Интеграция с ALD Pro

Требования: Staffcop Enterprise 5.8, ALD Pro версии 3.0 и выше.

Начиная с версии 5.8, Staffcop Enterprise поддерживает синхронизацию с отечественной службой каталогов ALD Pro. Интеграция позволяет Staffcop одновременно работать с ALD Pro и Microsoft Active Directory (MS AD) для плавной миграции или в гибридной среде.

Возможности интеграции

Описание

Комментарий

Автоматическая синхронизация профилей

Автоматически подтягивает из каталога
ФИО, должность, email и телефон пользователя.

Актуальные отчеты по подразделениям и должностям
без ручного ввода.

Единый вход для администраторов

Вход в веб-консоль по доменным учетным записям.

Настройка прав через группы каталога
без создания новых аккаунтов.

Поддержка смешанной инфраструктуры

Одновременная работа с Active Directory и ALD Pro,
в том числе с доверительными отношениями.

Постепенная миграция без резких переключений.

Настройка интеграции

Последовательность шагов может меняться в зависимости от конкретной инфраструктуры. Примерный порядок выглядит так:

  1. Развертывание ALD Pro — используйте официальную документацию ALD Pro.

  2. Подготовка АРМ.

  3. Интеграция с ALD Pro и MS AD — настраивается в форме Настройки Active Directory.

  4. Установка агентов на рабочие станции.

Возможны и другие варианты последовательности. Например, интеграцию можно настроить до подготовки рабочих станций или до установки агентов.

Перед настройкой ознакомьтесь с вариантами развертывания ниже.

Развертывание с нуля

Гибридное развертывание актуально при переходе с MS AD, когда перенос учетных записей и данных занимает длительное время. Если инфраструктура создается с нуля, настройте ALD Pro без интеграции с MS AD. В этом случае пропустите п. 3. Все остальные шаги обзяательны, включая подготовку АРМ.

Гибридное развертывание в Staffcop

Многие организации переходят на отечественные решения, но полная миграция с Microsoft Active Directory требует времени и ресурсов.

Чтобы переход на ALD Pro был плавным, Staffcop поддерживает работу в гибридной инфраструктуре.

Возможны два сценария:

  • без доверительных отношений — каталоги работают независимо;

  • с доверительными отношениями — профили объединяются.

См.также

Развертывание происходит на стороне ALD Pro— см. документацию.
Настройка требует продвинутых навыков администрирования. При возникновении вопросов обратитесь в поддержку ALD Pro или в техническую поддержку Staffcop.

Параллельная работа без доверительных отношений

Staffcop поддерживает одновременное подключение к нескольким каталогам без настройки доверительных отношений между ними.

Используйте этот сценарий:

  • когда вы мигрируете с MS AD на ALD Pro постепенно, подразделение за подразделением;

  • разные отделы используют разные каталоги, но должны работать в одной системе Staffcop;

  • вы хотите сравнить работу двух каталогов перед полным переходом.

Как это работает:

  1. Настройте каждый каталог в форме Настройки Active Directory.

  2. Пользователи из разных каталогов отобразятся как разные учетные записи, даже если у них совпадают логины.

  3. Linux-агент передаст SID каждого доменного пользователя, чтобы система могла точно привязать события к профилю.

Работа с доверительными отношениями

ALD Pro поддерживает доверительные отношения с доменами Active Directory.

Настройка доверительных отношений дает преимущества:

  • единый вход — пользователи работают на компьютерах в разных доменах через одну учетную запись;

  • гибкую миграцию — перевод подразделений на ALD Pro без отключения от MS AD;

  • экономию лицензий — один пользователь в разных доменах с доверительными отношениями учитывается как один сотрудник.

Как это работает:

Между доменами aldpro.local и microsoft.local настроено доверие. Сотрудник Иван Петров использует учетную запись i.petrov@microsoft.local. С ее помощью он может:

  • войти в ОС Astra Linux в домене ALD Pro;

  • получить доступ к файловым ресурсам в домене Microsoft AD;

  • работать в Staffcop — система свяжет его активность с одним профилем независимо от домена авторизации.

Процесс выглядит так:

  1. Сотрудник авторизовался на доменном компьютере ALD Pro под своей учетной записью.

  2. Linux-агент получил SID пользователя из SSSD-кэша. Благодаря доверительным отношениям SID одинаков в MS AD и ALD Pro.

  3. Агент отправил SID на сервер Staffcop.

  4. Сервер нашел пользователя по SID и привязал события к его профилю.

В результате на сервере один пользователь, который работает на двух компьютерах из разных доменов. Используется одна лицензия.

Подготовка АРМ

Для корректной работы с ALD Pro:

  • включите поддержку полных имен пользователей;

  • установите на АРМ с ОС Linux агент версии 0.18.37 и выше;

  • установите на АРМ с ОС Linux пакет ldb-tools для передачи SID.

Как включить полные имена пользователей

Примечание

В Astra Linux Special Edition 1.8 после ввода компьютеров в домен по умолчанию используются полные имена пользователей.
Подробнее — в документации Astra Linux

Если поддержка полных имен отключена:

  1. Откройте файл /etc/sssd/sssd.conf.

  2. Установите параметр:

use_fully_qualified_names = True

  1. Сохраните файл.

  2. Перезапустите службу:

sudo systemctl restart sssd

Передача SID

Начиная с версии 0.18.37, Linux-агент передает SID в качестве GUID доменного пользователя ALD Pro.

Примечание

Для получения SID на компьютере с агентом должен быть установлен пакет ldb-tools.

Если агент не может получить идентификатор (например, кэш SSSD недоступен), поле SID остается пустым, синхронизация продолжается без ошибки.