Настройка Центра Авторизации — различия между версиями
Mikheeva (обсуждение | вклад) |
Mikheeva (обсуждение | вклад) |
||
Строка 33: | Строка 33: | ||
"synch_interval": 60 | "synch_interval": 60 | ||
}, | }, | ||
+ | |||
+ | '''class''' - класс, к которому следует обращаться | ||
+ | |||
+ | '''db_conn_string''' - строка подключения к базе данных для получения пользователей, где dbname - название базы данных, host - ip адрес сервера, port - порт базы данных, user - логин администратора базы данных, password - пароль администратора базы данных. | ||
+ | |||
+ | '''ldap_conn_string''' - адрес сервера Ldap для получения из Active Directory списка пользователей и групп | ||
+ | |||
+ | '''ldap_admin''' - пользователь, от которого происходит подключение к Ldap | ||
+ | |||
+ | '''keytab_source''' - путь до файла keytab, если Serenity развернуто на операционной системе Linux. Стоит учесть, что при любом изменении Active Directory, например, добавление пользователей, keytab необходимо пересобрать. | ||
+ | |||
+ | '''ad_realm''' - имя домена Active Directory | ||
+ | |||
+ | '''kerberos_service''' - сервис протокола kerberos (по умолчанию HTTP) | ||
+ | |||
+ | '''auto_synch_users''' - автоматическая синхронизация пользователей из Active Directory в Центр Авторизации. При синхронизации пользователи из указанных ниже групп ('''synch_groups''') будут перенесены в Центр Авторизации со следующими полями: | ||
+ | #фио | ||
+ | #логин | ||
+ | #пароль (по умолчанию как логин) | ||
+ | #телефон. По приоритету типы телефонов располагаются следующим образом: рабочий, домашний, мобильный. То есть если, указаны все 3, то будет указан рабочий. Если определены домашний и мобильный телефоны, то - домашний и т.п. | ||
+ | #электронная почта. | ||
+ | |||
+ | '''synch_groups''' - | ||
+ | |||
+ | '''synch_interval''' - | ||
+ | |||
+ | информ о фио считается неизменяемой. | ||
+ | след-но, изменения фио в ад не повлечет за собой изменения фио на ца. обратное верно, но измненения контактной информации влечет за собой изменения в ца. |
Версия 16:39, 10 сентября 2018
Для настройки Центра Авторизации необходимо открыть файл serenity.cfg.json в корне Serenity.
Строки, представленные ниже, описывают типы аутентификации, для каждого из которых указывается класс, наименование базы данных, хост, логин и пароль. Для Ldap аутентификации указывается адрес, откуда также передается логин и пароль пользователя.
"TestAuth": { //Вasic Authentication "class": "serenityImpl.SerenityTicketsProvider", "db_conn_string": "dbname= host=127.0.0.1 port=5430 user= password=" }, "CertAuth": { "class": "clientLoginCertAuthImpl.ClientLoginCertAuthTicketsProvider" }, "DigestAuth": { "class": "authentication.digest_auth.tickets_provider.DigestTicketsProvider", "db_conn_string": "dbname= host=127.0.0.1 port=5430 user= password=" }, "LdapAuth": { "class": "authentication.ldap_auth.tickets_provider.LDAPTicketsProvider", "ldap_conn_string": "ldap://192.168.10.27:389/" },
Далее следуют настройки для SSO (Технология единого входа) по протоколу Kerberos. Преимущественно используется для операционных систем Windows, основан на работе с Active Directory и Ldap серверами. Протокол Kerberos необходим для авторизации в системе, в частности на Центр Авторизации (получать тикет) через пользователей в операционной системе. Это позволяет хранить настройки для определенных пользователей Active Directory и получать информацию по ним через Центр Авторизации.
"KerberosAuth": { "class": "authentication.kerberos_auth.tickets_provider.KerberosTicketsProvider", "db_conn_string": "dbname= host=127.0.0.1 port=5430 user= password=", "ldap_conn_string": "ldap://192.168.10.179:389", "ldap_admin": "username password", "keytab_source": "serenity-app.keytab", "ad_realm": "INTEGRA-DOMAIN.RU", "kerberos_service": "HTTP", "auto_synch_users": true, "synch_groups": ["integras"], "synch_interval": 60 },
class - класс, к которому следует обращаться
db_conn_string - строка подключения к базе данных для получения пользователей, где dbname - название базы данных, host - ip адрес сервера, port - порт базы данных, user - логин администратора базы данных, password - пароль администратора базы данных.
ldap_conn_string - адрес сервера Ldap для получения из Active Directory списка пользователей и групп
ldap_admin - пользователь, от которого происходит подключение к Ldap
keytab_source - путь до файла keytab, если Serenity развернуто на операционной системе Linux. Стоит учесть, что при любом изменении Active Directory, например, добавление пользователей, keytab необходимо пересобрать.
ad_realm - имя домена Active Directory
kerberos_service - сервис протокола kerberos (по умолчанию HTTP)
auto_synch_users - автоматическая синхронизация пользователей из Active Directory в Центр Авторизации. При синхронизации пользователи из указанных ниже групп (synch_groups) будут перенесены в Центр Авторизации со следующими полями:
- фио
- логин
- пароль (по умолчанию как логин)
- телефон. По приоритету типы телефонов располагаются следующим образом: рабочий, домашний, мобильный. То есть если, указаны все 3, то будет указан рабочий. Если определены домашний и мобильный телефоны, то - домашний и т.п.
- электронная почта.
synch_groups -
synch_interval -
информ о фио считается неизменяемой. след-но, изменения фио в ад не повлечет за собой изменения фио на ца. обратное верно, но измненения контактной информации влечет за собой изменения в ца.