Барьеры в импортозамещении

Друзья! Обращаем ваше внимание: решения «Труконф» разворачиваются в ИТ-инфраструктуре заказчика, что гарантирует вам полный контроль над коммуникациями и централизованное управление доступом к системе, а также цифровой суверенитет и независимость от разработчиков, интернет-провайдеров и третьих лиц. Инженеры «Труконф» не имеют доступа к вашему аппаратному и сетевому оборудованию, а также передаваемым…

В мире ВКС 17 февраля, 2021

TrueConf MCU — программный сервер для классических ВКС-решений

TrueConf MCU — классический сервер видеосвязи для аппаратных терминалов, с помощью которого можно проводить видеоконференции до 150 устройств. Решение предназначено для замены устаревших аппаратных MCU зарубежных производителей или масштабирования существующих ВКС-сетей, работающих на протоколах SIP/H.323. Скачать TrueConf MCU

В мире ВКС

Фильтрация учётных записей LDAP

Протокол LDAP — эффективное средство для централизованного управления учётными данными в корпоративной инфраструктуре.

Подробнее про протокол LDAP и сервер службы каталогов Microsoft Active Directory можно узнать из нашей статьи.

Службы каталогов, совместимые с LDAP (например, Active Directory, FreeIPA или 389 Directory Server), позволяют реализовать единый вход (Single Sign-On): пользователь получает одну учётную запись для доступа ко всем используемым корпоративным приложениям. Это снижает административную нагрузку и повышает удобство использования системы.

Среди корпоративных решений используется и мессенджер с видеосвязью TrueConf Server (или его продвинутая версия TrueConf Enterprise). В этом случае также можно использовать интеграцию с каталогами LDAP. Подробная настройка для мессенджера Труконф описана в документации.

Но следует учитывать, что в каталогах могут присутствовать служебные учётные записи (сервисные аккаунты, машинные объекты) и обычные пользователи, которым не требуется доступ к определённым сервисам. Чтобы исключить такие записи из синхронизации, на TrueConf Server можно настроить различные фильтры для определения группы пользователей, которые будут синхронизированы из службы Active Directory.

Для успешного поиска нужных пользователей мы можем воспользоваться двумя инструментами в настройке интеграции LDAP на TrueConf Server:

Путь (distinguishedName) — полное уникальное имя записи в каталоге. С помощью DN можно выбрать группу пользователей, которая будет добавлена на TrueConf Server (если интеграция с LDAP уже настроена на вашем сервере, то эта настройка уже выполнена).
Filter Disabled — параметр, который указывает на учётные записи, которые отключены и не будут отображаться на вашем TrueConf Server.

Настройка фильтрации с помощью DN

Чтобы пользоваться возможностями TrueConf Server могли только определённые пользователи, в службе каталогов создают отдельную группу объектов.

Указать группу для синхронизации вы можете в разделе Пользователи → LDAP / Active Directory → Настройки LDAP.

На открывшейся странице найдите поле Путь (distinguishedName) и на основе данных из таблицы введите параметры:

Обозначение	Расшифровка	Назначение
dc	Domain Component	Часть DNS-имени домена
ou	Organizational Unit	Подразделение, отдел, группа
cn	Common Name	Общее имя объекта (человека, группы, сервиса)

На основе этой таблицы DN для группы trueconf_users, в домене example.com будет иметь запись

cn=trueconf_users,ou=Groups,dc=example,dc=com — для AD
cn=trueconf_users,ou=Groups,dc=example,dc=com — для FreeIPA / ALD Pro
cn=trueconf_users,ou=Groups,dc=example,dc=com — для 389 Directory Server / OpenLDAP

Если у вас не получается самостоятельно определить DN вашей группы или ваше древо каталога имеет сильные отличия от представленного, то воспользуйтесь терминалом (консолью) на машине с установленной службой каталогов. Используйте следующие команды и в выводе будет подробное описание DN для вашей группы:

Get-ADGroup group_name | Select-Object DistinguishedName — для AD (выполняется в Windows Powershell)
ipa group-show group_name --raw — для FreeIPA/ALD Pro (в консоли Linux)
ldapsearch -x -H ldap://your-ldap-server \ -D "bind_dn" -W \ -b "dc=example,dc=com" \ "(cn=group_name)" dn — для любого LDAP-сервера на Windows и Linux

где group_name — название вашей группы.

ldapsearch -x -H ldap://localhost   -D "cn=admin,dc=example,dc=com" -W   -b "dc=example,dc=com"   "(cn=group_name)" dn
Enter LDAP Password:
# extended LDIF

# LDAPv3
# base <dc=example,dc=com> with scope subtree
# filter: (cn=group_name)
# requesting: dn

# search result
search: 2
result: 0 Success

# numResponses: 1

ldapsearch -x -H ldap://localhost -D "cn=admin,dc=example,dc=com" -W -b "dc=example,dc=com" "(cn=group_name)" dn

Enter LDAP Password:

# extended LDIF

# LDAPv3

# base <dc=example,dc=com> with scope subtree

# filter: (cn=group_name)

# requesting: dn

# search result

search: 2

result: 0 Success

# numResponses: 1

Подробнее вы можете ознакомиться в соответствующих документациях к службам каталогов.

При успешном подключении к службе каталогов по протоколу LDAP вы сможете выбрать группу с помощью кнопки Обзор.

Иногда может возникнуть ситуация, когда в группе, пользователи которой должны быть синхронизированы с сервером TrueConf, есть служебные учётные записи, которые нельзя отключать и перемещать. В таком случае стоит настроить фильтрацию пользователей на стороне TrueConf Server.

Необходимая информация для составления фильтра есть в официальной документации Active Directory.

Также для составления фильтра можно воспользоваться таблицей-конструктором из которой вы можете взять необходимые параметры и подставить ваши данные.

Таблица-конструктор фильтра LDAP

Фильтрация	Фильтр
Поиск пользователей	`(objectClass=user)` — только для AD `(objectClass=inetOrgPerson)` — только для OpenLDAP
Только активные учётные записи	`(!(userAccountControl:1.2.840.113556.1.4.803:=2))` — только для Active Directory
Член определённой группы	`(memberOf=CN=tcusers,OU=Groups,DC=example,DC=com)`
Должен быть какой-либо email	`(mail=*)`
Конкретный email	`(mail=test@example.com)`
Имя пользователя содержит ключевое слово	`(cn=test)`

Параметр memberOf должен совпадать с группой указанной для синхронизации на TrueConf Server.

Например, вот фильтр, который найдёт в службе каталогов Active Directory всех активных пользователей с именем test, из группы Developers:

(&amp;
  (objectClass=user)
  (cn=*test*)
  (memberOf=CN=Developers,OU=Groups,DC=example,DC=com)
  (!(userAccountControl:1.2.840.113556.1.4.803:=2))
)

(objectClass=user)

(cn=*test*)

(memberOf=CN=Developers,OU=Groups,DC=example,DC=com)

(!(userAccountControl:1.2.840.113556.1.4.803:=2))

)

(фильтр собирается в одну строку без переносов)

После того как фильтр был создан, необходимо перейти в раздел Пользователи → LDAP / Active Directory → Настройки LDAP, раскрыть вкладку Дополнительно и в поле Filter Disabled (укажите созданный ранее фильтр).

После того как вы примените настройки, на сервере будут добавлены только пользователи которые соответствуют указанному фильтру.

Для лучшего понимания темы советуем ознакомиться с документацией вашего провайдера службы каталогов.

Кроме параметра Filter Disabled, также имеются такие параметры как Filter Login, Filter CallID и Filter Group. Менять их нет необходимости так как они являются служебными для уточнения какие записи в службе каталогов и будут считаться пользователем или группой.