В этой опорной статья я покажу пример того, как выполняется настройка LDAP аутентификации на сервере CommuniGate Pro. В моем простом примере будет один почтовый домен.
Предварительно необходимо создать хотя бы одного пользователя CommuniGate. Пользователи на сервере CommuniGate Pro могут быть как созданы вручную, так и синхронизованы через утилиту синхронизации для Active Directory.
Настройка в официальной документации приведена вот в этом разделе.
Общее описание принципа работы
При использовании LDAP аутентификации сервер CommuniGate Pro отправляет BIND запрос к серверу Active Directory с теми учетными данными (логин и пароль), которые указал пользователь. Если аутентификация выполняется успешно, то пользователю предоставляется доступ к системе CommuniGate.
При настройке внешнего URI для аутентификации вы можете задать аутентификацию Active Directory в виде samaccountname (например, it\adm). Также можно использовать формат userprincipalname (например, adm@itproblog.ru).
При настройке URI строки для подключения возможно использование подстановочных знаков:
- Символ “*” преобразуется в текущее имя пользователя.
- Выражение “^0” преобразуется в имя домена.
Например, выражение “*^0” преобразуется в “adm@itproblog.ru”, если я буду пытаться установить сессию от имени пользователя adm.
Не всегда значение атрибута samaccountname в Active Directory равно значение атрибута userprincipalname (UPN). Учитывайте этот момент.
Пример настройки безопасного соединения к серверу Active Directory для выполнения аутентификации пользователя в формате userprincipalname (UPN):
ldaps://dc01.itproblog.ru:636/*@itproblog.ruПри использовании такой строки подключения пользователь должен указывать свой UPN при аутентификации.
Пример настройки безопасного соединения к серверу Active Directory для выполнения аутентификации пользователя в формате samaccountname:
ldaps://dc01.itproblog.ru:636/IT\*При использовании такой строки подключения пользователь должен указывать свой samaccountname при аутентификации.
Настройка LDAP аутентификации – пример
Теперь я покажу на примере как можно выполнить настройку внешней LDAP аутентификации.
Что для этого нужно сделать:
1. Зайти в веб интерфейс администрирования.
2. Перейти в раздел настроек по умолчанию для учетных записей “Users -> Domains -> itproblog.ru -> Account Defaults -> Settings”.
3. В параметре “Authentication URI” указать строку и параметры для подключения к контроллеру домена.
ldaps://dc01.itproblog.ru:636/*@itproblog.ruЯ буду использовать аутентификацию в формате userprincipalname (UPN).
4. Сохранить внесенные изменения.
Проверка LDAP аутентификации
После внесения необходимых изменений мы можем выполнить проверку внешней LDAP аутентификации.
Я буду использовать все того же пользователя adm. Я не создавал этого пользователя в системе CommunuGate вручную, а синхронизовал его через утилиту синхронизации с AD. Так что никакого локального пароля у этой учетной записи не установлено.
Как я уже говорил ранее, для аутентификации я буду использовать userprincipalname пользователя:
Проверяем:
1. Попробуем подключиться к веб клиенту Samoware через LDAP аутентификацию. Открываем страницу веб клиента:
https://com01.itproblog.ru/2. Указываем UPN пользователя и пароль:
Разметку можете выбрать любую. Я выберу Samoware.
3. Нажимаем кнопку “Enter”.
4. В случае успешной аутентификации мы должны попасть на главную страницу веб клиента:
Если что-то пошло не так
Все события внешней LDAP аутентификации сервер CommuniGate пишет в журналы, которые складирует в log файлах вот тут:
/var/CommuniGate/SystemLogs/Пример записи в логе об успешной LDAP аутентификации:
23:54:05.318 4 ExtAuthLDAP-000001 [0.0.0.0]:0 -> [10.10.10.150]:636(TLS) connecting
23:54:05.327 2 TLS-000043 created(TLSv1.2,ECDHE_AESGCM256_SHA384) -> [10.10.10.150]:636 for ExtAuthLDAP-000001
23:54:05.393 4 ExtAuthLDAP-000001 TLS-000043 secure(ECDHE_AESGCM256_SHA384) connection opened
23:54:05.393 4 ExtAuthLDAP-000001 opening protocol
23:54:05.393 2 ExtAuthLDAP-000001 binding as adm@itproblog.ru
23:54:05.395 4 ExtAuthLDAP-000001 authenticated
23:54:05.395 4 ExtAuthLDAP-000001 closing protocol (0)
23:54:05.395 4 ExtAuthLDAP-000001 unbinding
23:54:05.395 4 ExtAuthLDAP-000001 TLS connection is closing
23:54:05.395 2 TLS-000043 closed by ExtAuthLDAP-000001
23:54:05.395 4 ExtAuthLDAP-000001 closing connection
23:54:05.395 4 ExtAuthLDAP-000001 releasingЕсли у вас что-то отличное от листинга выше, то вероятнее всего, вы что-то сделали не так. Либо по пути до контроллера домена закрыты порты TCP/389 или TCP/636. В зависимости от того, какой порт вы используете.
Например, я намеренно допущу опечатку в строке URI и вместо параметра itproblog.ru укажу itproblog2.ru:
ldaps://dc01.itproblog.ru:636/*@itproblog2.ru
Соответственно, при попытке получения доступа к веб клиенту я получу соответствующую ошибку в журнале:
00:03:50.678 4 ExtAuthLDAP-000002 [0.0.0.0]:0 -> [10.10.10.150]:636(TLS) connecting
00:03:50.687 2 TLS-000049 created(TLSv1.2,ECDHE_AESGCM256_SHA384) -> [10.10.10.150]:636 for ExtAuthLDAP-000002
00:03:50.752 4 ExtAuthLDAP-000002 TLS-000049 secure(ECDHE_AESGCM256_SHA384) connection opened
00:03:50.752 4 ExtAuthLDAP-000002 opening protocol
00:03:50.752 2 ExtAuthLDAP-000002 binding as adm@itproblog2.ru
00:03:50.753 1 ExtAuthLDAP-000002 failed to bind. Error Code=external LDAP server: invalid credentials
00:03:50.753 4 ExtAuthLDAP-000002 closing protocol (0)
00:03:50.753 4 ExtAuthLDAP-000002 unbinding
00:03:50.753 4 ExtAuthLDAP-000002 TLS connection is closing
00:03:50.753 2 TLS-000049 closed by ExtAuthLDAP-000002
00:03:50.753 4 ExtAuthLDAP-000002 closing connection
00:03:50.754 4 ExtAuthLDAP-000002 releasingНо это лишь пример. В вашем случае в журнале могут быть зарегистрированы какие-то другие ошибки.