Аутентификация сервера LDAP

Вы можете сконфигурировать Service Desk или Asset Manager для аутентификации пользователей служб каталогов на сервере LDAP (используя пароль в домене) вместо использования паролей пользователей в приложений Service Desk или Asset Manager. Это отличается и не может использоваться с функцией интегрированного входа, но позволяет обслуживать учетные записи пользователей отдельно от Service Desk или Asset Manager и пользоваться одним паролем. Предоставляемое имя пользователя используется для поиска внешнего имени в значении атрибута "Сетевой вход пользователя". Значения "Сетевой вход" и пароль, использованные во время аутентификации в службе каталога, указываются в конфигурации.

Пользователь SA всегда выполняет вход с использованием стандартной явной процедуры, пропуская аутентификацию LDAP.

Аутентификация LDAP не поддерживается в приложении Workspaces.

Перед тем, как начать использовать аутентификацию сервера LDAP, необходимо использовать компонент администрирования консоли Ivanti для добавления сетевых входов пользователей с полными именами LDAP:

  • Если выполняется аутентификация в eDirectory:
    CN=имя,O=организация
  • Если выполняется аутентификация в Active Directory:
    CN=имя.пользователя,CN=пользователи,DC=домен,DC=com

Вы можете настроить аутентификацию сервера LDAP для входа в каталог Active Directory или eDirectory и использовать обычный текстовый порт (по умолчанию - 389) или порт SSL/TLS (по умолчанию - 636).

Для настройки аутентификации в сервере LDAP для Active Directory:
  1. На своем веб-сервере LANDESK в папках C:\ProgramData\LANDesk\ServiceDesk\servicedesk.Framework и C:\ProgramData\LANDesk\ServiceDesk\servicedesk.WebAccess (где servicedesk - это имя экземпляра) обновите значение <ServerObject> в файлах DirectoryServiceAuthentifictionConfiguration.xml для указания на сервер LDAP, включив номер соответствующего порта.

Например:

<ServerObject>LDAP://имя_сервера:389/cn=users,dc=копания,dc=com</ServerObject>

Укажите номер порта SSL после имени сервера. По умолчанию используется порт 389 для передачи обычного текста или порт 636 для SSL-шифрования.

  1. В обеих копиях файла DirectoryServiceAuthentifictionConfiguration.xml, нужно обновить значение для <AuthenticationType>. Если вы используете передачу обычного текста, установите для этого параметра значение None; если используется порт SSL, установите значение Secure. Например, в случае использования порта SSL введите:

<AuthenticationType>Secure</AuthenticationType>

  1. В обоих файлах ..ProgramData\LANDesk\ServiceDesk\servicedesk.Framework\tps.config и ..ProgramData\LANDesk\ServiceDesk\servicedesk.WebAccess\tps.config добавьте строку:

<add key="AuthenticationProvider" value="Touchpaper.Integrations.LDAPLogon.DirectoryServiceAuthenticationProvider" />

  1. В Центре конфигурации Ivanti откройте необходимый экземпляр.
  2. Рядом с элементом приложения Service Desk Framework щелкните Правка.
    Появится диалог "Изменить приложение" для приложения Service Desk Framework.
  3. В группе Параметры конфигурации выберите значение Только точно заданное в списке Политика входа, а затем нажмите OK.
  4. Рядом с элементом Web Access щелкните Правка.
    Появится диалог "Изменить приложение" для приложения Web Access.
  5. В группе Параметры конфигурации выберите значение Только точно заданное в списке Политика входа, а затем нажмите OK.

Во время входа используйте соответствующие имя пользователя в домене и пароль.

Для настройки аутентификации в сервере LDAP для eDirectory:
  1. На своем веб-сервере LANDESK в папках C:\ProgramData\LANDesk\ServiceDesk\servicedesk.Framework и C:\ProgramData\LANDesk\ServiceDesk\servicedesk.WebAccess (где servicedesk - это имя экземпляра) откройте в текстовом редакторе файл OpenLDAPAuthentifictionConfiguration.xml или OpenLDAPSSLAuthentifictionConfiguration.xml.
  2. Обновите значение <Server> на IP-адрес сервера LDAP.
  3. Обновите значение <Port> на нужный номер порта (значение по умолчанию для обычного текста - 389 или для порта SSL/TLS - 636).
  4. Установите значение <TestDN> для объекта eDirectory, который могут читать все пользователи. Это используется для проверки того, что объект может быть прочитан с помощью предоставленных учетных данных. (Например, o=тестовый_домен)
  5. В обоих файлах ..ProgramData\LANDesk\ServiceDesk\ServiceDesk.Framework\tps.config и ..ProgramData\LANDesk\ServiceDesk\WebAccess\tps.config добавьте строку:

<add key="AuthenticationProvider" value="Touchpaper.Integrations.OpenLDAPLogon.OpenLDAPAuthenticationProvider" />

или строку:

<add key="AuthenticationProvider" value="Touchpaper.Integrations.OpenLDAPSSLLogon.OpenLDAPSSLAuthenticationProvider" />

  1. В Центре конфигурации Ivanti откройте необходимый экземпляр.
  2. Рядом с элементом приложения Service Desk Framework щелкните Правка.
    Появится диалог "Изменить приложение" для приложения Service Desk Framework.
  3. В группе Параметры конфигурации выберите значение Только точно заданное в списке Политика входа, а затем нажмите OK.
  4. Рядом с элементом Web Access щелкните Правка.
    Появится диалог "Изменить приложение" для приложения Web Access.
  5. В группе Параметры конфигурации выберите значение Только точно заданное в списке Политика входа, а затем нажмите OK.

Во время входа используйте соответствующие имя пользователя в домене и пароль.

Регистрация исключений аутентификации на сервере LDAP

Если у вас возникнут проблемы конфигурации аутентификации на сервере LDAP, и чтобы быстрее идентифицировать проблему, вы можете включить регистрацию ошибок. По умолчанию этот процесс выключен, и мы рекомендуем выключить его после того, как вы обнаружите проблему.

Для включения регистрации исключений аутентификации на сервере LDAP:
  1. Откройте соответствующий файл XML конфигурации аутентификации в текстовом редакторе.
    Это файл DirectoryServiceAuthentifictionConfiguration.xml, OpenLDAPAuthentifictionConfiguration.xml или OpenLDAPSSLAuthentifictionConfiguration.xml.
  2. Измените строку:
    <ShowExceptions>false</ShowExceptions>
    на
    <ShowExceptions>true</ShowExceptions>
    и сохраните изменения.