vpp-v17
Скачать PDF

Импорт пользователей

Импорт учетных записей из LDAP

В Ideco NGFW VPP реализована возможность импорта учетных записей из LDAP-каталога Active Directory (далее AD). Импорт осуществляется по протоколам LDAP/LDAPS (протокол LDAPS не требует дополнительных настроек со стороны NGFW и будет использоваться автоматически в случае использования его на контроллере домена). Импортировать группы пользователей AD можно в специально созданные группы пользователей в Ideco NGFW VPP. Их название может быть произвольным. Для импорта пользователей из AD, выполните следующие действия:

  1. Создайте группу в дереве пользователей Ideco NGFW VPP. Подробнее о создании групп в статье.

  2. Выберите эту группу в дереве и перейдите на вкладку Active Directory в правой части экрана.

  3. Выберите домен, из которого требуется импортировать пользователей (если Ideco NGFW VPP является членом нескольких доменов).

  4. В поле Тип группы выберите LDAP/AD группа.

  5. При нажатии на поле LDAP группа откроется дерево пользователей Active Directory. Выберите из него необходимую группу для импорта (также можно выбрать корневую группу для импорта всего дерева).

  6. Нажмите Сохранить (будет произведен импорт пользователей).

Пользователи автоматически синхронизируются с Active Directory каждые 15 минут.

При необходимости можно воспользоваться фильтром запросов. Например, если в одних и тех же контейнерах находятся пользователи и компьютеры, а хотите импортировать только пользователей, то в поле LDAP-фильтр напишите следующий текст: (&(objectCategory=person)(objectClass=user))

Не стоит импортировать подгруппы уже импортированной группы, поскольку подгруппы уже будут добавлены вместе с основной группой.

Импорт учетных записей из групп безопасности

Пользователь Active Directory может быть импортирован только в одну группу Ideco NGFW VPP. Если пользователь находится в нескольких группах безопасности Active Directory, он попадет в одну группу, импортированную последней.

Можно импортировать любое количество групп безопасности AD в разные папки в дереве пользователей. Для импорта выполните действия:

  1. Создайте группу в дереве пользователей Ideco NGFW VPP.

  2. Выберите эту группу в дереве и перейдите на вкладку Active Directory.

  3. В поле Имя домена выберите нужный домен.

  4. В поле Тип группы выберите Группа безопасности AD.

  5. В поле ниже из раскрывающего списка выберите нужную группу безопасности.

  6. Нажмите Сохранить.

Пример настройки импорта пользователей из групп безопасности:

Если из AD импортировались не все пользователи

Если из AD импортировались не все пользователи, то включите режим совместимости. Важно: включенный режим совместимости импортирует пользователей медленнее.

Примеры включения через терминал и браузер:

Терминал

1. Авторизуйтесь командой:

curl -c /tmp/cookie -b /tmp/cookie -X POST https://адрес_сервера/web/auth/login -d '{"login": "логин", "password": "пароль", "rest_path": "/"}' -k

2. Отправьте запрос на включение режима:

curl -c /tmp/cookie -b /tmp/cookie -X PUT https://адрес_сервера/ad_backend/security_group_import_settings -d '{"compatibility_mode": true}' -i -k -H 'Content-type: application/json'

Браузер

1. Откройте веб-интерфейс Ideco NGFW VPP и нажмите F12;

2. Перейдите во вкладку Сеть и нажмите на любой запрос;

3. В появившемся окне перейдите на вкладку Новый запрос;

4. Отправьте запрос авторизации:

POST https://адрес_сервера/web/auth/login

Тело запроса:

{
    "login": "логин", "password": "пароль", "rest_path": "/"
}

5. Отправьте запрос на включение режима:

PUT /ad_backend/security_group_import_settings

Тело запроса:

{
  "compatibility_mode": true
}

Для выключения режима совместимости в теле запроса вместо true укажите false.

PreviousActive Directory/Samba DCNextАутентификация пользователей AD/Samba DC

Last updated