Настройка авторизации пользователей через MS Active Directory

Настройка входа через Microsoft Active Directory Service

1. Войдите в Microsoft Windows как Administrator
2. Экспортируйте контекст LDAP context в файл, выполнив в консоли команду

ldifde –f ldap.txt

3. Откройте полученный файл
   ldap.txt. Первая его строка будет содержать DN вашего сервера. Например:

dn: DC=ldap-server,DC=my-company,DC=com

или

dn: DC=localhost

Вы можете настроить параметры соединения с LDAP в утилите TrackStudio Server Manager, либо, если ее нет — в любом текстовом редакторе.

Настройка через Server Manager

1. Запустите Server Manager (В папке, куда установлена TrackStudio Enterprise Standalone запустите sman.exe)
2. Перейдите в раздел "Безопасность"
3. Откройте вкладку LDAP
   
4. Включите опцию "Использовать LDAP авторизацию".
5. Если требуется, включите опцию "Использовать LDAP поверх SSL"
6. Укажите адрес и порт сервера LDAP, с которым будет соединяться TrackStudio
7. Укажите базу для поиска (Base DN). Например, dc=example,dc=com. Вы можете указать несколько Base DN в
   настройках LDAP. Используйте точку с запятой в качестве разделителя.
8. Укажите DN администратора LDAP. Например cn=admin,dc=example,dc=com
9. Укажите пароль этого администратора в LDAP

10. Выберите параметры авторизации пользователей: какое поле использовать для поиска соответствий в TrackStudio и какое — в LDAP
11. Нажмите Проверить соединение чтобы проверить соединение с LDAP

Настройка соединения в файлах .properties

Если у вас отсутствует возможность запустить Server Manager, вы можете настроить интеграцию с LDAP в файле trackstudio.security.properties

1. Включите поддержку LDAP в trackstudio.security.properties:

trackstudio.useLDAP yes

2. Если требуется, включите опцию "Использовать LDAP поверх SSL"

ldap.useSSL yes

3. Укажите адрес сервера LDAP и его порт

ldap.host 127.0.0.1
ldap.port 389

4. Установите Base DN к cn=users для вашего доменного имени. Вы можете указать несколько Base DN в
   настройках LDAP. Используйте точку с запятой в качестве разделителя.

ldap.baseDN = dc=example,dc=com

5. Укажите учетную запись пользователя, через которую будет осуществляться вход в Active Directory:

ldap.userDN = cn=admin,dc=example,dc=com

6. Укажите пароль к этой записи:

ldap.userDNpass pass

7. Чтобы входить по имени и фамилии пользователя установите:

ldap.loginAttrLDAP=displayName
ldap.loginAttrTS name

8. Чтобы входить по названию учетной записи:

ldap.loginAttrTS login
ldap.loginAttrLDAP=sAMAccountName

Принцип работы

Если установлено trackstudio.useLDAP yes, TrackStudio будет соединяться с указанным LDAP-сервером при попытке входа пользователя и выполнять авторизацию средствами LDAP, используя учетную запись, указанную в ldap.userDN и ldap.userDNpass. TrackStudio затем выполнит локальный поиск в своей базе данных пользователя, соответствущего указанному логину. После этого TrackStudio будет искать в сервере LDAP пользователя, запись ldap.loginAttrLDAP которого соответствует имени или логину (в зависимости от ldap.loginAttrTS) найденного пользователя. Затем этот пользователь будет авторизован паролем, указанным в окне входа в систему.
TrackStudio поддерживает работу с фильтрами LDAP. Вы можете вписывать свои фильтры в "Поле поиска в LDAP". Таким образом TrackStudio будет работать только с теми пользователями, которые удовлетворяют условиям указанного фильтра. Подробнее о фильтрах вы можете прочитать в этой статье.

Примечание

• Для входа в TrackStudio в окне входа вы должны использовать именно логин
• В любом случае соответствующий пользователь должен иметь учетную запись в TrackStudio
• Когда вы меняете пароль средствами TrackStudio, на сервере LDAP он не меняется
• Пользователь может войти либо при совпадении пароля с паролем в LDAP, либо с паролем в локальной базе данных TrackStudio. Чтобы запретить встроенную авторизацию, удалите com.trackstudio.app.adapter.auth.SimpleAuthAdapter из цепочки в файле trackstudio.adapter.properties.