Синхронізація з LDAP

ESET Secure Authentication підтримує синхронізацію з LDAP.


note

Адміністратор може синхронізувати весь домен AD або вибирати тільки певне піддерево підрозділу в домені AD.

Для домену Windows можна синхронізувати тільки одне піддерево підрозділу на один домен AD (службу каталогів), оскільки GUID всієї AD становиться ідентифікатором створеної області. Якщо адміністратор спробує синхронізувати інше піддерево підрозділу цього домену AD (домену Windows), буде повернуто помилку "Область '<ID>' вже існує".

Зразок шляху до сервера LDAP для синхронізації піддерева підрозділу в домені AD "esa.local" (домен Windows):

LDAP://<serverName>/OU=sub_OU,OU=first_OU,DC=esa,DC=local

 

Під час синхронізації каталогів іншого типу ідентифікатором створеної області стає весь шлях Server LDAP Path.

1.Відкрийте ESA Web Console і клацніть Users.

2.Біля пункту Realms натисніть icon_add-or-create і виберіть Create Synchronized Realm.

3.Уведіть адресу сервера LDAP, у розкривному меню Sync Server type виберіть потрібний тип сервера LDAP і вкажіть ім’я користувача й пароль LDAP.

4.Якщо це разовий імпорт, залиште значення параметра Sync interval незмінним. В іншому разі виберіть потрібний інтервал синхронізації.

5.Коли з’явиться запит, установіть прапорець поруч із Run immediately і клацніть Save.

users_create-synchronized-realm

 

Щоб заново вручну синхронізувати екземпляр ESA після його синхронізації з LDAP, виконайте такі дії:

1.У розділі Realms виберіть збережений і синхронізований сервер LDAP.

2.Клацніть піктограму шестерні icon_settings_inline і виберіть пункт Synchronize Now.

Підтримувані параметри конфігурації

objFilter: обов’язковий; використовується в LDAP як фільтр для вибору об’єкта користувача.

AttrName: необов’язковий; ім’я властивості користувача LDAP, у якій зберігається ім’я користувача. Якщо для параметра Windows LDAP вибрано значення Sync Server Type, ім’я користувача буде отримано з властивості "sAMAccountName". В іншому разі ім’я користувача буде отримано з властивості "cn".

AttrPhone: необов’язковий; ім’я властивості користувача LDAP, у якій зберігається номер телефону. Якщо параметр AttrPhone не використовується, номер мобільного телефону буде отримано з поля користувача, установленого за замовчуванням у меню ESA Web Console > Settings > Mobile Number Field.

AuthType: необов’язковий; визначає тип автентифікації, який використовується при підключенні до LDAP-сервера. Значення за замовчуванням для платформи Windows — 1 (захищено), для іншої платформи — 0 (немає). Доступні значення:

o0 (немає)

o1 (захищено)

o2 (шифрування/SecureSocketsLayer)

o4 (ReadonlyServer)

o16 (анонімний)

o32 (FastBind)

o64 (підписання)

o128 (запечатування)

o256 (делегування)

o512 (ServerBind)

Докладнішу інформацію про кожен тип автентифікації див. в офіційній документації Microsoft.