User Tools

Site Tools


tasks:ad_sync

Импорт из Active Directory

Этот функционал предназначен для импорта новых и обновления существующих пользователей из Active Directory в QP7. Синхронизация осуществляется на уровне групп и на уровне пользователей по кнопке Синхронизировать(Synchronize).

Настройка

Перед началом процесса импорта нужно настроить параметры LDAP-соединения. Для этого в конфигурационном файле QP7 в секции app_vars задаются параметры

  <app_var app_var_name="ADsConnectionString">Provider=ADsDSOObject;User ID=user; Password=pass;</app_var>
  <app_var app_var_name="ADsPath">LDAP://my_server.my_domain.ru/DC=my_domain,DC=ru</app_var>

Пользователь, под которым выполняется бэкенд QP7.Framework должен обладать достаточными правами для выполнения LDAP-запросов.

Синхронизация групп

Перед синхронизацией пользователь должен задать поле NT-логин для группы. По NT-логин составляется LDAP-запрос для получения пользователей группы и выполняется. Все пользователи, найденные в группе Active Directory, синхронизируются с пользователями, cуществующими в Q-Publishing группе по следующему алгоритму:

  • cопоставление пользователей осующествляется по NT-логин.
  • новые пользователи (которые есть в Active Directory, но их нет в QP7) добавляются, у них прописываются параметры: логин (NT-логин от последнего слэша), NT-логин, E-mail, Имя, Фамилия. Галочка Автоматический вход выставляется. Генерируется случайный пароль. Если какие-либо необходимые для QP7 параметры в Active Directory не заданы, то в это поле в QP7 вставляется значение Undefined. Если пользователь есть в AD и он в состоянии disabled, то он не копируется.
  • Для существующих пользователей (есть в Active Directory, есть в QP) обновляются параметры: Пароль, E-mail, Имя, Фамилия. Если какие-либо необходимые для QP7 параметры в Active Directory не заданы, то в это поле в QP7 вставляется значение Undefined. Если пользователь есть в Active Directory и он в состоянии disabled, то параметры переносятся в QP7, но для пользователя QP7 также выставляется галочка Блокировать.
  • Для пользователей, удаленных из группы Active Directory (нет в Active Directory, есть в QP7) выставляется галочка Блокировать. При этом выполняется проверка, в какие еще группы QP входит пользователь. По группам, которые имеют NT-логин, проверяются группы Active Directory. Но если при этой проверке обнаруживается, что пользователь имеет статус disabled в Active Directory, то выставляется галочка Блокировать в QP7. И только если пользователь входит еще куда-либо и не имеет статуса disabled в Active Directory, то для него не выставляется галочка Блокировать.

Синхронизация пользователей

Действия, которые выполняются в цикле для членов группы в функционале синхронизации групп, здесь выполняются только для одного пользовтеля.

Discussion

Enter your comment
 
tasks/ad_sync.txt · Last modified: 2009/08/25 17:36 (external edit)