Appearance

Настройка аутентификации в Nextbox через LDAP/AD

Nextbox позволяет проходить аутентификацию через интеграцию с LDAP и Active Directory с синхронизацией групп и ролей пользователей.

Для включения LDAP/AD и конфигурирования необходимо зайти в настройки внутри Nextbox и найти раздел 🔒AD / LDAP.

Выглядит это вот так: settings_page_1.png

Описание параметров:

  • Адрес Ldap: адрес сервера ldap, например: ldap://ldp.address.org
  • Шаблон авторизации: строка поиска пользователя, например: uid={{login}},cn=users,cn=accounts,dc=address,dc=org, где {{login}} - это логин пользователя, который вводят при авторизации. Для Active Directory лучше всего использовать другой вариант шаблона, например: {{login}}@address.org
  • Ключ логина: это атрибут в ldap/ad, который идентифицирует пользователя, для шаблона выше это uid
  • Ключ группы: это атрибут в ldap/ad для поиска групп, в которых состоит пользователь, например: cn=groups,cn=accounts,dc=address,dc=org
  • Base dn: это корневой каталог, в котором находятся все атрибуты пользователей и групп всего ldap/ad, например: cn=groups,cn=accounts,dc=address,dc=org
  • Ключ поиска имени пользователя: это атрибут определяющий имя пользователя, например givenName
  • Ключ поиска фамилии пользователя: это атрибут определяющий фамилию пользователя, например sn
  • Ключ поиска почты: это атрибут определяющий почту пользователя, например mail
  • Ключ поиска телефона: это атрибут определяющий телефон пользователя, например telephonenumber
  • Ключ поиска групп: это атрибут определяющий группы пользователя, например memberOf
  • Ключ поиска ролей: это атрибут определяющий ролей пользователя (только для ldap), например organizationalRole
  • strict groups: флаг, если включен, не позволяет пользователю, находится в группах, в которых он не состоит в ldap/ad
  • strict roles: флаг, если включен, не позволяет пользователю, иметь роли, в которых он не состоит в ldap

Для того чтобы корректно работал поиск атрибутов пользователя необходимо чтобы были правильно заданы base dn и эти ключи, в противном случае будут найдены лишние значения, что повлечет за собой отказ в аутентификации.

Синхронизация групп и ролей в которых состоит пользователь, происходит в момент аутентификации через ldap/ad.