-серверу в миллисекундах. Значение 0 означает бесконечное ожидание. Опциональный параметр

10000

10000

lcm.inventory.ldap.datasource[0].response-timeout

Максимальная длительность выполнения запроса к LDAP-серверу в миллисекундах. Значение 0 означает бесконечное ожидание. Опциональный параметр

10000

10000

lcm.inventory.ldap.datasource[0].abandon-on-timeout

Параметр, который отвечает за освобождение соединения в случае превышения максимальной длительности ожидания запроса. Возможные значения: true и false. Опциональный параметр

true

true

lcm.inventory.ldap.datasource[0].allow-concurrent-socket-factory-use

Параметр, указывающий, разрешать ли использование экземпляра фабрики сокетов (который может совместно использоваться несколькими соединениями) для одновременного создания нескольких сокетов

true

true

lcm.inventory.ldap.search-page-size

Максимальное количество пользователей, которое будет возвращаться в ответ на один запрос синхронизации с LDAP-сервером. Чем больше значение, тем больше данных LDAP-серверу необходимо обработать в рамках одного запроса. Чем меньше значение, тем дольше будет выполняться синхронизация

200

200

Нумерация массива lcm.inventory.ldap.datasource начинается с 0.

Параметры подключения к домену №2 аналогичны параметрам домена №1.

Пример:

lcm.inventory.ldap.datasource[1].name=lcm-1584.terra.inno.tech
lcm.inventory.ldap.datasource[1].host=10.6.32.205
lcm.inventory.ldap.datasource[1].port=636
lcm.inventory.ldap.datasource[1].username=Administrator@lcm-1583.terra.inno.tech
lcm.inventory.ldap.datasource[1].password=Welkom123
lcm.inventory.ldap.datasource[1].ssl=true
lcm.inventory.ldap.datasource[1].ssl-certificate=/opt/inno-lcm-core/samba_cert.pem
lcm.inventory.ldap.datasource[1].connect-timeout-millis=10000
lcm.inventory.ldap.datasource[1].response-timeout=10000
lcm.inventory.ldap.datasource[1].abandon-on-timeout=true
lcm.inventory.ldap.datasource[1].allow-concurrent-socket-factory-use=true

Настройка импорта учетных данных пользователей c сервера LDAP в БД продукта

Параметры импорта пользователей с сервера LDAP в БД продукта задаются посредством графического интерфейса администратора. Администратор настраивает отдельно для каждого LDAP-сервера (источника):

  • включение/выключение импорта;

  • расписание синхронизации;

  • набор папок внутри LDAP-структуры;

  • фильтры для извлечения пользователей.

Подробную информацию см. в разделе «Инвентаризация пользователей».

Импортируемые данные пользователей

После того как будут выполнены настройки подключения и расписания, в БД продукта в таблицы users и user_groups по заданному расписанию будут импортироваться следующие данные о пользователях домена и их группах:

Параметр на LDAP-сервере Параметр в БД Описание

objectGUID

users.id

Уникальный идентификатор пользователя

sAMAccountName

users.login

Имя пользователя для входа в систему (Логин)

userAccountControl

true

Указывает, что учетная запись пользователя выключена

userPrincipalName

users.domain_full_name

Полное доменное имя пользователя (например, ivanov@inno.tech или petrov@samara.vtb.ru)

userPrincipalName (подстрока)

users.domain

Имя домена в короткой форме записи (например, inno.tech или samara.vtb.ru)

mail

users.email

Адрес электронной почты

cn

users.common_name

Общее имя пользователя

name

users.first_name

Короткое имя пользователя

givenName

users.given_name

Имя пользователя

sn

users.last_name

Фамилия пользователя

displayName

users.display_name

Отображаемое имя пользователя

title

users.title

Должность пользователя

department

users.department

Отдел, в котором работает пользователь

company

users.company

Подразделение, в котором работает пользователь

memberOf

user_groups.group_name

Группы пользователя, связь один к многим

Настройка импорта данных устройств c сервера LDAP в БД продукта

Параметры импорта данных устройств с сервера LDAP в БД продукта задаются посредством графического интерфейса администратора. Администратор настраивает отдельно для каждого LDAP-сервера (источника):

  • включение/выключение импорта;

  • расписание синхронизации.

Подробную информацию см. в разделе «Инвентаризация устройств».

Импортируемые данные устройств

После того как будут выполнены настройки подключения и расписания, в БД продукта в таблицы machines, machine_networks, machine_disks и user_machine_mappings по заданному расписанию будут импортироваться следующие данные устройств:

Параметр АРМ из ответа модуля координации Параметр в БД Описание

id

machines.minion_id

Идентификатор устройства

nodename

machines.node_name

Короткое имя устройства (NetBIOS name)

fqdn

machines.fqdn

Полное доменное имя устройства

fqdn_ip4

machines.domain_ip

Набор доменных адресов IPv4

domain

machines.domain

Имя домена

num_cpus

machines.cpu_num

Количество ядер процессора

cpu_model

machines.cpu_model

Модель процессора

cpuarch

machines.cpu_arc

Архитектура процессора

mem_total

machines.ram

Объем ОЗУ

swap_total

machines.swap

Общий физический размер свопинга

hwaddr_interfaces

machine_networks.mac

Физические адреса сетевого оборудования (MAC)

ip4_gw

machines.ip4_gw

Шлюз Ipv4

ip4_interfaces

machine_networks.ipv4_list

Сетевые интерфейсы IPv4

ip6_interfaces

machine_networks.ipv6_list

Сетевые интерфейсы IPv6

ssds

machine_disks

Диски SSD

disks

machines.machine_disks

Диски HDD

serialnumber

machines.serial_number

Серийный номер устройства

kernel

machines.kernel

Ядро ОС

kernelrelease

machines.kernel_release

Релиз ядра ОС

lsb_distrib_codename

machines.distrib_codename

Код дистрибутива ОС

lsb_distrib_description

machines.os_description

Описание версии ОС

oscodename

machines.os_codename

Код версии ОС

osarch

machines.cpu_arc

Архитектура ОС

osfullname

machines.os_fullname

Полное наименование ОС

osmajorrelease

machines.os_major_release

Мажорная версия релиза ОС

osrelease

machines.os_release

Версия релиза ОС

saltversion

machines.salt_version

Версия SaltStack на агенте (minion)

master

machines.salt_master

Имя сервера управления (master)

pythonversion

machines.python_version

Версия Python для SaltStack на агенте (minion)

_stamp

machines.updated_at

Дата и время актуализации характеристик