Retifff's Blog

Мой ИТ блог

Интеграция NetXMS с Active Directory

Posted by Retifff на 23.12.2019

В больших и средних компаниях, где системных администраторов больше чем один или доступ к системе мониторинга может понадобиться не только администраторам, а ещё и каким-то другим потребителям сервисов, которые нужно мониторить (разработчикам, например), есть смысл интегрировать NetXMS с Active Directory, чтобы не заводить для пользователей отдельные учетные записи в NetXMS, а можно было просто подключиться к системе мониторинга под своим доменным логином и паролем.

Для начала нужно создать в Active Directory учетную запись для синхронизации пользователей. У меня это будет srv_netxms.

Настройки интеграции в Server Configuration выглядят примерно так:

Я тоже сведу их в текстовую таблицу, чтобы было удобней копировать значения:

ИмяЗначениеОписание
LdapUserUniqueId objectGUIDУникальный идентификатор для объекта пользователя
LdapUserMappingName sAMAccountName Какой атрибут будет использован в качестве логина
LdapUserDeleteAction Delete user Что делать с пользователем, удаленным из группы и не соответствующим условиям включения. Лучше выбрать Delete user, чтобы не копились лишние непонятные пользователи.
LdapUserClassUserКласс объекта пользователя. Другие классы не будут синхронизироваться.
LdapSyncUserPassword*********Пароль учетной записи, используемой для синхронизации
LdapSyncUserCN=srv_netxms;OU=Service Accounts;OU=All Users;OU=TestCompany;DC=corp;DC=testcompany;DC=ruУчетная запись в DN-формате, используемая для синхронизации
LdapSyncInterval5Интервал синхронизации в минутах
LdapSearchFilter(&(objectClass=*)(memberOf:1.2.840.113556.1.4.1941:=CN=NetXMS Users;OU=All Groups;OU=TestCompany;DC=corp;DC=testcompany;DC=ru))Фильтр LDAP-запроса
LdapSearchBaseOU=TestCompany Users;OU=All Users;OU=TestCompany;DC=corp;DC=testcompany;DC=ruБазовый контейнер, в котором производится синхронизация
LdapMappingDescriptiondescriptionИмя атрибута, значение которого будет использовано в качестве описания пользователя
LdapGroupUniqueIdobjectGUIDУникальный идентификатор группы
LdapGroupMappingNamesAMAccountNameИмя атрибута, значение которого будет использоваться в качестве логина группы
LdapGroupClassgroupКласс объекта группы. Другие классы не будут синхронизироваться.
LdapConnectionStringldap://dc01.corp.testcompany.ru:389Параметр конфигурации LdapConnectionString представляет собой разделенный запятыми или пробелами список URI, в формате: схема://хост:порт

В принципе, большинство параметров из таблицы понятно, уточню некоторые из них.

  • LdapSyncUser — здесь указываем distinguishedName (DN) пользователя Active Directory, используемого для синхронизации.
  • LdapSearchFilter — в этом параметре важно не ошибиться и скопировать как есть, всего один пробел и работать ничего не будет. После строки «(&(objectClass=*)(memberOf:1.2.840.113556.1.4.1941:=» нужно поставить distinguishedName группы, в которую мы будем добавлять пользователей и группы Active Directory, которых мы хотим видеть в качестве пользователей в NetXMS. Если этот фильтр не использовать, то синхронизироваться будут все пользователи Active Directory, вряд это вам нужно.
  • LdapSearchBase — контейнер (OU) Active Directory, из которого синхронизируются пользователи. Если Active Directory большая, есть смысл ограничить запрос этим параметром.
  • LdapConnectionString — тут, собственно, указывается тот контроллер домена (или несколько, разделенных запятыми или пробелами), которому NetXMS будет посылать LDAP-запросы для синхронизации.

Всё. Ждем пять минут и идем в Configuration > User manager. Вот так у меня выглядят пользователи после синхронизации. Обратите внимание на колонку Source, где LDAP, это синхронизированные пользователи и есть:

На этом с синхронизацией всё, можно пользоваться и делегировать пользователям контейнеры или даже отдельные серверы.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google photo

Для комментария используется ваша учётная запись Google. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

Connecting to %s

 
%d такие блоггеры, как: