Интеграция СЭД Detrix с Active Directory

Аутентификация пользователей системы электронного документооборота Detrix может осуществляться как с использованием собственных средств хранения учетных записей, так и посредством Активного каталога (Active Directory) Microsoft Windows.

Включение аутентификации системы электронного документооборота Detrix через Активный каталог (Active Directory) осуществляется путем модификации секции authentication конфигурационного файла settings.xml и приведения ее к следующему виду:

<item name="authentication" type="array">
<item name="classname" value="MSF_AuthenticationExtension" />
<item name="settings" type="array">
<item name="login_type" value="LDAP-SSO" />
<item name="ldap_host" value="x.x.x.x" />
<item name="ldap_port" value="389" />
<item name="ldap_domain" value="domainname" />
<item name="ldap_nbios" value="NetBIOSdomainname" />
<item name="ldap_user" value="user" />
<item name="ldap_password" value="pass" />
<item name="session_time" value="480" />
</item>
</item>

Параметр login_type может принимать следующие значения:

  • MSF — обычный (родной) способ аутентификации СЭД Detrix, используя учетные записи, хранящиеся в базе данных.
  • LDAP — аутентификация через Активный каталог.
  • LDAP-SSO — аутентификация через Активный каталог с использованием NTLM-протокола.

В параметре ldap_host необходимо указать в IP-адрес контроллера домена Активного каталога, а имя домена ввести в ldap_domain.

При использовании типа аутентификации LDAP-SSO необходимо указать непривилегированную учетную запись Активного каталога в параметрах ldap_user и ldap_password, а также NetBIOS-имя домена в параметре ldap_nbios (посмотреть  NetBIOS-имя домена, которое передается от клиента системе, можно указав параметр sso=who в адресной строке браузера). Кроме сказанного выше данный вариант аутентификации требует следующие настройки в браузерах пользователей:

  • Для Internet Explorer и Google Chrome указать адрес сервера Detrix в списке узлов местной интрасети Internet Explorer (Свойства обозревателя — Безопасность)
  • Для Firefox указать адрес сервера Detrix в параметре network.automatic-ntlm-auth.trusted-uris (доступ к этому параметру осуществляется путем ввода about:config в адресной строке браузера).

Для применения аутентификации через Активный каталог администратору придется еще потрудиться и над справочником Пользователи.  Он должен создать в системе учетные записи с именами, которые совпадают с названиями учетных записей Активного каталога. При отключенном SSO пользователь при аутентификации должен будет ввести имя и пароль своей учетной записи Активного каталога.

Ну и осталось отметить, что при использовании аутентификации через Активный каталог  пользователю СЭД Detrix недоступна возможность изменения своего пароля в профиле.  Изменение пароля осуществляется штатными средствами операционной системы пользователя.

Ссылка по теме:

Обсуждение интеграции Detrix с Active Directory

Комментарии

  1. Евгений:

    Существует ли возможность привязать конкретную группу в AD к аутентификации в СЭД?

    Не до конца понятна суть интеграции с AD. Получается заносить пользователей в систему все равно придется вручную: используя login_type MSF, мы под учеткой админа, хранящейся в psql базе, добавляем пользователей в нее же. Затем меняем login_type на ldap и все должно заработать?

    • Интеграция с АД только на уровне паролей, пользователи все равно вносятся вручную, привязываются к сотрудникам, должностям и структуре. Структуры Detrix и AD не синхронизируются.

Задать вопрос

Copyright © 2011-2013 Андрей Суров При копировании материалов сайта гиперссылка Detrix.kz обязательна