VK Registry logo
Помощь
Обновлена 17 июля 2026 г. в 15:39

LDAP

VK Registry поддерживает аутентификацию пользователей по протоколу LDAP и сопоставление ролей VK Registry с группами LDAP.

Создание LDAP-подключения

Перед началом работы убедитесь, что у вас есть:

  • Доступ к LDAP-серверу.
  • Базовый DN (Distinguished Name) организации. Это уникальное имя, которое однозначно идентифицирует запись в каталоге LDAP и читается справа налево.
  • Учетная запись для подключения к LDAP-серверу с правами на чтение пользователей и групп в базовом DN.
  • SSL-сертификат, загруженный в VK Registry, для подключения по протоколу LDAPS (подробнее — в разделе Загрузка SSL-сертификата).

Чтобы создать LDAP-подключение:

  1. Авторизуйтесь в VK Registry с помощью учетной записи администратора.

  2. Перейдите в раздел БезопасностьLDAP.

  3. Нажмите кнопку Создать.

  4. Задайте параметры:

    • Название — имя подключения.

    • Протокол — протокол для подключения к LDAP-серверу: LDAP или LDAPS.

    • Имя хоста — полное доменное имя или IP-адрес LDAP-сервера.

    • Порт — порт LDAP-сервера. По умолчанию это 389 для LDAP и 636 для LDAPS.

    • Использовать хранилище доверенных сертификатов Registry — опция, которая позволяет использовать SSL-сертификаты VK Registry для подключения к внешним системам.

    • Базовый DN (Base DN) — базовый DN организации для поиска пользователей и групп.

      Пример: DC=company,DC=ru.

    • Метод аутентификации — способ аутентификации при подключении к LDAP:

      • None — анонимная аутентификация, если нужен только доступ на чтение незащищенных записей и атрибутов.
      • Simple — аутентификация по имени пользователя и паролю.
      • CRAM-MD5 — аутентификация на основе алгоритма HMAC-MD5.
      • Digest-MD5 — аутентификация на основе более безопасной версии CRAM-MD5.
    • Область безопасности — область безопасности SASL (Simple Authentication and Security Layer).

    • Имя пользователя или DN — имя или DN учетной записи для подключения к LDAP-серверу. У этой учетной записи должны быть права на чтение пользователей и групп в базовом DN организации.

    • Пароль — пароль учетной записи.

    • Тайм-аут подключения в секундах — максимальное время ожидания для установления соединения с LDAP-сервером.

    • Задержка перед повторной попыткой в секундах — время ожидания перед повторной попыткой подключения при ошибке.

    • Максимальное количество попыток подключения — максимальное количество повторных попыток подключения при ошибке.

  5. Задайте параметры сопоставления пользователей:

    • Относительный DN пользователя — базовый DN пользователей. Определяется относительно базового DN организации.

      Пример: если учетные записи пользователей хранятся в OU=users,DC=company,DC=ru, базовый DN пользователей — OU=users.

    • Искать пользователей не только в относительном DN пользователя, но и во всех вложенных уровнях — опция, которая включает рекурсивный поиск пользователей не только в базовом DN пользователей, но и во всех вложенных уровнях.

    • Класс объекта — класс для определения атрибутов пользователей, описанный в RFC-2798.

    • (Опционально) Фильтр по пользователям — фильтр для ограничения поиска в базовом DN пользователей.

    • Атрибут ID пользователя — атрибут идентификатора пользователя.

    • Атрибут полного имени — атрибут полного имени пользователя.

    • Атрибут почты — атрибут почты (email) пользователя.

    • (Опционально) Атрибут пароля — атрибут пароля пользователя. Задается только при необходимости, потому что аутентификация выполняется через подключение к LDAP-серверу.

  6. Задайте параметры сопоставления групп:

    • Сопоставить группы LDAP с ролями — опция, которая позволяет сопоставить роли в VK Registry с LDAP-группами пользователей.

      Подробнее про механизм сопоставления ролей — в разделе Настройка сопоставления ролей.

    • Тип групп — способ получения информации о группах:

      • Динамические — список групп хранится в атрибуте пользователя.

        Задайте параметр Атрибут участия в группе — атрибут списка групп, в которых состоит пользователь.

      • Статические — список пользователей хранится в группе.

        Задайте параметры:

        • Относительный DN группы — базовый DN групп. Определяется относительно базового DN организации.

          Пример: если группы хранятся в OU=groups,DC=company,DC=ru, базовый DN для групп — OU=groups.

        • Искать группы не только в относительном DN группы, но и во всех вложенных уровнях — опция, которая включает рекурсивный поиск групп не только в базовом DN групп, но и во всех вложенных уровнях.

        • Класс объекта группы — класс для определения атрибутов группы, описанный в RFC-2307.

        • Атрибут ID группы — атрибут идентификатора группы.

        • Атрибут участников группы — атрибут участников группы.

        • Формат участника группы — формат участника группы, который используется для извлечения имени пользователя из атрибута участников группы.

  7. Нажмите кнопку Проверить подключение (сверху), чтобы проверить конфигурацию LDAP.

  8. Нажмите кнопку Сохранить.

Настройка сопоставления ролей

Механизм сопоставления ролей автоматически назначает пользователю роли VK Registry на основе LDAP-групп, в которых состоит пользователь.

Особенности сопоставления ролей:

  • Пользователь получает роль, если идентификатор его LDAP-группы совпадает идентификатором роли в VK Registry.

    Пример: если пользовать состоит в LDAP-группе с идентификатором SysAccounts, в VK Registry ему будет назначена роль c идентификатором SysAccounts.

  • Сопоставление выполняется для всех ролей VK Registry, независимо от того, созданы они до или после включения этого механизма.

  • Роли, назначенные через сопоставление, не отображаются в списке ролей пользователя в разделе БезопасностьПользователи. Эти роли динамические.

  • Роли, назначенные вручную в разделе БезопасностьПользователи, отображаются и действуют постоянно, независимо от того, включено ли сопоставление ролей.

Чтобы настроить сопоставление ролей:

  1. Создайте роль, указав в параметре ID идентификатор группы на LDAP-сервере.

    Подробнее — в разделе Создание роли.

  2. Повторите создание роли для всех нужных LDAP-групп.

  3. Перейдите в раздел БезопасностьLDAP.

  4. Нажмите на имя LDAP-подключения.

  5. Убедитесь, что включена опция Сопоставить группы LDAP с ролями и корректно указаны параметры сопоставления групп:

    • Для групп с типом Динамические — Атрибут участия в группе.

    • Для групп с типом Статические:

      • Относительный DN группы,
      • Искать группы не только в относительном DN группы, но и во всех вложенных уровнях,
      • Класс объекта группы,
      • Атрибут ID группы,
      • Атрибут участников группы,
      • Формат участника группы.

Подробнее о заполнении параметров — в разделе Создание LDAP-подключения.

Проверка входа

Чтобы убедиться, что пользователи LDAP смогут аутентифицироваться в VK Registry:

  1. Авторизуйтесь в VK Registry с помощью учетной записи администратора.
  2. Перейдите в раздел БезопасностьLDAP.
  3. Нажмите на имя LDAP-подключения.
  4. Нажмите кнопку Проверить вход.

Проверка сопоставления пользователей

Чтобы убедиться, что данные пользователей и групп LDAP сопоставлены правильно:

  1. Авторизуйтесь в VK Registry с помощью учетной записи администратора.
  2. Перейдите в раздел БезопасностьLDAP.
  3. Нажмите на имя LDAP-подключения.
  4. Нажмите кнопку Проверить сопоставление пользователей.

Изменение порядка запроса к LDAP-серверам

  1. Авторизуйтесь в VK Registry с помощью учетной записи администратора.
  2. Перейдите в раздел БезопасностьLDAP.
  3. Нажмите кнопку Изменить порядок.
  4. Измените порядок.
  5. Нажмите кнопку Сохранить.

Очистка кеша LDAP-пользователей

Успешные аутентификации кешируются локально, что снижает нагрузку на LDAP-серверы. Чтобы очистить кеш:

  1. Авторизуйтесь в VK Registry с помощью учетной записи администратора.
  2. Перейдите в раздел БезопасностьLDAP.
  3. Нажмите кнопку Очистить кеш.

Редактирование LDAP-подключения

  1. Авторизуйтесь в VK Registry с помощью учетной записи администратора.
  2. Перейдите в раздел БезопасностьLDAP.
  3. Нажмите на имя LDAP-подключения.
  4. Отредактируйте значения параметров.
  5. Нажмите кнопку Проверить подключение (сверху).
  6. Нажмите кнопку Сохранить.

Получение LDAP URL

LDAP URL — специальный указатель, который определяет расположение LDAP-каталога, а также контекст для аутентификации и поиска пользователей и групп. Составляется на основе параметров, заданных при создании LDAP-подключения.

Чтобы получить LDAP URL:

  1. Авторизуйтесь в VK Registry с помощью учетной записи администратора.
  2. Перейдите в раздел БезопасностьLDAP.
  3. Нажмите на значок LDAP и выберите пункт Копировать URL.

Удаление LDAP-подключения

  1. Авторизуйтесь в VK Registry с помощью учетной записи администратора.
  2. Перейдите в раздел БезопасностьLDAP.
  3. Нажмите на значок LDAP и выберите пункт Удалить.