Настройки Active Directory

Раздел Панель управленияНастройки Active Directory позволяет:

  • задать параметры авторизации на контроллере домена,

  • создать группы пользователей AD, которые смогут входить в веб-интерфейс Staffcop Enterprise с помощью своих учетных записей из AD.

На основе авторизационных данных на контроллере домена можно:

  • назначать конфигурации для агентов групп пользователей,

  • разрешать доступ к веб-интерфейсу Staffcop Enterprise.

Подключение к Active Directory

Чтобы настроить подключение к AD, в разделе Панель управленияНастройки Active Directory выберите один из доменов или создайте новое подключение с помощью Добавить.

../../_images/ad_sync_1.1.png

В открывшемся окне задайте основные настройки для подключения.

../../_images/ad_sync_1.2.png
  • Домен – имя домена;

  • Контроллеры домена – IP-адрес или FQDN контроллера домена, если контроллеров домена больше одного, укажите их через запятую;

  • Порт – порт подключения (389 без использования SSL, 636 – с использованием);

  • SSL – включает подключение по SSL-протоколу.

В секции Синхронизация профилей Active Directory заполните все поля и выберите опции.

../../_images/ad_sync_1.3.png
  • Включить синхронизацию — включает синхронизацию с контроллером домена;

  • Синхронизировать аккаунты — синхронизирует все аккаунты из AD;

    Предупреждение

    Не используйте одновременно параметры Включить синхронизацию аккаунтов и Автоматически обновлять профиль из AD. Если включены оба, информация в профиле пользователя может стать некорректной, так как Автоматически обновлять профиль из AD получает данные от агента, а Включить синхронизацию аккаунтов — из Active Directory

  • Синхронизировать только существующие аккаунты — синхронизирует данные учетных записей согласно списку Пользователи на сервере Staffcop. Опция не работает, если не включена синхронизация профилей;

  • Дополнительно синхронизировать по логину пользователя — синхронизирует пользователей по логину из Active Directory, если в ходе синхронизации выявлены аккаунты без SID в поле GUID. Включите опцию, если в домене есть пользователи ОС Linux. У таких пользователей в поле GUID указаны логины, потому что в Linux отсутствует SID пользователя;

    Предупреждение

    Если есть аккаунты с одинаковыми логинами, данные пользователей могут некорректно перезаписаться, даже если они находятся на разных поддоменах и имеют разные суффиксы — например, test.user@1example.ru и test.user@2example.ru.

  • Cинхронизировать конфигурации — позволяет назначать конфигурации компьютерам в соответствии с группами в Active Directory;

  • Пользователь — логин для авторизации на контроллере домена;

  • Пароль — пароль для авторизации на контроллере домена;

  • Разрешить рефералы — позволяет опрашивать все контроллеры домена для получения информации о запрошенной учетной записи. Может замедлить получение данных из AD;

  • Организационное подразделение — подразделение, для которого будет произведена синхронизация.

    Особенности работы с настройкой Организационное подразделение:

    • формат ввода – название подразделения в нижнем регистре с разделителем в виде подчеркивания: organizational_unit;

    • максимальная длина – 255 символов;

    • синхронизация проводится только для уже существующих в подразделении аккаунтов, потому что опция Синхронизировать только существующие аккаунты учитывает Организационное подразделение.

    Организационное подразделение игнорируется:

    • при пустом поле;

    • при авторизации пользователя в Staffcop – поиск пользователя ведётся по всей AD;

    • при назначении Конфигурации компьютера из AD;

    • при установке из AD – поиск ведётся по всей AD.

Расписание

Секция Расписание позволяет выбрать периодичность синхронизации:

  • Разовая задача,

  • С интервалом,

  • Ежедневно,

  • Еженедельно,

  • Ежемесячно.

Включение механизма назначения конфигурации

Начиная с версии 5.4 на сервере доступен новый механизм назначения конфигурации на агентов. Механизм не является обязательным для работы системы, но улучшает скорость взаимодействия агентов и сервера.

Механизм включается командой:

staffcop enable rustsrv

Включение механизма меняет способ назначения конфигурации:

  • на агента: просто включите механизм командой и назначьте конфигурацию,

  • группу AD: включите механизм и синхронизируйте аккаунты в разделе Синхронизация профилей Active Directory, а затем назначьте конфигурацию.

Группы пользователей с доступом к Staffcop

Начиная с версии 5.2 в Staffcop можно управлять правами доступа пользователей на основе групп из AD. Помимо предустановленных групп с заданными правами доступа, можно добавить любые другие группы пользователей из AD и назначить им права.

../../_images/ad_sync_1.4.png

Предустановленные группы пользователей:

  • Администратор Staffcop: APP_STAFF_ADMIN – группа в AD, пользователи которой будут получать административный доступ к веб-интерфейсу Staffcop Enterprise.

  • Пользователь Staffcop: APP_STAFF_USER – группа в AD, пользователи которой будут получать пользовательский доступ к веб-интерфейсу Staffcop Enterprise.

Создание новых групп пользователей

Начиная с версии 5.2 можно назначать права неединичным пользователям, а на основе групп из AD. Для этого:

  1. Объедините нужных пользователей в группу в AD.

Примечание

Не используйте запятую в имени группы, так как это может вызвать проблемы с фильтрацией и настройкой прав доступа.

  1. В веб-интерфейсе Staffcop в разделе Панель управленияНастройки Active Directory откройте раздел для редактирования или создайте новый.

  2. В секции Группы пользователей с доступом к Staffcop нажмите кнопку Добавить ещё.

../../_images/ad_sync_1.5.png
  1. Укажите имя группы в AD, для которой хотите настроить права доступа.

  2. Нажмите Сохранить.

  3. В открывшемся окне выберите необходимые группы прав Staffcop.

../../_images/ad_sync_1.6.png
  1. После сохранения изменений настроенные права групп будут видны в разделе Настройки Active Directory.

../../_images/ad_sync_1.7.png