Перейти к основному содержимому

AD/LDAP (бета)

подсказка

Данный функционал находится в доработке.

Получить доступ к следующим параметрам конфигурации в системной консоли, можно выбрав АутентификацияAD/LDAP.

Включить авторизацию с помощью AD/LDAP

Формат ввода: boolean. По умолчанию используется false

  • Путь конфигурации системы: АутентификацияAD/LDAP
  • Переменная среды: TIME_LDAPSETTINGS_ENABLE
  • Значения:
    • да: разрешает вход с помощью AD/LDAP.
    • нет: (по умолчанию) отключает вход с помощью AD/LDAP.

Включить синхронизацию с AD/LDAP

Формат ввода: boolean. По умолчанию используется false

  • Путь конфигурации системы: АутентификацияAD/LDAP
  • Переменная среды: TIME_LDAPSETTINGS_ENABLESYNC
  • Значения:
    • да: Мессенджер периодически синхронизирует пользователей из AD/LDAP.
    • нет: (по умолчанию) атрибуты пользователя обновляются из AD/LDAP только при входе пользователя.

Название кнопки

Текст, который будет отображаться на кнопке выбора способа создания аккаунта. По умолчанию "Логин AD/LDAP".

Формат ввода: string. По умолчанию используется Логин AD/LDAP.

  • Путь конфигурации системы: АутентификацияAD/LDAP
  • Переменная среды: TIME_LDAPSETTINGS_LOGINFIELDNAME

Сервер AD/LDAP

Доменное имя или IP-адрес сервера AD/LDAP.

Формат ввода: string.

  • Путь конфигурации системы: АутентификацияAD/LDAP
  • Переменная среды: TIME_LDAPSETTINGS_LDAPSERVER

Порт сервера AD/LDAP

Порт, который мессенджер использует для подключения к серверу AD/LDAP.

Формат ввода: numeric. По умолчанию 389.

  • Путь конфигурации системы: АутентификацияAD/LDAP
  • Переменная среды: TIME_LDAPSETTINGS_LDAPPORT

Безопасность соединения

Параметр управляет типом безопасности, который используется для подключения к серверу AD/LDAP со следующими параметрами:

Формат ввода: string. По умолчанию используется false.

  • Путь конфигурации системы: АутентификацияAD/LDAP
  • Переменная среды: TIME_LDAPSETTINGS_CONNECTIONSECURITY
  • Значения:
    • нет (PLAIN): (по умолчанию) подключение по незащищенному соединению. С этой опцией настоятельно рекомендуется, чтобы соединение было защищено за пределами мессенджера, например, с помощью прокси-сервера stunnel.
    • TLS: шифрует связь с помощью TLS.
    • STARTTLS: пытается обновить существующее небезопасное соединение до безопасного соединения с помощью TLS.

Пропустить проверку сертификата

Формат ввода: boolean. По умолчанию используется false.

  • Путь конфигурации системы: АутентификацияAD/LDAP
  • Переменная среды: TIME_LDAPSETTINGS_SKIPCERTIFICATEVERIFICATION
  • Значения:

    • да: Пропускает этап проверки сертификата для соединений TLS или STARTTLS.

      Пропуск проверки сертификата не рекомендуется для рабочего окружения, где требуется TLS.

    • нет: (по умолчанию) Включает проверку сертификации.

Частный ключ (Private key)

Файл закрытого ключа для сертификата TLS. При использовании клиентских сертификатов TLS в качестве основного механизма аутентификации. Это будет предоставлено вашим поставщиком аутентификации LDAP.

Формат ввода: string.

  • Путь конфигурации системы: АутентификацияAD/LDAP
  • Переменная среды: TIME_LDAPSETTINGS_PRIVATEKEYFILE

Открытый ключ

Файл открытого ключа для сертификата TLS.

Формат ввода: string.

  • Путь конфигурации системы: АутентификацияAD/LDAP
  • Переменная среды: TIME_LDAPSETTINGS_PUBLICCERTIFICATEFILE

Пользователь для подключения

Имя пользователя, используемое для выполнения поиска в AD/LDAP. Учетная запись должна быть создана специально для работы с мессенджером и иметь права, ограниченные чтением области AD/LDAP, указанной в поле База поиска (Base DN).

Формат ввода: string.

  • Путь конфигурации системы: АутентификацияAD/LDAP
  • Переменная среды: TIME_LDAPSETTINGS_BINDUSERNAME

Пароль пользователя для подключения

Пароль для пользователя, указанного в разделе Пользователь для подключения.

Формат ввода: string.

  • Путь конфигурации системы: АутентификацияAD/LDAP
  • Переменная среды: TIME_LDAPSETTINGS_BINDPASSWORD

Базовый поиск (Base DN)

Базовый поиск (BaseDN) – это уникальное имя (DN) ветки, с которой мессенджер должен начать поиск пользователей в дереве AD/LDAP.

Формат ввода: string.

  • Путь конфигурации системы: АутентификацияAD/LDAP
  • Переменная среды: TIME_LDAPSETTINGS_BASEDN

Фильтр пользователей

Фильтр AD/LDAP, используемый при поиске объектов "пользователь". Только найденные поисковым запросом пользователи будут иметь возможность получить доступ к мессенджеру. Для Active Directory запрос для отбора только активных пользователей такой: (&(objectCategory=Person)(!UserAccountControl:1.2.840.113556.1.4.803:=2))).

Формат ввода: string.

  • Путь конфигурации системы: АутентификацияAD/LDAP
  • Переменная среды: TIME_LDAPSETTINGS_USERFILTER

Фильтр групп

Введите фильтр AD/LDAP для поиска групповых объектов. Только группы, найденные поисковым запросом, будут иметь возможность получить доступ к мессенджеру. В Управление пользователямиГруппы необходимо выбрать, какие группы AD/LDAP должны быть связаны и настроены.

Формат ввода: string. Значение по умолчанию: ((objectClass=group)(objectClass=groupOfNames)(objectClass=groupOfUniqueNames) ).

  • Путь конфигурации системы: АутентификацияAD/LDAP
  • Переменная среды: TIME_LDAPSETTINGS_GROUPFILTER
подсказка

Этот фильтр используется только при включенной синхронизации групп AD/LDAP.

Включить фильтр администратора

  • Путь конфигурации системы: АутентификацияAD/LDAP
  • Переменная среды: TIME_LDAPSETTINGS_ENABLEADMINFILTER
  • Значения:

    • да: включает параметр фильтра администратора, который назначает системных администраторов с помощью фильтра AD/LDAP.

    • нет: (по умолчанию) отключает настройку фильтра администратора, дополнительные пользователи не назначаются фильтром в качестве системных администраторов.

      Пользователи, которые ранее были назначены системными администраторами, сохраняют эту роль, если фильтр не будет изменен или удален

Фильтр администратора

Фильтр AD/LDAP необходим при назначении системных администраторов.

Пользователи, выбранные по запросу, будут иметь доступ к серверу мессенджера в качестве системных администраторов. По умолчанию системные администраторы имеют полный доступ к Системной консоли.

Существующие участники, которые определены этим атрибутом, будут повышены от участника до системного администратора при следующем входе в систему. Следующий вход в систему основан на продолжительности сеанса, установленной в Системная консольПродолжительность сессий. Настоятельно рекомендуется вручную понижать пользователей до участников в Системная консольУправление пользователями, чтобы быть уверенными в том, что ограничения будут применены немедленно.

Если этот фильтр удален/изменен, системные администраторы, которые были повышены с помощью этого фильтра, будут понижены в должности до участников и не сохранят доступ к системной консоли. Когда этот фильтр не используется, системные администраторы могут повышаться/понижаться в должности в Системная консольУправление пользователями.

Формат ввода: string.

  • Путь конфигурации системы: АутентификацияAD/LDAP
  • Переменная среды: TIME_LDAPSETTINGS_ADMINFILTER

Включить фильтр Гостя

  • Путь конфигурации системы: АутентификацияAD/LDAP
  • Переменная среды: TIME_LDAPSETTINGS_ENABLERESTRICTEDGUESTFILTER
  • Значения:
    • да: включает параметр фильтра гостя, который назначает гостей с помощью фильтра AD/LDAP.
    • нет: (по умолчанию) отключает настройку фильтра гостя, дополнительные пользователи не назначаются фильтром в качестве гостей.

Фильтр Гостя

Требуется, чтобы гостевой доступ был включен перед применением.

Фильтр AD/LDAP необходим при поиске гостевых объектов. Только пользователи, выбранные запросом, смогут получить доступ к мессенджеру в качестве гостей. Гости не имеют доступа к командам или каналам при входе в систему, пока им не назначена команда и хотя бы один канал.

Если этот фильтр будет удален/изменен, активные гости не будут повышены до уровня участника и сохранят свою роль гостя. Гости могут получить повышение в Системная консольУправление пользователями.

Существующие участники, которые определены этим атрибутом как гость, будут понижены в должности от участника до гостя, когда их попросят войти в систему в следующий раз. Следующий вход в систему основан на продолжительности сеанса, установленной в Системная консольДлина сеанса. Настоятельно рекомендуется вручную понижать пользователей до гостей в Системной консолиУправление пользователями, чтобы быть уверенным в немедленном ограничении доступа.

Формат ввода: string.

  • Путь конфигурации системы: АутентификацияAD/LDAP
  • Переменная среды: TIME_LDAPSETTINGS_RESTRICTEDGUESTFILTER

Включить фильтр Гостя+

  • Путь конфигурации системы: АутентификацияAD/LDAP
  • Переменная среды: TIME_LDAPSETTINGS_ENABLEGUESTFILTER
  • Значения:
    • да: включает параметр фильтра гостя+, который назначает гостей+ с помощью фильтра AD/LDAP.
    • нет: (по умолчанию) отключает настройку фильтра гостя+, дополнительные пользователи не назначаются фильтром в качестве гостей+.

Фильтр Гостя+

Требуется, чтобы гостевой доступ был включен перед применением.

Фильтр AD/LDAP необходим при поиске гостевых объектов. Только пользователи, выбранные запросом, смогут получить доступ к мессенджеру в качестве гостей+. Гости+ не имеют доступа к командам или каналам при входе в систему, пока им не назначена команда и хотя бы один канал.

Если этот фильтр будет удален/изменен, активные гости+ будут повышены до уровня участника и не сохранят свою роль гостя+. Существующие участники, которые определены этим атрибутом как гость+, будут понижены в должности от участника до гостя+, когда их попросят войти в систему в следующий раз. Следующий вход в систему основан на продолжительности сеанса, установленной в Системная консольДлина сеанса. Настоятельно рекомендуется вручную понижать пользователей до гостей+ в Системной консолиУправление пользователями, чтобы быть уверенным в немедленном ограничении доступа.

Формат ввода: string.

  • Путь конфигурации системы: АутентификацияAD/LDAP
  • Переменная среды: TIME_LDAPSETTINGS_GUESTFILTER

Атрибут ID

Атрибут на сервере AD/LDAP, используемый в качестве уникального идентификатора в мессенджере.

Это должен быть атрибут AD/LDAP со значением, которое не изменяется, например uid для LDAP или objectGUID для Active Directory. Если атрибут ID пользователя изменится, он создаст новую учетную запись, не связанную со своей старой.

Формат ввода: string.

  • Путь конфигурации системы: АутентификацияAD/LDAP
  • Переменная среды: TIME_LDAPSETTINGS_IDATTRIBUTE

Атрибут логин ID

Атрибут на сервере AD/LDAP, используемый для входа в мессенджер.

Обычно этот атрибут совпадает с полем "Имя пользователя". Если команда использует домен/имя пользователя для входа в другие службы с помощью AD/LDAP, то можно ввести домен/имя пользователя в это поле для обеспечения согласованности между сайтами.

Формат ввода: string.

  • Путь конфигурации системы: АутентификацияAD/LDAP
  • Переменная среды: TIME_LDAPSETTINGS_LOGINIDATTRIBUTE

Атрибут имени пользователя (Username Attribute)

Атрибут на сервере AD/LDAP, который будет использоваться для заполнения имени пользователя в мессенджере.

Значение поля в атрибуте, которое приходит от LDAP, должно быть от 3-х до 22-х символов и может состоять только из прописных английских букв, цифр и символов _, -, .

Формат ввода: string.

  • Путь конфигурации системы: АутентификацияAD/LDAP
  • Переменная среды: TIME_LDAPSETTINGS_USERNAMEATTRIBUTE

Атрибут электронной почты

Это атрибут на сервере AD/LDAP, который заполняет поле адреса электронной почты в мессенджере.

Уведомления по электронной почте отправляются на этот адрес. Адрес может быть виден другим пользователям в зависимости от настроек конфиденциальности.

Формат ввода: string.

  • Путь конфигурации системы: АутентификацияAD/LDAP
  • Переменная среды: TIME_LDAPSETTINGS_EMAILATTRIBUTE.

Атрибут имени (First Name Attribute)

Это атрибут на сервере AD/LDAP, который заполняет поле имени пользователя.

Если установлено, пользователи не могут редактировать свое имя, т.к. оно будет синхронизироваться с сервером AD/LDAP

Если атрибут не заполнен, пользователи смогут изменить свое имя в настройках своего профиля.

Формат ввода: string.

  • Путь конфигурации системы: АутентификацияAD/LDAP
  • Переменная среды: TIME_LDAPSETTINGS_FIRSTNAMEATTRIBUTE

Атрибут фамилии

Это атрибут на сервере AD/LDAP, который заполняет поле фамилии пользователя.

Если установлено, пользователи не могут редактировать свою фамилию.

Если атрибут не заполнен, пользователи смогут изменить свою фамилию в настройках своего профиля.

Формат ввода: string.

  • Путь конфигурации системы: АутентификацияAD/LDAP
  • Переменная среды: TIME_LDAPSETTINGS_LASTNAMEATTRIBUTE

Атрибут псевдонима

Это атрибут на сервере AD/LDAP, который заполняет поле псевдонима пользователя.

Если установлено, пользователи не могут редактировать свой псевдоним.

Если этот параметр не установлен, пользователи могут редактировать свой псевдоним в настройках своего профиля.

Формат ввода: string.

  • Путь конфигурации системы: АутентификацияAD/LDAP
  • Переменная среды: TIME_LDAPSETTINGS_NICKNAMEATTRIBUTE

Атрибут должности

Это атрибут на сервере AD/LDAP, который заполняет поле должности пользователя.

Когда установлено, пользователи не могут редактировать свою позицию.

Если не установлено, пользователи могут изменить должность в настройках своего профиля.

Формат ввода: string.

  • Путь конфигурации системы: АутентификацияAD/LDAP
  • Переменная среды: TIME_LDAPSETTINGS_POSITIONATTRIBUTE

Атрибут изображения профиля

примечание

Для изменения параметра в SaaS инсталляции Time обратитесь в техническую поддержку.

Атрибут на сервере AD/LDAP, значение которого будет использоваться для заполнения изображений профиля пользователей

Формат ввода: string.

  • Путь конфигурации системы: АутентификацияAD/LDAP
  • Переменная среды: TIME_LDAPSETTINGS_PICTUREATTRIBUTE.

Атрибут отображаемого имени группы

Атрибут на сервере AD/LDAP, используемый для заполнения отображаемой имени группы.

Формат ввода: string.

  • Путь конфигурации системы: АутентификацияAD/LDAP
  • Переменная среды: TIME_LDAPSETTINGS_GROUPDISPLAYNAMEATTRIBUTE
подсказка

Этот атрибут используется только в том случае, если синхронизация групп AD/LDAP включена и является обязательной.

Атрибут ID группы

Атрибут на сервере AD/LDAP, используемый в качестве уникального идентификатора для групп.

Это должен быть атрибут AD/LDAP со значением, которое не изменяется, например entryUUID для LDAP или objectGUID для Active Directory.

Формат ввода: string.

  • Путь конфигурации системы: АутентификацияAD/LDAP
  • Переменная среды: TIME_LDAPSETTINGS_GROUPIDATTRIBUTE
подсказка

Этот атрибут используется только в том случае, если синхронизация групп AD/LDAP включена и является обязательной.

Интервал синхронизации (в минутах)

Синхронизация обновления пользовательской информации из AD/LDAP с базой мессенджера.

Например, при изменении имени пользователя на сервере AD/LDAP, во время синхронизации произойдет обновление данных в мессенджере. Учетные записи, которые будут удалены или заблокированы на сервере AD/LDAP имеют свои учетные записи мессенджера и они будут переведены в состояние "Неактивный", пользовательская сессия при этом будет удалена. Мессенджер выполняет синхронизацию через определенный интервал. Например, если введено 60, то мессенджер синхронизируется данные через каждые 60 минут.

warning

Учетные записи для пользователей, которых еще нет в Time, создаваться не будут. Пользователь должен авторизоваться сам через AD/LDAP, чтобы учетная запись создалась.

Используйте кнопку Синхронизировать с AD/LDAP сейчас, чтобы немедленно отменить сеанс после отключения учетной записи AD/LDAP.

Формат ввода: numeric. По умолчанию 60.

  • Путь конфигурации системы: АутентификацияAD/LDAP
  • Переменная среды: TIME_LDAPSETTINGS_SYNCINTERVALMINUTES
подсказка

Для синхронизации LDAP требуется большое количество запросов на чтение базы данных. Отслеживайте загрузку базы данных и настраивайте интервал синхронизации, чтобы свести к минимуму снижение производительности.

Максимальный размер страницы

Максимальное количество пользователей, которое мессенджер может запросить с AD/LDAP сервера за один запрос.

Если установлено значение 0, мессенджер попытается запросить все данные с AD/LDAP сервера за один запрос.

warning

Не рекомендуется устанавливать значение 0, если общее количество пользователей на сервере AD/LDAP может превышать допустимое количество записей, возвращаемых сервером за один запрос, так как это может привести к неполным данным в ответе или ошибкам при выполнении запроса.

Формат ввода: numeric. По умолчанию 0.

  • Путь конфигурации системы: АутентификацияAD/LDAP
  • Переменная среды: TIME_LDAPSETTINGS_MAXPAGESIZE

Тайм-аут запроса (секунды)

Значение тайм-аута для запросов к серверу AD/LDAP. Необходимо увеличить, если есть ошибки при подключении, вызванные медленным сервером AD/LDAP.

Формат ввода: numeric. По умолчанию 60.

  • Путь конфигурации системы: АутентификацияAD/LDAP
  • Переменная среды: TIME_LDAPSETTINGS_QUERYTIMEOUT

Тест AD/LDAP

Проверяет, может ли сервер мессенджера подключаться к указанному серверу AD/LDAP.

Для устранения ошибок необходимо просмотреть Системная консольЖурналы.

  • Путь конфигурации системы: АутентификацияAD/LDAP
  • Переменная среды: н/д

Синхронизация AD/LDAP сейчас

Инициирует синхронизацию AD/LDAP немедленно.

Статус синхронизации отображается в таблице под кнопкой.

После ручной синхронизации следующая синхронизация произойдет через время, установленное в Интервале синхронизации.

Для устранения ошибок необходимо просмотреть Системная консольЖурналы.

  • Путь конфигурации системы: АутентификацияAD/LDAP
  • Переменная среды: н/д
подсказка

Если синхронизация находится в состоянии ожидания и не завершена, необходимо убедиться, что для параметра Включить синхронизацию с AD/LDAP установлено значение true.