LDAP

Для авторизации пользователей с помощью сервера службы каталогов (Active Directory, OpenLDAP, и т.д.) необходимо добавить раздел LDAP в конфигурационный файл сервера.

Учётные записи LDAP-пользователей

При первом входе пользователя, аутентифицированного через LDAP, для него автоматически создаётся учётная запись в системе. У таких пользователей на вкладке Общие отображается поле Источник со значением LDAP, в списке пользователей они отмечаются иконкой image.

Если логин пользователя, аутентифицирующегося через LDAP, совпадает с логином другого пользователя, уже зарегистрированного в системе, LDAP-пользователь войти в систему не сможет.

По умолчанию такие пользователи обладают теми же правами, что и все новые пользователи.

Для LDAP-пользователей недоступна вкладка Смена пароля, пароли таких пользователей находятся на AD-сервере.

Пользователям из LDAP, у которых ещё нет учётной записи в Центральном Пульте, можно ограничить вход в систему, подготовив группы для нужных пользователей. Чтобы учётная запись создавалась только для пользователей, у которых имя группы на LDAP-сервере совпадает с именем существующей (созданной ранее) группы в Центральном Пульте, в конфигурационном файле сервера необходимо указать параметр:

{
  ...
  "ldap": {
     ...
     "create_user_for_existing_group_only": true,
     ...
     }
}

LDAP-группы пользователей

При использовании протокола LDAP во время авторизации пользователя в системе могут быть автоматически созданы группы с именами, эквивалетными именам групп из LDAP, которые отсутствуют в Центральном Пульте. Авторизовавшийся пользователь автоматически добавляется в импортированные группы. В конфигурационном файле сервера для этого необходимо указать параметр:

{
  ...
  "ldap": {
     ...
     "import_non_existing_groups": true,
     ...
     }
}
LDAP-группы (группы, созданные при авторизации LDAP-пользователей) обозначаются в списке иконкой image. Для таких групп недоступна смена имени, в качестве источника указан LDAP.

Группы, созданные в Центральном Пульте, имена которых совпадают с именами групп из LDAP, можно обновить до LDAP-групп. В конфигурационном файле сервера для этого необходимо указать параметр:

{
  ...
  "ldap": {
     ...
     "update_existing_groups": true,
     ...
     }
}

В этом случае при авторизации LDAP-пользователя те группы в Центральном Пульте, для которых есть одноимённые группы среди групп пользователя в LDAP, будут обновлены до LDAP-групп.

Если пользователь был исключён из группы в Центральном Пульте - аналога своей группы в LDAP, при следующем входе в систему пользователь автоматически будет возвращён в эту группу.

Удаление LDAP-пользователей

После удаления учётной записи пользователя LDAP с сервера системы, пользователь по-прежнему сможет войти в систему под своими учётными данными, авторизовавшись через LDAP. Учётная запись при этом будет создана заново с правами по умолчанию; права полученные через группы, останутся прежними.

Параметр ldap.create_user_for_existing_group_only не влияет на существующих пользователей. Если опция активирована, а имена групп не совпадают с именами групп удалённого пользователя в LDAP, пользователь не сможет создать учётную запись заново.

Чтобы заблокировать LDAP-пользователю доступ к данным, необходимо сменить его статус на Заблокирован.