Alauda Container Platform
Русский

Управление LDAP

Администраторы платформы могут добавлять, обновлять и удалять LDAP-сервисы на платформе.

Содержание

Обзор LDAP

LDAP (Lightweight Directory Access Protocol) — это зрелый, гибкий и хорошо поддерживаемый стандартный механизм взаимодействия с директориями. Он организует данные в иерархическую древовидную структуру для хранения информации о пользователях и организациях предприятия, преимущественно используется для реализации единого входа (SSO).

NOTE

Ключевые особенности LDAP:

  • Обеспечивает связь между клиентами и LDAP-серверами
  • Поддерживает операции хранения, извлечения и поиска данных
  • Обеспечивает возможности аутентификации клиентов
  • Способствует интеграции с другими системами

Для получения дополнительной информации обратитесь к официальной документации LDAP.

Поддерживаемые типы LDAP

OpenLDAP

OpenLDAP — это реализация LDAP с открытым исходным кодом. Если в вашей организации используется open-source LDAP для аутентификации пользователей, вы можете настроить платформу для взаимодействия с LDAP-сервисом, добавив LDAP и настроив соответствующие параметры.

NOTE

Интеграция OpenLDAP:

  • Обеспечивает аутентификацию пользователей LDAP на платформе
  • Поддерживает стандартные протоколы LDAP
  • Обеспечивает гибкое управление пользователями

Для получения дополнительной информации об OpenLDAP обратитесь к официальной документации OpenLDAP.

Active Directory

Active Directory — это LDAP-основанное программное обеспечение Microsoft для предоставления служб хранения каталогов в системах Windows. Если в вашей организации используется Microsoft Active Directory для управления пользователями, вы можете настроить платформу для взаимодействия с сервисом Active Directory.

NOTE

Интеграция Active Directory:

  • Обеспечивает аутентификацию пользователей AD на платформе
  • Поддерживает интеграцию с доменами Windows
  • Обеспечивает управление пользователями корпоративного уровня

Терминология LDAP

Общие термины OpenLDAP

ТерминОписаниеПример
dc (Domain Component)Компонент доменаdc=example,dc=com
ou (Organizational Unit)Организационная единицаou=People,dc=example,dc=com
cn (Common Name)Общее имяcn=admin,dc=example,dc=com
uid (User ID)Идентификатор пользователяuid=example
objectClass (Object Class)Класс объектаobjectClass=inetOrgPerson
mail (Mail)Электронная почтаmail=example@126.com
givenName (Given Name)ИмяgivenName=xq
sn (Surname)Фамилияsn=ren
objectClass: groupOfNamesГруппа пользователейobjectClass: groupOfNames
member (Member)Атрибут участника группыmember=cn=admin,dc=example,dc=com
memberOfАтрибут членства в группеmemberOf=cn=users,dc=example,dc=com

Общие термины Active Directory

ТерминОписаниеПример
dc (Domain Component)Компонент доменаdc=example,dc=com
ou (Organizational Unit)Организационная единицаou=People,dc=example,dc=com
cn (Common Name)Общее имяcn=admin,dc=example,dc=com
sAMAccountName/userPrincipalNameИдентификатор пользователяuserPrincipalName=example или sAMAccountName=example
objectClass: userКласс объекта пользователя ADobjectClass=user
mail (Mail)Электронная почтаmail=example@126.com
displayNameОтображаемое имяdisplayName=example
givenName (Given Name)ИмяgivenName=xq
sn (Surname)Фамилияsn=ren
objectClass: groupГруппа пользователейobjectClass: group
member (Member)Атрибут участника группыmember=CN=Admin,DC=example,DC=com
memberOfАтрибут членства в группеmemberOf=CN=Users,DC=example,DC=com

Добавление LDAP

TIP

После успешной интеграции LDAP:

  • Пользователи могут входить на платформу с использованием своих корпоративных учетных записей
  • Множественное добавление одного и того же LDAP перезапишет ранее синхронизированных пользователей

Предварительные требования

Перед добавлением LDAP подготовьте следующую информацию:

  • Адрес LDAP-сервера
  • Имя пользователя администратора
  • Пароль администратора
  • Другие необходимые параметры конфигурации

Шаги

  1. В левой навигационной панели нажмите Users > IDPs
  2. Нажмите Add LDAP
  3. Настройте следующие параметры:

Основная информация

ПараметрОписание
Server AddressАдрес доступа к LDAP-серверу (например, 192.168.156.141:31758)
UsernameDN администратора LDAP (например, cn=admin,dc=example,dc=com)
PasswordПароль учетной записи администратора LDAP
Login Box Username PromptСообщение-приглашение для ввода имени пользователя (например, "Пожалуйста, введите ваше имя пользователя")

Настройки поиска

NOTE

Назначение настроек поиска:

  • Соответствие LDAP-записям пользователей по заданным условиям
  • Извлечение ключевых атрибутов пользователей и групп
  • Отображение атрибутов LDAP на атрибуты пользователей платформы
ПараметрОписание
Object TypeObjectClass для пользователей:
- OpenLDAP: inetOrgPerson
- Active Directory: organizationalPerson
- Группы: posixGroup
Login FieldАтрибут, используемый в качестве имени пользователя для входа:
- OpenLDAP: mail (адрес электронной почты)
- Active Directory: userPrincipalName
Filter ConditionsУсловия фильтра LDAP для фильтрации пользователей/групп
Пример: (&(cn=John*)(givenName=*xq*))
Search Starting PointБазовый DN для поиска пользователей/групп (например, dc=example,dc=org)
Search ScopeОбласть поиска:
- sub: весь поддерево каталога
- one: один уровень ниже начальной точки
Login AttributeУникальный идентификатор пользователя:
- OpenLDAP: uid
- Active Directory: distinguishedName
Name AttributeАтрибут имени объекта (по умолчанию: cn)
Email AttributeАтрибут электронной почты:
- OpenLDAP: mail
- Active Directory: userPrincipalName
Group Member AttributeИдентификатор участника группы (по умолчанию: uid)
Group AttributeАтрибут связи с группой пользователей (по умолчанию: memberuid)

  1. В разделе IDP Service Configuration Validation:

    • Введите действительное имя пользователя и пароль LDAP-аккаунта
    • Имя пользователя должно совпадать с настройкой Login Field
    • Нажмите для проверки конфигурации

  2. (Опционально) Настройте LDAP Auto-Sync Policy:

    • Включите переключатель Auto-Sync Users
    • Установите правила синхронизации
    • Используйте онлайн-инструмент для проверки выражений CRON

  3. Нажмите Add

NOTE

После добавления LDAP:

  • Пользователи могут входить до синхронизации
  • Информация о пользователях синхронизируется автоматически при первом входе
  • Автоматическая синхронизация происходит согласно настроенным правилам

Примеры конфигурации LDAP

Конфигурация LDAP-коннектора

Ниже приведён пример настройки LDAP-коннектора:

apiVersion: dex.coreos.com/v1
kind: Connector
id: ldap        # Connector ID
name: ldap      # Connector display name
type: ldap      # Connector type is LDAP
metadata:
  name: ldap
  namespace: cpaas-system
spec:
  config:
    # LDAP server address and port
    host: ldap.example.com:636                         
    # DN and password for the service account used by the connector.
    # This DN is used to search for users and groups.
    bindDN: uid=serviceaccount,cn=users,dc=example,dc=com 
    # Service account password, required when creating a connector.
    bindPW: password                         

    # Login account prompt. For example, username
    usernamePrompt: SSO Username
    
    # User search configuration
    userSearch:
      # Start searching from the base DN
      baseDN: cn=users,dc=example,dc=com
      # LDAP query statement, used to search for users.
      # For example: "(&(objectClass=person)(uid=<username>))"
      filter: (&(objectClass=organizationalPerson))

      # The following fields are direct mappings of user entry attributes.
      # User ID attribute
      idAttr: uid
      # Required. Attribute to map to email                     
      emailAttr: mail
      # Required. Attribute to map to username
      nameAttr: cn
      # Login username attribute
      # Filter condition will be converted to "(<attr>=<username>)", such as (uid=example).
      username: uid

      # Extended attributes
      # phoneAttr: phone

    # Group search configuration  
    groupSearch:
      # Start searching from the base DN
      baseDN: cn=groups,dc=freeipa,dc=example,dc=com
      # Group filter condition
      # "(&(objectClass=group)(member=<user uid>))".
      filter: "(objectClass=group)"
      # User group matching field
      # Group attribute
      groupAttr: member
      # User group member attribute
      userAttr: uid
      # 组显示名称
      nameAttr: cn

Примеры фильтров пользователей

# 1. Базовый фильтр: Найти всех пользователей
(&(objectClass=person))

# 2. Комбинация нескольких условий: Найти пользователей в конкретном отделе
(&(objectClass=person)(departmentNumber=1000))

# 3. Найти активных пользователей (Active Directory)
(&(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

# 4. Найти пользователей с определённым доменом электронной почты
(&(objectClass=person)(mail=*@example.com))

# 5. Найти участников конкретной группы
(&(objectClass=person)(memberOf=cn=developers,ou=groups,dc=example,dc=com))

# 6. Найти недавно вошедших пользователей (Active Directory)
(&(objectClass=user)(lastLogon>=20240101000000.0Z))

# 7. Исключить системные аккаунты
(&(objectClass=person)(!(uid=admin))(!(uid=system)))

# 8. Найти пользователей с определённым атрибутом
(&(objectClass=person)(mobile=*))

# 9. Найти пользователей в нескольких отделах
(&(objectClass=person)(|(ou=IT)(ou=HR)(ou=Finance)))

# 10. Пример сложной комбинации условий
(&
  (objectClass=person)
  (|(department=IT)(department=Engineering))
  (!(title=Intern))
  (manager=cn=John Doe,ou=People,dc=example,dc=com)
)

Примеры конфигурации поиска групп

# 1. Базовый фильтр: Найти все группы
(objectClass=groupOfNames)

# 2. Найти группы с определённым префиксом
(&(objectClass=groupOfNames)(cn=dev-*))

# 3. Найти непустые группы
(&(objectClass=groupOfNames)(member=*))

# 4. Найти группы с определённым участником
(&(objectClass=groupOfNames)(member=uid=john,ou=People,dc=example,dc=com))

# 5. Найти вложенные группы (Active Directory)
(&(objectClass=group)(|(groupType=-2147483646)(groupType=-2147483644)))

# 6. Найти группы с определённым описанием
(&(objectClass=groupOfNames)(description=*admin*))

# 7. Исключить системные группы
(&(objectClass=groupOfNames)(!(cn=system*)))

# 8. Найти группы с определёнными участниками
(&(objectClass=groupOfNames)(|(cn=admins)(cn=developers)(cn=operators)))

# 9. Найти группы в конкретном OU
(&(objectClass=groupOfNames)(ou=IT))

# 10. Пример сложной комбинации условий
(&
  (objectClass=groupOfNames)
  (|(cn=prod-*)(cn=dev-*))
  (!(cn=deprecated-*))
  (owner=cn=admin,dc=example,dc=com)
)

Примеры операторов AND(&) и OR(|) в LDAP-фильтрах

# Оператор AND (&) - все условия должны быть выполнены
# Синтаксис: (&(condition1)(condition2)(condition3)...)

# Пример AND с несколькими атрибутами
(&
  (objectClass=person)
  (mail=*@example.com)
  (title=Engineer)
  (manager=*)
)

# Оператор OR (|) - должно быть выполнено хотя бы одно условие
# Синтаксис: (|(condition1)(condition2)(condition3)...)

# Пример OR с несколькими атрибутами
(|
  (department=IT)
  (department=HR)
  (department=Finance)
)

# Комбинирование AND и OR
(&
  (objectClass=person)
  (|
    (department=IT)
    (department=R&D)
  )
  (employeeType=FullTime)
)

# Сложная комбинация условий
(&
  (objectClass=person)
  (|
    (&
      (department=IT)
      (title=*Engineer*)
    )
    (&
      (department=R&D)
      (title=*Developer*)
    )
  )
  (!(status=Inactive))
  (|(manager=*)(isManager=TRUE))
)

Синхронизация пользователей LDAP

После успешной синхронизации пользователей LDAP на платформу вы можете просмотреть синхронизированных пользователей в списке пользователей.

Вы можете настроить политику автоматической синхронизации при добавлении LDAP (которую можно обновить позже) или вручную запустить синхронизацию после успешного добавления LDAP. Ниже описано, как вручную запустить операцию синхронизации.

Примечания:

  • Новые пользователи, добавленные в LDAP, интегрированный с платформой, могут войти на платформу до выполнения операции синхронизации пользователей. После успешного входа их информация автоматически синхронизируется с платформой.

  • Пользователи, удалённые из LDAP, после синхронизации получат статус Invalid.

  • По умолчанию срок действия вновь синхронизированных пользователей — Постоянный.

  • Синхронизированные пользователи с тем же именем, что и существующие пользователи (локальные или IDP), автоматически связываются. Их права и срок действия будут соответствовать существующим пользователям. Они могут входить на платформу, используя метод входа, соответствующий их источнику.

Порядок действий

  1. В левой навигационной панели нажмите Users > IDPs.

  2. Нажмите на имя LDAP, для которого хотите выполнить ручную синхронизацию.

  3. В правом верхнем углу нажмите Actions > Sync user.

  4. Нажмите Sync.

    Примечания: Если вы вручную закроете диалоговое окно синхронизации, появится диалог подтверждения закрытия. После закрытия диалога система продолжит синхронизацию пользователей. Если вы остаетесь на странице списка пользователей, получите обратную связь о результате синхронизации. Если покинете страницу списка пользователей, результат синхронизации не будет получен.

Соответствующие операции

Вы можете нажать на справа на странице списка или нажать Actions в правом верхнем углу на странице деталей, чтобы при необходимости обновить или удалить LDAP.

ОперацияОписание
Обновить LDAPОбновить конфигурацию добавленного LDAP или LDAP Auto-Sync Policy.

Примечание: После обновления LDAP пользователи, синхронизированные с платформой через этот LDAP, также будут обновлены. Пользователи, удалённые из LDAP, станут недействительными в списке пользователей платформы. Для очистки мусорных данных выполните операцию очистки недействительных пользователей.
Удалить LDAPПосле удаления LDAP все пользователи, синхронизированные с платформой через этот LDAP, получат статус Invalid (связь между пользователями и ролями сохраняется), и они не смогут войти на платформу. После повторной интеграции необходимо повторно выполнить синхронизацию для активации пользователей.

Совет: После удаления IDP, если необходимо удалить пользователей и группы пользователей, синхронизированные с платформой через LDAP, установите флажок Clean IDP Users and User Groups под окном подтверждения.

Просмотреть полную документацию в формате PDF