Fudo Getting Started

Помимо внутренних пользователей, которых мы заводим внутри Fudo, мы также можем синхронизировать пользователей с контроллера домена.

Важным фактором в настройке является наличие связи между оборудованием Fudo и самим контроллером домена. Для этого на Fudo необходимо настроить интерфейс, который будет либо напрямую подключён к контроллеру домена, либо через L3 коммутатор.

В примере, который будет описан дальше, у нас будет один интерфейс, который напрямую подключен к L3 коммутатору, который, в свою очередь, маршрутизирует трафик непосредственно на контроллер домена.

Настроить интерфейс на Fudo можно в разделе "Network Configuration".

Стоит обратить внимание на настройку "Routing table" (выпадающее меню), т.к. с помощью неё мы можем настраивать таблицу маршрутизации. Она, в свою очередь, настраивается во вкладке "Routing". Сейчас у нас выбрана таблица 0.

Никаких других маршрутов для примера нам не понадобится, поэтому мы можем обойтись маршрутом по умолчанию.

Теперь, когда наш контроллер домена «связан» с Fudo, мы можем перейти к самой настройке синхронизации, для этого необходимо открыть раздел "LDAP synchronization"

Здесь нажимаем "Add LDAP domain" и переходим к настройке.

В поле "Name" добавляем имя сервера, необязательно, чтобы оно совпадало с именем самого домена.

Priority определяет порядок, в котором запрашиваются домены, если у вас их несколько. Меньшее число означает более высокий приоритет.

Server type определяет тип сервера. Здесь есть два варианта: либо LDAP, либо AD.

В полях Username и Password вводятся учетные данные администратора внутри контроллера домена.

В поле AD/LDAP Domain вводится непосредственно имя нашего контроллера домена.

В полях "Base for user search" и "Base for group search" вводится путь к группам и пользователям внутри контроллера домена. В нашем случае это одна OU.

В подразделе "LDAP controllers" вводим данные о нашем AD.

• Опция "Page LDAP results", чтобы включить разбиение по страницам
  
  
• Опция "Encrypted connection" необходима, чтобы включить шифрование и загрузить сертификат ЦС
  
  

Подраздел " Attributes mapping" позволяет импортировать информацию о пользователях из нестандартных атрибутов, например, номер телефона, определенный в атрибуте с именем mobile вместо стандартного phoneNumber.

В подраздел "LDAP controllers" мы вписываем адрес и порт для подключения к нашему контроллеру домена. В итоге у нас получается вот такая картина:

Далее в подразделе "Groups mappings" мы можем выбирать группы пользователей, которые будут подключаться к выбранным нами серверам, но перед этим необходимо создать объект аутентификации групп пользователей с помощью функции "External authentication".

Для начала необходимо добавить источник внешнего подключения:

Всего есть 4 типа системы аутентификации, нам необходимо указывать параметры в зависимости от выбранного типа.

Cerb:

• Host – IP-адрес сервера
  
  
• Port - порт, используемый для установления соединения с данным сервером.
  
  
• Bind address используется для отправки запросов на данный хост.
  
  
• Secret используется для установления соединения с сервером.
  
  
• Service CERB используется для аутентификации пользователей Fudo PAM.
  
  

Radius:

• Host – IP-адрес сервера
  
  
• Port - порт, используемый для установления соединения с данным сервером.
  
  
• Bind address используется для отправки запросов на данный хост.
  
  
• Secret используется для установления соединения с сервером.
  
  
• NAS ID - RADIUS server NAS-Identifier параметр.
  
  

LDAP:

• Host – IP-адрес сервера
  
  
• Port - порт, используемый для установления соединения с данным сервером.
  
  
• Bind address используется для отправки запросов на данный хост.
  
  
• User DN template - шаблон содержащий путь, который будет использоваться для создания запросов к серверу LDAP.
  
  

Active Directory:

• Host – IP-адрес сервера
  
  
• Port - порт, используемый для установления соединения с данным сервером.
  
  
• Bind address используется для отправки запросов на данный хост.
  
  
• Domain - домен, который будет использоваться для аутентификации пользователей в Active Director

В нашем примере будет использоваться аутентификация Active Directory по внутреннему паролю домена и выглядеть она будет так:

На данный момент мы имеем созданную группу с двумя созданными пользователями в AD:

На самом Fudo у нас активны всего 2 пользователя: admin и Testuser.

Теперь нам необходимо вернуться в раздел "LDAP synchronization" и добавить данную группу с только что созданным вариантом аутентификации. Как можно увидеть, Fudo сам автоматически выдает путь группы:

В итоге мы получаем такую картину:

Чтобы убедиться, что синхронизация прошла успешно, необходимо перейти в "Users", где мы должны увидеть двух пользователей с контроллера домена были созданы на Fudo:

В будущем, при добавлении новых пользователей или групп на Fudo, необходимо нажимать "Force full synchronization", чтобы принудительно обновлять информацию с контроллера домена на Fudo. Находится данная кнопка в разделе "LDAP synchronization":

В данной статье мы подробно рассмотрели настройку синхронизации Fudo с контроллером домена, которая позволяет импортировать информацию о пользователях с серверов Active Directory или других серверов, совместимых с протоколом LDAP.