Как работает синхронизация пользователей с доменом

Назначение

Синхронизация с контроллером домена — основной способ импорта пользователей в Принтум. Администратор не создаёт пользователей вручную: они выгружаются из домена автоматически.

Поддерживаемые каталоги

Microsoft Active Directory
FreeIPA
Samba
ALD Pro (под капотом та же Samba с доработками)
RedDem (за основу взята Samba)
LDAP-совместимые каталоги

Как технически происходит синхронизация

Синхронизация проходит через два уровня:

Контроллер домена → Мониторинг: данные выгружаются и агрегируются.
Мониторинг → ПринтМенеджер: пользователи передаются в систему управления.

Схема движения данных: AD/LDAP → Мониторинг → ПринтМенеджер

Выгружаемые атрибуты

В рамках синхронизации из домена выгружается набор атрибутов:

Логин (accountName)
Фамилия (SN)
Имя (givenName)
Должность
Отдел
Группы
Табельный номер
Email (mail)
Номер карты (если есть в домене)

Перечень атрибутов конечный. Доменный пароль не выгружается и не хранится в Принтум.

Настройка соответствия атрибутов

Принцип аналогичен интерпретации SNMP-данных в Мониторинге: каждому атрибуту системы указывается, в каком поле домена хранится нужное значение.

Из коробки подставлены стандартные значения атрибутов. Однако администраторы домена могут хранить данные нестандартно. Например:

табельный номер может быть записан в поле телефона;
номер карты — в произвольном extensionAttribute.

Если стандартное соответствие не подходит, администратор изменяет маппинг атрибутов в настройках синхронизации и проверяет, что нужное значение появляется корректно.

Что выгружается: орг. структура или группы

При настройке синхронизации выбирается, что выгружать из домена:

Орг. структура (OU) — подразделения и отделы.
Группы безопасности — произвольные группы пользователей.
Оба варианта одновременно.

Классически: отделы управляются через OU, произвольные группы — через группы безопасности. Встречаются заказчики, у которых отдел — это группа, а не OU.

Фильтры выгрузки

Не обязательно выгружать всех пользователей домена. Используются стандартные LDAP-фильтры:

Можно выгрузить только конкретный отдел.
Удобно для пилотного проекта: взять IT-отдел и работать только с ними.

После того как фильтры и соответствие атрибутов настроены, система будет автоматически поддерживать данные в актуальном состоянии.

Расписание синхронизации

Синхронизация происходит регулярно по расписанию. Минимальный интервал — не чаще одного раза в 4 часа. Для большинства случаев нескольких синхронизаций в день достаточно.

Интеграция с FreeIPA

Интеграция с Samba DC и РЕД АДМ

Интеграция с ALD Pro

Интеграция с Active Directory

Настройка атрибутов домена

Расписание синхронизации с доменом

Как работает синхронизация пользователей с доменом

Объединение доменных учётных записей одного пользователя

Назначение ролей через группы домена

Доменная авторизация и SSO — как работает

Гостевая печать через email — как работает

Настройка подключения к почтовому серверу

Настройка печати через почту

Настройка гостевой печати через почту

Настройка отправки событий в Syslog

Настройка SSO через SAML 2.0 в Microsoft AD FS

Настройка SSO через Kerberos

Авторизация через доменную учётную запись на МФУ

Методы аутентификации в Принтум — обзор

Как работает синхронизация пользователей с доменом

Назначение

Поддерживаемые каталоги

Как технически происходит синхронизация

Выгружаемые атрибуты

Настройка соответствия атрибутов

Что выгружается: орг. структура или группы

Фильтры выгрузки

Расписание синхронизации

Связанные страницы