Приложение В. Конфигурация агента LDAP
Конфигурация агента LDAP задается в файле config.ini. Этот файл входит в состав установочного образа LSA и находится в каталоге /opt/lsa. Файл состоит из сгруппированных в разделы строк с параметрами и их значениями.
В файле хранятся настройки для подключения агента LDAP к серверу аутентификации и серверам каталога. Файл состоит из одного или нескольких разделов (секций) с уникальными условными именами и идентичным набором параметров. Если закомментировать символом # или удалить какой-то из параметров, то для него будет установлено значение по умолчанию.
Общие параметры
| Параметр | Описание параметра | Формат | Пример |
|---|---|---|---|
| enable | Включает или выключает передачу синхронизированной информации в виртуальный сервер | enable = yes | no | enable= yes |
Подключение к серверу аутентификации
| Параметр | Описание параметра | Формат | Пример |
|---|---|---|---|
| sasaddress<имя сервера> | Задает IP-адрес и порт сервера аутентификации | sas_address_1= <IP-адрес>:[<порт>] | sas_address_1= mfa.indeed-cloud.ru |
| verify_ssl | Задает путь к файлу корневого сертификата для проверки подлинности сервера аутентификации | verify_ssl= yes | no | verify_ssl= yes |
GUID и подпись
| Параметр | Описание параметра | Формат | Пример |
|---|---|---|---|
| guid | Задает глобальный аутентификатор модуля синхронизации LDAP | guid=<значение> | guid= c9ec4a7ed11a6cc3c03f1d110d189589 |
| signature | Задает ключ подключения к модулю синхронизации LDAP | signature=<значение> | signature= TcsOt3E7+XomwiUU... |
Настройки LDAP
| Параметр | Описание параметра | Формат | Пример |
|---|---|---|---|
| ldap_server<номер> | Задает IP-адреса серверов каталога LDAP | ldap_server<номер>= <IP-адрес> | ldap_server1= 10.0.0.7 |
| scheme | Задает файл схемы каталога LDAP | scheme=<файл> | scheme= active_directory.map |
| normalise_phone_number | Нормализация номера мобильного телефона | normalise_phone_number= yes | no | normalise_phone_number= yes |
| ldap_timeout | Задает тайм-аут переключения на второй сервер каталога | ldap_timeout=<значение> | ldap_timeout= 10 |
| timeout_to_restore_to_first_ldap | Задает тайм-аут возврата на первый сервер каталога | timeout_to_restore_to_first_ldap= <значение> | timeout_to_restore_to_first_ldap= 180 |
| ldap_port | Задает порт протокола LDAP для подключения к серверам каталога | ldap_port=<значение> | ldap_port= 636 |
| ldap_ssl | Указывает, использовать ли для подключения к серверам каталога протокол LDAP через SSL (LDAPS) | ldap_ssl= yes | no | ldap_ssl= yes |
| login | Задает идентификатор служебной учетной записи для подключения к серверам каталога | login=<значение> | login= CN=Sync User,CN=Users,DC=MFASOFT,DC=LOCAL |
| password | Задает пароль служебной учетной записи | password=<значение> | password=$Password1 |
| search_base | Задает базу поиска объектов (пользователей и групп) в каталоге LDAP | search_base= CN|OU,..., DC=... | search_base= OU=Admins,DC=mfasoft,DC=local |
| groups | Задает список групп для синхронизации | groups=[“<группа 1>”,”<группа 2>”,...] | groups=["GROUP1","GROUP2"] |
| sync_timeout | Задает периодичность опроса сервера каталога агентом LDAP. Минимальный период опроса — 20 минут (даже если будет задано меньшее значение). | sync_timeout=<значение> | sync_timeout= 20 |
Отладка и логирование
| Параметр | Описание параметра | Формат | Пример |
|---|---|---|---|
| send_ldap_config | Определяет необходимость отправки параметров подключения к LDAP на сервер аутентификации | send_ldap_config= yes | no | send_ldap_config= yes |
| syslog_enable | Активирует отправку сообщений о недоступности узлов в syslog | syslog_enable= yes | no | syslog_enable= yes |
| syslog_address | Задает адрес syslog-сервера | syslogaddress<номер>= <адрес> | syslog_address_1= 10.0.0.22 |
| syslog_port | Задает порт syslog-сервера | syslogport<номер>= <порт> | syslog_port_1= 514 |
| debug | Активирует режим отладки | debug= yes | no | debug= yes |