Настройка аутентификации в Active Directory по протоколу LDAPS

При явной аутентификации пользователя в Web-клиенте, со вводом логина и пароля по умолчанию используется протокол LDAP для подключения к Active Directory и проверки указанных учётных данных. При необходимости можно использовать протокол LDAPS, если его поддержка включена на стороне сервера Active Directory.[1]

Для использования LDAPS с Active Directory требуется модуль Платформа версии 6.1 сборки 546 и выше и модуль Web-клиент версии 6.1 сборки 1110 и выше.
Чтобы включить использование LDAPS с Active Directory :

  1. В конфигурационном файле укажите настройки "Catalogs":

    {
  "Catalogs": [{
     "FullDomainName": "example.com", (1)
     "NetBiosDomainName": "example", (2)
     "LdapOptions": {
       "LdapServerAddresses": [ (3)
         "subdomain.example.com"
       ],
       "AuthType": "Basic", (4)
       "Port": 636, (5)
       "EnableLDAPS": true, (6)
       "Credential": { (7)
         "UserName": "EXAMPLE\\user01", (8)
         "Password": "user001" (9)
       }
    }
  }],
}
    1 FullDomainName — полное имя домена.
    2 NetBiosDomainName — сокращённое имя домена.
    3 LdapServerAddresses — адреса серверов LDAP. См. подробнее "Настройка работы с несколькими доменами".
    4 AuthType — тип аутентификации: Basic — аутентификация через LDAP (подробнее см. в документации модуля Платформа "Настройка работы с несколькими доменами"), Oauth — аутентификация через ЕСИА или Azure.
    5 Port — порт подключения к серверу LDAP.
    6 EnableLDAPS — параметр определяет, будет ли использоваться LDAP с SSL/TLS (LDAPS) для безопасного обмена данными. Задайте для параметра значение true. По умолчанию значение false.
    7 Credential — имя и пароль учётной записи, под которой процесс обращается к ActiveDirectory.
    8 UserName — логин пользователя модуля для аутентификации LDAP.
    9 Password — пароль учётной записи пользователя для аутентификации LDAP. Пароль можно указывать в открытом или в зашифрованном виде, см. подробнее о шифровании в документации по установке системы, раздел "Защита системной учётной записи"

  2. Настройки "Catalogs" преобладают над настройками "Ldap", поэтому блок настроек "Ldap" можно удалить:

    {
  "Ldap": {
    "AuthType": "Basic",
    "LookupTimeout": 2000,
    "Port": 389,
    "Credential": {
      "UserName": null,
      "Password": null
    }
  },
}

  3. Создайте самоподписанный сертификат, например, с помощью утилиты openssl или используйте уже имеющийся:

    $ openssl s_client -connect example.com:636

  4. Получившийся файл поместите на сервер Linux в папку: /usr/local/share/ca-certificates.

  5. Выполните команду:

    $ sudo update-ca-certificates -v

  6. Установите сертификат на сервере Active Directory.

  7. Перезапустите dvappserver.

1. Активация протокола LDAPS на стороне сервера Active Directory выходит за рамки документации Docsvision.