Просмотров: 13709 (Статистика ведётся с 06.02.2017)
Дата последнего изменения: 13.07.2018

Создание записи об AD/LDAP сервере выполняется в административном разделе Bitrix Framework, в которой указываются все необходимые сведения о сервере и соответствия групп пользователей.

Каждая запись регламентирует доступ к одному корню дерева каталогов. Если сведения о группах пользователей корпоративной сети хранятся в базах данных нескольких серверов или в нескольких базах данных одного сервера, то следует создать несколько записей, регламентирующих доступ к ним.

  • Перейдите на страницу Active Directory/LDAP серверы (Настройки > AD/LDAP) и нажмите кнопку Добавить, расположенную на контекстной панели.

    Откроется форма создания новой записи.

  • На закладке Сервер указываются сведения о корпоративном сервере и параметры доступа к базе данных групп пользователей, расположенной на нем.

    Примечание: Данные для заполнения полей необходимо запросить у системного администратора.

    Примечание: При редактировании существующего сервера, кроме нижеперечисленных полей становятся доступными еще поля: Код и Последнее изменение.

    Форма создания новой записи об AD/LDAP сервере

    • Активен - отметьте данную опцию, чтобы при авторизации пользователя поиск его бюджета мог быть осуществлен в соответствии с параметрами данной записи.
    • Название - укажите название создаваемой записи для обращения к ней в списке.
    • Описание - произвольное описание создаваемой записи сервера.
    • Домен для NTLM авторизации - используется для определения нужного AD/LDAP сервера при авторизации в виде домен\логин (задается на латинице), а также при автоматической NTLM авторизации (должно соответствовать домену организации, включая регистр).

      Такой вид будет указывать на конкретную запись, в соответствии с которой должен быть осуществлен поиск бюджета пользователя на корпоративном сервере.

      Если имеется несколько LDAP-серверов, то использование этого поля становится необходимым, так как на разных серверах могут быть пользователи с одинаковым именем. В этом случае с помощью мнемонического имени будет определяться запись, указывающая на сервер и корень дерева каталогов, в котором следует искать бюджет пользователя, используемый для его авторизации в Bitrix Framework.

      Если в настройках нескольких серверов указан один и тот же домен, то с версии 15.0 обращение происходит не к первому подходящему, а перебираются все подходящие сервера.

    • Сервер:порт - укажите адрес корпоративного сервера с базой данных групп пользователей и порт, по которому к нему будет осуществляться обращение (389 порт является стандартным для обращения к LDAP серверу).
    • Логин пользователя с правами доступа на чтение к дереву - укажите логин для выполнения административного входа на сервер в формате логин@домен или домен\логин.
    • Пароль - укажите пароль для выполнения административного входа на сервер.
    • Кнопка Проверить служит для проверки введенных выше данных и установления пробного соединения с сервером.

      Сообщение об успешном соединении с сервером

      В случае если проверка была произведена успешно, сервер возвратит список доступных корней деревьев. Если же при проверке произошла ошибка, то вверху страницы будет выведена надпись красного цвета с указанием причины ошибки.

    • Корень дерева - укажите корень дерева каталогов, в котором будет осуществляться поиск бюджетов авторизуемых пользователей.
    • Максимальное количество объектов, возвращаемых при одном поиске - укажите, если необходимо, максимальное количество записей, получаемых за один запрос.

      Примечание: Данное поле доступно только для php версии 5.4 и выше.

  • На закладке Настройка полей указываются значения параметров для схемы данных бюджетов пользователей, хранимых на сервере.

    Стандартные значения параметров как для LDAP, так и для AD сервера подставляются в поля формы автоматически.

    Значения параметров для AD сервера

    Значения параметров для LDAP сервера

    • Выбор типа сервера осуществляется путем нажатия ссылки с соответствующим названием в заглавии раздела.
    • Если стандартные значения данных параметров были изменены на корпоративном сервере, то соответствующие изменения нужно внести в значения параметров в форме.

    Если вам необходимо добавить поля в группу Соответствие полей пользователя и атрибутов AD (LDAP), то воспользуйтесь ссылкой [добавить…]. В настройках LDAP-сервера необходимо указывать минимально необходимые поля, такие как Активность, Имя, Фамилия, E-Mail адрес, т.е. поля которые необходимо постоянно переносить (синхронизировать из AD). Остальные поля можно настроить при импорте в форме импорта пользователей в закладке Настройка полей.

    Каждое из полей, добавленное в эту группу будет проверяться на изменения при синхронизации и, при несоответствии, изменяться на стороне продукта "1С-Битрикс". То есть, если пользователь изменил какое-либо поле в своем профиле, то при последующей синхронизации полю будет возвращено прежнее значение.

    Поэтому рекомендуется при первичном импорте пользователей добавить максимально возможное число полей, а после импорта, если используется периодическая синхронизация, удалить поля, которые не нуждаются в периодической проверке.

    Отделы и структура компании

    Данная секция отображается только при редактировании уже созданного подключения и позволяет настроить параметры импорта структуры компании в Bitrix Framework.

    Значения параметров для LDAP сервера

    • Используйте опцию Импортировать структуру компании из AD, если хотите импортировать структуру компании из AD при синхронизации данных пользователей корпоративной сети с Bitrix Framework.
    • Укажите Подразделение, внутрь которого будет импортирована структура компании с AD-сервера. Если выбрать нет, то структура будет импортироваться в корень дерева подразделений.

      Примечание: Указание фиксированного места для импорта очень полезно, если в компании несколько филиалов, каждый со своим сервером. Тогда в структуре компании можно вручную создать подразделение для каждого филиала, и в настройках каждого сервера выбрать свое.

      Если при импорте имена подразделений в AD совпадут с существующими в системе - будут использованы существующие подразделения.

    • Используйте опцию Импортировать в структуру компании пользователей, у которых не указано подразделение для того, чтобы пользователи, у которых не указано подразделение в Active Directory, также импортировались в структуру Bitrix Framework.
    • Укажите Название подразделения по умолчанию (пустое значение соответствует корневому подразделению данного сервера) к которому будут причислены пользователи, у которых не указано подразделение.
  • На закладке Группы осуществляется загрузка групп пользователей корпоративной сети и Bitrix Framework в таблицу соответствий и задание соответствий этих групп.

    Настройка соответствий групп

    • Чтобы добавить названия групп пользователей в таблицу, нужно нажать кнопку Обновить список групп.

    Параллельно будет произведена проверка параметров, введенных в предыдущих разделах.

    После обновления списка групп пользователей в данном разделе отобразится таблица соответствий:

    Настройка соответствий групп

    • В столбце таблицы Группа на удаленном сервере осуществляется выбор групп пользователей корпоративной сети.
    • В столбце Локальная группа выбираются группы пользователей Bitrix Framework, которые ставятся в соответствие группам пользователей корпоративной сети. Таким образом, в одной строке таблице будет размещена группа пользователей корпоративной сети и поставленная ей в соответствие группа пользователей Bitrix Framework.
    • Для того чтобы удалить строку соответствия из таблицы, нужно установить флажок в поле Удалить и нажать кнопку Применить. Флажки будут доступны в случае редактирования сохраненных ранее полей. Соответственно при создании нового подключения поля еще не сохранены и поэтому флажки недоступны.
    • С помощью кнопки Еще выполняется добавление пустых строк в таблицу соответствий.
    • При необходимости в поле Отмеченные ниже группы не участвуют в импорте пользователей укажите группы, которые не должны участвовать в импорте. Группы, отмеченные в этом поле, не будут участвовать в импорте, даже если они будут выбраны в качестве источника в колонке Группа на удаленном сервере.

      Если необходимо пользователей из одной и той же группы на сервере прописать в две разные локальные группы системы Bitrix Framework, то выберите эту группу в колонке Группа на удаленном сервере несколько раз и для каждой строки назначьте свои группы в колонке Локальная группа.

      Если в качестве Локальной группы в двух строках выбрана одна из имеющихся групп, а в Группах на удаленном севере – две разных, то в локальную группу добавятся только те пользователи, которые есть в обеих группах.

  • Если есть необходимость обеспечить периодическую синхронизацию баз, то перейдите на закладку Синхронизация:

    Настройка синхронизации

    • Поставьте флажок в поле Выполнять периодическую полную синхронизацию. Станут активными поля, расположенные ниже.
    • Введите периодичность синхронизации в часах в поле Период, каждые.
    • Введите атрибут LDAP атрибут с датой изменения для ведения лога изменений.

      Для периодической синхронизации удобно использовать Агенты - технология, позволяющая запускать необходимые функции во время обычной жизни системы без использования каких-либо внешних программ. Подробней об использовании агентов смотрите в пользовательской документации продукта.

      Примечание: При включенной автоматической синхронизации новые пользователи могут быть добавлены только с версии 15.0. В более ранних версиях обновляются только профайлы существующих пользователей. Новые сотрудники в этих версиях добавляются через импорт вручную или после их самостоятельной авторизации в Bitrix Framework.

  • Для сохранения записи и возврата к списку серверов нажмите кнопку Сохранить.
  • После сохранения запись будет добавлена в список на странице Active Directory/LDAP серверы.

    Для изменения или удаления записи нужно выбрать соответствующий пункт в меню действий выбранной записи.

Документация по теме:


23


Курсы разработаны в компании «1С-Битрикс»