Microsoft AD Szolgáltató
Microsoft Active Directory (AD) szolgáltató létrehozásakor a következő paramétereket kell megadni:
AD szolgáltató beállítás részletei:
- Név - Az új szolgáltató neve, amely a PassMan bejelentkezési oldalán alul lesz kiválasztható
- Szerverek - a beléptetést végző szerverek elérhetősége IP címmel vagy FQDN-nel megadva.
- Biztonságos LDAP (LDAPS) használata esetén "ldaps://" előtagot kell megadni a gép neve előtt
- FQDN-nel csak akkor fog működni a rendszer, ha a Passman-ban beállított DNS szerver helyesen oldja fel a kéréseket!
- Base DN (Domain Név) - itt kell megadni azt a részfát az AD-ból, amit szeretnénk, ha a PassMan az autentikációnál elérhet. (Példa: dc=demopassmanad,dc=local)
- Ha valahonnan másolja Base DN-t, akkor a kezdő és záró idézőjelet törölje, ha esetleg van.
- Technikai User userneve és jelszava - ezt használjuk belépéshez
- A felhasználónak tudnia kell az AD felhasználói listában keresni (jog: search and bind authentication).
- Ha a csoportok betöltése gombra kattintva hibát kapunk, akkor a felhasználónevet (pl. techuser) írjuk be UPN formában (techuser@passman.co)
- Certificate - LDAPS használata esetén meg kell adni a szerver tanúsítványát (certificate)-et
- Látható OU-k:
- Ha nagyon sok elem van az AD-ban, akkor jelentősen meggyorsíthatjuk a PassMan működését, ha csak azokat az OU-kat adjuk meg, melyekben a userek/csoportok vannak. Ha ez a mező üresen marad, akkor az egész AD-ban keresni fog a PassMan.
- SAML auth használata - SAML2 beállítások
- Authentikációs csoportok: Csak az itt megadott csoportokban szereplő felhasználók tudnak belépni a PassMan-ba. Ha ezt a mezőt nem töljük ki, akkor az adott szolgáltató felhasználói közül SENKI se tud belépni a PassMan-ba.
- Jogosultság csoportok: ide azokat a csoportokat kell beírni (az AD-ból), amelyekre jogosultságot szeretnénk a PassMan-ban beállítani.
- Ha ezt a mezőt üresen hagyjuk, akkor a PassMan jogosultságkiosztás során az összes csoport meg fog jelenni!
Csoportok adatainak megadása
A csoportok nevét vagy kézzel lehet tölteni (név beírás, majd ENTER) vagy a <Csoportok Betöltése> gombra kattintás után 3 karakter beírása után egy találati listát kapunk, amelyből választani tudunk.
- (technikai user adatait és LDAPS esetén a certificate-et is fel kell tölteni va
Hibák a Csoportok Betöltése során
- Nem sikerült kapcsolódni (ConnectionError)
- A szolgáltatás kiszolgálója nem elérhető
Nem sikerült kapcsolódni (LDAPInvalidDnError)
- Base DN paraméter hibás (Ellenőrizze, hogy nincs idézőjel a mező elején vagy végén!)
Nem sikerült kapcsolódni (Error occurred during communication with Active Directory {'error': 'AD LDAP Error', 'exception': 'LDAPSocketOpenError'})
- A Base DN paraméter hibás (Ellenőrizze, hogy nincs idézőjel a mező elején vagy végén!)
- Megadott AD szerver nem elérhető
Nem sikerült kapcsolódni (Error occurred during communication with Active Directory {'error': 'AD LDAP authentication failed', 'exception': 'LDAPInvalidCredentialsResult'})
- Rossz felhasználónév vagy jelszó
Nem sikerült kapcsolódni (LDAPSocketSendError)
- LDAPS beállításnál a szerver tanúsítvány nincs megadva
Nem sikerült kapcsolódni (Supplied authentication config is invalid {'provider': 'demoAD', 'provider_type': 'active-directory-ldap', 'error': 'servers must be the list of ADDS servers'})
- Nincs szerver megadva
AD kapcsolódási hibák
- 400 - usernév vagy jelszó vagy valamelyik paraméter nem megfelelő
- 500 - nem kezelt hiba
- 503 - időtúllépés