Настройка авторизации пользователей через MS Active Directory

Настройка входа через Microsoft Active Directory Service

  1. Войдите в Microsoft Windows как Administrator
  2. Экспортируйте контекст LDAP context в файл, выполнив в консоли команду
ldifde –f ldap.txt
  1. Откройте полученный файл
    ldap.txt. Первая его строка будет содержать DN вашего сервера. Например:
dn: DC=ldap-server,DC=my-company,DC=com

или

dn: DC=localhost

Вы можете настроить параметры соединения с LDAP в утилите TrackStudio Server Manager, либо, если ее нет — в любом текстовом редакторе.

Настройка через Server Manager

  1. Запустите Server Manager (В папке, куда установлена TrackStudio Enterprise Standalone запустите sman.exe)
  2. Перейдите в раздел "Безопасность"
  3. Откройте вкладку LDAP
  4. Включите опцию "Использовать LDAP авторизацию".
  5. Если требуется, включите опцию "Использовать LDAP поверх SSL"
  6. Укажите адрес и порт сервера LDAP, с которым будет соединяться TrackStudio
  7. Укажите базу для поиска (Base DN). Например, dc=example,dc=com. Вы можете указать несколько Base DN в
    настройках LDAP. Используйте точку с запятой в качестве разделителя.
  8. Укажите DN администратора LDAP. Например cn=admin,dc=example,dc=com
  9. Укажите пароль этого администратора в LDAP
Для того, чтобы пользователи, зарегистрированные в LDAP, имели доступ к TrackStudio, для них должны быть созданы учетные записи. Эти учетные записи должны совпадать с записями в LDAP по названию аккаунта, либо по имени пользователя.
  1. Выберите параметры авторизации пользователей: какое поле использовать для поиска соответствий в TrackStudio и какое — в LDAP
  2. Нажмите Проверить соединение чтобы проверить соединение с LDAP

Настройка соединения в файлах .properties

Если у вас отсутствует возможность запустить Server Manager, вы можете настроить интеграцию с LDAP в файле trackstudio.security.properties

  1. Включите поддержку LDAP в trackstudio.security.properties:
trackstudio.useLDAP yes
  1. Если требуется, включите опцию "Использовать LDAP поверх SSL"
ldap.useSSL yes
  1. Укажите адрес сервера LDAP и его порт
ldap.host 127.0.0.1
ldap.port 389
  1. Установите Base DN к cn=users для вашего доменного имени. Вы можете указать несколько Base DN в
    настройках LDAP. Используйте точку с запятой в качестве разделителя.
ldap.baseDN = dc=example,dc=com
  1. Укажите учетную запись пользователя, через которую будет осуществляться вход в Active Directory:
ldap.userDN = cn=admin,dc=example,dc=com
  1. Укажите пароль к этой записи:
ldap.userDNpass pass
Для того, чтобы пользователи, зарегистрированные в LDAP, имели доступ к TrackStudio, для них должны быть созданы учетные записи. Эти учетные записи должны совпадать с записями в LDAP по названию аккаунта, либо по имени пользователя.
  1. Чтобы входить по имени и фамилии пользователя установите:
ldap.loginAttrLDAP=displayName
ldap.loginAttrTS name
  1. Чтобы входить по названию учетной записи:
ldap.loginAttrTS login
ldap.loginAttrLDAP=sAMAccountName

Принцип работы

Если установлено trackstudio.useLDAP yes, TrackStudio будет соединяться с указанным LDAP-сервером при попытке входа пользователя и выполнять авторизацию средствами LDAP, используя учетную запись, указанную в ldap.userDN и ldap.userDNpass. TrackStudio затем выполнит локальный поиск в своей базе данных пользователя, соответствущего указанному логину. После этого TrackStudio будет искать в сервере LDAP пользователя, запись ldap.loginAttrLDAP которого соответствует имени или логину (в зависимости от ldap.loginAttrTS) найденного пользователя. Затем этот пользователь будет авторизован паролем, указанным в окне входа в систему.
TrackStudio поддерживает работу с фильтрами LDAP. Вы можете вписывать свои фильтры в "Поле поиска в LDAP". Таким образом TrackStudio будет работать только с теми пользователями, которые удовлетворяют условиям указанного фильтра. Подробнее о фильтрах вы можете прочитать в этой статье.

Примечание

  • Для входа в TrackStudio в окне входа вы должны использовать именно логин
  • В любом случае соответствующий пользователь должен иметь учетную запись в TrackStudio
  • Когда вы меняете пароль средствами TrackStudio, на сервере LDAP он не меняется
  • Пользователь может войти либо при совпадении пароля с паролем в LDAP, либо с паролем в локальной базе данных TrackStudio. Чтобы запретить встроенную авторизацию, удалите com.trackstudio.app.adapter.auth.SimpleAuthAdapter из цепочки в файле trackstudio.adapter.properties.