Product SiteDocumentation Site

52.3.2. Настройка аутентификации пользователей

Аутентификатор проверяет подлинность пользователей и предоставляет пользователям и группам пользователей разрешения на подключение к различным виртуальным рабочим столам.
Аутентификатор не является обязательным компонентом для создания «пула услуг», но если не создан хотя бы один аутентификатор, не будет пользователей, которые смогут подключаться к службам на платформе OpenUDS.

Примечание

Если в системе зарегистрировано более одного аутентификатора, и они не отключены, на экран входа будет добавлено поле Аутентификатор с раскрывающимся списком. В этом списке можно выбрать аутентификатор, который система будет использовать для проверки пользователя:
OpenUDS. Выбор типа аутентификации пользователей
При создании любого аутентификатора заполняется поле Метка. Пользователь может пройти проверку подлинности с помощью указанного аутентификатора, даже если в среде OpenUDS настроено несколько аутентификаторов. Для этого нужно получить доступ к экрану входа OpenUDS в формате: OpenUDS-server/uds/page/login/метка (например, https://192.168.0.53/uds/page/login/AD).
Для настройки аутентификации в разделе Аутентификаторы (Autentificators) необходимо выбрать тип аутентификации пользователей. Можно выбрать как внешние источники (Active Directory, OpenLDAP и т.д.), так и внутренние (внутренняя база данных, IP-аутентификация):
OpenUDS. Выбор типа аутентификации пользователей

52.3.2.1. Внутренняя БД

При аутентификации Внутренняя БД данные пользователей и групп хранятся в базе данных, к которой подключен сервер OpenUDS.
Для создания аутентификации типа Внутренняя БД в разделе Аутентификаторы следует нажать кнопку: НовыйВнутренняя БД.
Минимальные параметры конфигурации (вкладка Основной): имя аутентификатора, приоритет и метка.
OpenUDS. Внутренняя база данных
После того, как аутентификатор типа Внутренняя БД создан, нужно зарегистрировать пользователей и группы пользователей. Для этого следует выбрать созданный аутентификатор, затем во вкладке Группы создать группы пользователей, во вкладке Пользователи создать пользователей.
OpenUDS. Внутренняя база данных — пользователи

52.3.2.2. Аутентификатор Regex LDAP

Этот аутентификатор позволяет пользователям и группам пользователей, принадлежащих практически любому аутентификатору на основе LDAP, получать доступ к виртуальным рабочим столам и приложениям.

Важно

На сервере LDAP должна быть настроена отдельная учётная запись с правами чтения LDAP. От данной учетной записи будет выполняться подключение к серверу каталогов.
52.3.2.2.1. FreeIPA
Настройка интеграции с FreeIPA (сервер ipa.example.test):
  1. В разделе Аутентификаторы нажать кнопку: НовыйАутентификатор Regex LDAP.
  2. Заполнить поля первых трёх вкладок.
    Вкладка Основной: имя аутентификатора, приоритет, метка, IP-адрес FreeIPA-сервера, порт (обычно 389 без ssl, 636 с ssl):
    OpenUDS. Интеграция с FreeIPA
    Вкладка Учётные данные: имя пользователя (в формате uid=user_freeipa,cn=users,cn=accounts,dc=example,dc=test) и пароль:
    OpenUDS. Интеграция с FreeIPA — учетные данные пользователя
    Вкладка LDAP информация: общая база пользователей, класс пользователей LDAP, идентификатор атрибута пользователя, атрибут имени пользователя, атрибут имени группы:
    OpenUDS. Интеграция с FreeIPA — LDAP информация

    Примечание

    Используя кнопку Проверить, можно проверить соединение с FreeIPA-сервером.
  3. Добавить группу LDAP, в которую входят пользователи. Для этого следует выбрать созданный аутентификатор, затем в открывшемся окне на вкладке Группы нажать НовыйГруппа.
    Заполнить dn существующей группы (для FreeIPA по умолчанию это группа cn=ipausers,cn=groups,cn=accounts,dc=ipa,dc=example,dc=test), можно также указать разрешённые пулы:
    OpenUDS. Интеграция с FreeIPA — добавление группы LDAP
52.3.2.2.2. Active Directory
Настройка аутентификации в Active Directory (домен test.alt):
  1. В разделе Аутентификаторы нажать кнопку: НовыйАутентификатор Regex LDAP.
  2. Заполнить поля первых трёх вкладок.
    Вкладка Основной: имя аутентификатора, приоритет, метка, IP-адрес сервера AD, порт (обычно 389 без ssl, 636 с ssl):
    OpenUDS. Интеграция с Active Directory
    Вкладка Учётные данные: имя пользователя (можно указать в виде имя@домен) и пароль:
    OpenUDS. Интеграция с Active Directory — учетные данные пользователя
    Вкладка LDAP информация: общая база пользователей, класс пользователей LDAP, идентификатор атрибута пользователя, атрибут имени пользователя, атрибут имени группы:
    OpenUDS. Интеграция с Active Directory — LDAP информация

    Примечание

    Если в поле Идентификатор атрибута пользователя указано userPrincipalName, то пользователь при входе должен указать логин в формате имя_пользователя@домен, если указано sAMAccountName, то в качестве логина используется имя_пользователя без указания домена.

    Примечание

    Используя кнопку Проверить, можно проверить соединение с Active Directory.
  3. Добавить группу LDAP, в которую входят пользователи. Для этого следует выбрать созданный аутентификатор, затем в открывшемся окне на вкладке Группы нажать НовыйГруппа.
    Заполнить dn существующей группы (например, cn=UDS,cn=Users,dc=test,dc=alt), можно также указать разрешённые пулы:
    OpenUDS. Интеграция с Active Directory — добавление группы LDAP

Примечание

На вкладке Пользователи аутентификатора пользователи будут добавляться автоматически после первого входа в систему OpenUDS (пользователи должны входить в группы, указанные в аутентификаторе на вкладке Группа):
OpenUDS. Интеграция с Active Directory — пользователи LDAP
Пользователя, чтобы назначить ему специальные права перед первым подключением, можно зарегистрировать вручную. Для этого на вкладке Пользователи необходимо нажать кнопку Новый и указать имя пользователя, его статус (включен или отключен) и уровень доступа (поле Роль). Не рекомендуется заполнять поле Группы, так как система должна автоматически добавить пользователя в группу участников:
OpenUDS. Интеграция с AD — регистрация пользователя вручную

52.3.2.3. IP аутентификатор

Этот тип аутентификации обеспечивает доступ клиентов к рабочим столам и виртуальным приложениям по IP-адресу.
Для создания аутентификации типа IP аутентификатор в разделе Аутентификаторы следует нажать кнопку: НовыйIP аутентификатор.
Минимальные параметры конфигурации (вкладка Основной): имя аутентификатора, приоритет и метка.
OpenUDS. IP аутентификатор
После того, как аутентификатор типа «IP аутентификатор» создан, следует создать группы пользователей. Группа может представлять собой диапазон IP-адресов (192.168.0.1-192.168.0.55), подсеть (192.168.0.0/24) или отдельные IP-адреса (192.168.0.33,192.168.0.110):
OpenUDS. IP аутентификатор — создание группы пользователей