Active Directory (LDAP)
Описание раздела
Раздел Active Directory (LDAP) позволяет настроить интеграцию системы Пуаро с корпоративным сервером LDAP (Active Directory). После настройки пользователи смогут входить в систему, используя свои корпоративные учётные данные.
Преимущества интеграции с AD
- Единая точка входа (SSO) — пользователи используют корпоративные логин и пароль для входа в Пуаро
- Централизованное управление — учётные записи управляются в Active Directory, нет необходимости создавать отдельных пользователей в системе
- Обогащение данных — система автоматически получает дополнительную информацию о пользователях из AD:
- ФИО сотрудника
- Должность
- Отдел / подразделение
- Контактные данные (email, телефон)
- Руководитель
- Автоматическая синхронизация — изменения в AD (увольнение, смена должности) автоматически отражаются в системе
Способы авторизации
После настройки интеграции с LDAP на экране входа появляется выбор способа авторизации:
| Способ | Описание |
|---|---|
| Обычная авторизация | Вход с использованием логина и пароля системы Пуаро |
| Active Directory (LDAP) | Вход с использованием корпоративного аккаунта |
При выборе Active Directory (LDAP) пользователь вводит свои корпоративные учётные данные. Система проверяет их на сервере LDAP и при успешной аутентификации предоставляет доступ.
Настройка подключения к LDAP
Для настройки интеграции с Active Directory необходимо указать параметры подключения к серверу LDAP.
Основные параметры
| Параметр | Описание |
|---|---|
| Адрес сервера | IP-адрес или доменное имя сервера LDAP (например, ldap.company.local или 192.168.1.100) |
| Порт | Порт подключения (по умолчанию 389 для LDAP, 636 для LDAPS) |
| Использовать SSL | Включение защищённого соединения (LDAPS) |
| Base DN | Базовый DN для поиска пользователей (например, DC=company,DC=local) |
| Bind DN | DN учётной записи для подключения к LDAP (например, CN=ldap_reader,OU=Service,DC=company,DC=local) |
| Bind Password | Пароль учётной записи для подключения |
Параметры поиска пользователей
| Параметр | Описание |
|---|---|
| User Search Base | DN для поиска пользователей (например, OU=Users,DC=company,DC=local) |
| User Search Filter | Фильтр поиска пользователей (например, (sAMAccountName={0})) |
| Username Attribute | Атрибут, содержащий имя пользователя (обычно sAMAccountName) |
Маппинг атрибутов
Для обогащения информации о пользователях необходимо настроить соответствие атрибутов LDAP полям системы:
| Поле Пуаро | Атрибут LDAP | Описание |
|---|---|---|
| Имя | givenName | Имя сотрудника |
| Фамилия | sn | Фамилия сотрудника |
mail | Электронная почта | |
| Должность | title | Должность в компании |
| Отдел | department | Подразделение |
| Телефон | telephoneNumber | Контактный телефон |
| Руководитель | manager | DN руководителя |
Для корректной работы интеграции учётная запись Bind DN должна иметь права на чтение атрибутов пользователей в указанном User Search Base.
Пример конфигурации
Настройка LDAP выполняется через переменные окружения в файле конфигурации системы:
# LDAP Server (Active Directory)
LDAP_ENABLED=true
LDAP_SERVER_URI=ldap://localhost:389
LDAP_BIND_DN=cn=admin,dc=example,dc=org
LDAP_BIND_PASSWORD=admin
LDAP_USER_SEARCH_BASE=ou=users,dc=example,dc=org
LDAP_USER_SEARCH_FILTER=(uid=%(user)s)Описание параметров конфигурации
| Параметр | Описание | Пример |
|---|---|---|
LDAP_ENABLED | Включение/отключение интеграции с LDAP | true / false |
LDAP_SERVER_URI | URI сервера LDAP с указанием протокола и порта | ldap://ldap.company.local:389 или ldaps://ldap.company.local:636 |
LDAP_BIND_DN | DN учётной записи для подключения к серверу LDAP | cn=ldap_reader,ou=service,dc=company,dc=local |
LDAP_BIND_PASSWORD | Пароль учётной записи для подключения | secret_password |
LDAP_USER_SEARCH_BASE | Базовый DN для поиска пользователей | ou=users,dc=company,dc=local |
LDAP_USER_SEARCH_FILTER | Фильтр для поиска пользователя по логину | (sAMAccountName=%(user)s) для AD или (uid=%(user)s) для OpenLDAP |
Примеры для разных окружений
Active Directory (Windows Server):
LDAP_ENABLED=true
LDAP_SERVER_URI=ldap://dc01.company.local:389
LDAP_BIND_DN=CN=svc_puaro,OU=ServiceAccounts,DC=company,DC=local
LDAP_BIND_PASSWORD=ServiceAccountPassword123
LDAP_USER_SEARCH_BASE=OU=Employees,DC=company,DC=local
LDAP_USER_SEARCH_FILTER=(sAMAccountName=%(user)s)Active Directory с SSL (LDAPS):
LDAP_ENABLED=true
LDAP_SERVER_URI=ldaps://dc01.company.local:636
LDAP_BIND_DN=CN=svc_puaro,OU=ServiceAccounts,DC=company,DC=local
LDAP_BIND_PASSWORD=ServiceAccountPassword123
LDAP_USER_SEARCH_BASE=OU=Employees,DC=company,DC=local
LDAP_USER_SEARCH_FILTER=(sAMAccountName=%(user)s)OpenLDAP:
LDAP_ENABLED=true
LDAP_SERVER_URI=ldap://ldap.company.local:389
LDAP_BIND_DN=cn=readonly,dc=company,dc=local
LDAP_BIND_PASSWORD=readonly_password
LDAP_USER_SEARCH_BASE=ou=people,dc=company,dc=local
LDAP_USER_SEARCH_FILTER=(uid=%(user)s)Рекомендуется использовать LDAPS (порт 636) для защищённой передачи учётных данных. При использовании самоподписанных сертификатов может потребоваться дополнительная настройка доверия к сертификату.
Использование данных из AD
После настройки интеграции система Пуаро использует данные из Active Directory для:
Обогащения учётных записей
Информация о сотрудниках (должность, отдел, контакты) автоматически подтягивается из AD и отображается в профилях учётных записей. Это позволяет:
- Быстро идентифицировать владельца учётной записи БД
- Понимать роль сотрудника в организации
- Связываться с сотрудником при расследовании инцидентов
Анализа поведения
Данные из AD помогают при анализе поведенческой модели:
- Группировка активности по отделам
- Выявление аномалий с учётом должности сотрудника
- Оповещение руководителя при обнаружении инцидента
Формирования отчётов
Отчёты могут включать информацию из AD:
- ФИО и должность вместо технического логина
- Группировка по подразделениям
- Контактные данные для связи
Регулярная синхронизация с AD позволяет поддерживать актуальность информации о сотрудниках. Рекомендуется настроить периодическое обновление данных.