LDAP configuration: Difference between revisions

From Svacer Wiki
No edit summary
No edit summary
Line 82: Line 82:
* Перезапустить Svacer
* Перезапустить Svacer
* Убедиться, что возможен вход пользователей, состоящих в группе/группах, и не возможен вход пользователей, не состоящих в группе/группах.
* Убедиться, что возможен вход пользователей, состоящих в группе/группах, и не возможен вход пользователей, не состоящих в группе/группах.
=== Добавление привязки ролей Svacer к группам LDAP ===
*  Добавить нужные группы в Svacer. Например admins и users.
* Определиться в каком атрибуте LDAP группы будет хранится имя роли (все сравнения будут чувствительны к регистру). Например, пусть это будет атрибут cn
* Изменить конфигурационный файл следующим образом:
{
    "name": "test_ldap",
    …..
    "user": {
  …..
    },     
    ''' "useGroup": true, '''
    ''' "group": { '''
    ''' "basedn": "ou=svacer_groups,ou=groups", '''
    ''' "filter": "(&(objectClass=groupOfNames)(cn=*))", '''
    ''' "userMember": "member", '''
    ''' "display": "cn", '''
''' "svacerRole": "cn" '''
    ''' }, '''
    "enabled": true
}
* Убедиться, что пользователю назначаются роли, выполнив команду в cli (требуются учетные данные администратора для проверки; по умолчанию admin@admin). Для проверки привязки ролей Svacer к пользователю Loginok можно использовать следующую команду:
./svacer ldap sync_roles --login loginok --host 127.0.0.1 --port 8080 --user admin --password admin --server test_ldap
Вывод должен быть следующий:
  SvacerUserID: 457039b4-4aef-4857-831d-1c080ea154d4
  SvacerUserLogin: loginok
  LDAPUserDN: cn=loginok,ou=users,dc=example,dc=com
  Roles: [314e7571-706c-4463-9280-6a4eee03b42d]
  Links: [cn=admins,ou=svacer_groups,ou=groups,dc=example,dc=com -> admins (314e7571-706c-4463-9280-6a4eee03b42d)]
  Applied: false

Revision as of 16:09, 16 May 2023

Пример конфигурации сервера Svacer для поддержки аутентификации по LDAP протоколу

Для упрощение настройки интеграции с LDAP сервером, процесс настройки можно разбить на этапы и переходить к следующему только если успешно завершен предыдущий этап. В первую очередь необходимо выяснить акутальные параметры подключения к ldap серверу:

  • URL; Например ldap://10.11.12.13:389 или ldaps://10.11.12.13:636
  • Учетные данные с которыми будет осуществляться подключение к LDAP серверу при каждой попытке входа пользователем; Например, login: cn=admin,dc=example,dc=com, пароль: 12345678
  • Определиться с корнем LDAP дерева (базовый узел), относительно которого будут выполняться все операции; Например: dc=example,dc=com
  • Проверить, что с указанными учетными данными возможно подключение к серверу LDAP и просмотр его содержимого с некоторого узла, расположенного ниже базового; Например, с узла ou=users,dc=example,dc=com для рассматриваемого примера. Проверить можно, например, используя следующую команду:
 LDAPTLS_REQCERT=never ldapsearch -v  -x -D cn=admin,dc=example,dc=com -w 12345678 -b ou=users,dc=example,dc=com -H ldaps://127.0.0.1:636 

для случая поддержки TLS, или

 ldapsearch -v  -x -D cn=admin,dc=example,dc=com -w 12345678 -b ou=users,dc=example,dc=com -H ldap://127.0.0.1:389  

для случая без поддержки TLS

  • Определиться с атрибутом записи, по которой будет осуществляться вход. Например cn, mail или sAMAccountName
  • Если используется Active Directory, целесообразно в качестве фильтра для поиска записей о пользователе указать значение (&(objectCategory=Person)(sAMAccountName=*)).

Основные настройки LDAP

  • Использовать следующий шаблон конфигурации, заменив текст, выделенный жирным, акутальными данными:
{
     "name": "test_ldap",
     "basedn": "dc=example,dc=com",
     "connection": {
       "url": "ldap://ldap1.example.com:389",
       "connectAs": "cn=admin,dc=example,dc=com",
       "password": "12345678"
     },
     "user": {
       "basedn": "ou=users",
       "filter": "(&(objectClass=PosixAccount)(cn=*))",
       "login": "cn",
       "info": {
         "display": "cn",
         "email": "mail",
         "firstName": "givenName",
         "lastName": "sn"
       }
     },
     "enabled": true
 }


  • Поиск пользователя в каталоге LDAP будет производится от узла, DN которого является конкатенацией значений user.basedn и basedn. В примере это будет узел ou=users,dc=example,dc=com. Полный DN пользователя указывать в user.basedn не нужно (можно указать пустой или не указывать вообще)
  • Убедиться, что при старте сервера в логах присутствуют строки:
 2023-04-24T12:35:44.650+0300	info	Loading ldap configuration from file: ldap2.json
 2023-04-24T12:35:44.650+0300	info	LDAP server added: test_ldap
  • Выполнить команду в cli, заменив хост и порт актуальными значениями
 ./svacer ldap servers --host 127.0.0.1 --port 8080
  • Убедиться, что в выводе команды присутствуют записи вида:
 Available LDAP servers list:
 Name: test_ldap	Url: ldap://ldap1.example.com:389
  • Убедиться, что возможен вход тестовым пользователем через cli:
 curl -X POST --data '{"login":"test_login","password":"test_password","auth_type":"ldap","server":"test_ldap"}' 127.0.0.1:8080/api/public/login

Вывод должен быть вида:

 {"token":"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE2ODI5MzYxODcsImlhdCI6MTY4MjMzMTM4Nywicm9sZXMiOlsiYWRtaW5zIl0sInVzZXIiO ..."}

Добавление проверки по группе LDAP

Принадлежность пользователя к группе определяется следующим образом:

  • Формируется список всех возможных групп на основе значение group.filter
  • Для каждой сформированной группы формируется список входящих в нее пользователей по следующему принципу:
    • Каждое значение атрибута group.userMember (их может быть несколько) узла LDAP (соответствующего группе) однозначно идентифицирует некоторого пользователя
    • Пользователь входит в группу, если значение атрибута user.group пользователя входит в множество записей, полученных в пункте выше

Для настройки проверки по группе целесообразно выполнить следующие действия:

  • Определиться с узлом в LDAP, относительно которого будет производится поиск групп (поле group.basedn). Поиск групп в каталоге LDAP будет производится от узла, DN которого является конкатенацией значений group.basedn и basedn. В примере это будет узел ou=svacer_groups,ou=groups,dc=example,dc=com.
  • Для Active Directory в поле filter можно указать, например, (&(objectCategory=Group)(cn=dep_ivanov)), что будет означать группу dep_ivanov.
  • Изменить конфигурационный файл,следующим образом:
  {
     "name": "test_ldap",
      ….
     },
     "user": {
      ….
      "group": "dn",
     },      
     "useGroup": true,
     "group": {'
     "basedn": "ou=svacer_groups,ou=groups",
     "filter": "(&(objectClass=groupOfNames)(cn=*))",
     "userMember": "member",
     "display":"cn",
     },
     "enabled": true
     }
  • Перезапустить Svacer
  • Убедиться, что возможен вход пользователей, состоящих в группе/группах, и не возможен вход пользователей, не состоящих в группе/группах.

Добавление привязки ролей Svacer к группам LDAP

  • Добавить нужные группы в Svacer. Например admins и users.
  • Определиться в каком атрибуте LDAP группы будет хранится имя роли (все сравнения будут чувствительны к регистру). Например, пусть это будет атрибут cn
  • Изменить конфигурационный файл следующим образом:
{
   "name": "test_ldap",
   …..
   "user": {
	   …..
    },      
     "useGroup": true, 
     "group": { 
     "basedn": "ou=svacer_groups,ou=groups", 
     "filter": "(&(objectClass=groupOfNames)(cn=*))", 
     "userMember": "member", 
     "display": "cn", 

"svacerRole": "cn"

     }, 
    "enabled": true
}
  • Убедиться, что пользователю назначаются роли, выполнив команду в cli (требуются учетные данные администратора для проверки; по умолчанию admin@admin). Для проверки привязки ролей Svacer к пользователю Loginok можно использовать следующую команду:
./svacer ldap sync_roles --login loginok --host 127.0.0.1 --port 8080 --user admin --password admin --server test_ldap

Вывод должен быть следующий:

 SvacerUserID: 457039b4-4aef-4857-831d-1c080ea154d4
 SvacerUserLogin: loginok
 LDAPUserDN: cn=loginok,ou=users,dc=example,dc=com
 Roles: [314e7571-706c-4463-9280-6a4eee03b42d]
 Links: [cn=admins,ou=svacer_groups,ou=groups,dc=example,dc=com -> admins 	(314e7571-706c-4463-9280-6a4eee03b42d)]
 Applied: false