# Интеграция с контроллерами домена # Интеграция с FreeIPA ## Цель Настройка интеграции Printum с контроллером домена FreeIPA для синхронизации учётных записей пользователей, импорта оргструктуры и групп безопасности. --- ## Предусловия - Развёрнутый и доступный сервер FreeIPA - Учётная запись в домене с правами на чтение доменной структуры (обычно — права администратора) - Настроена интеграция с почтовым сервером (SMTP) - Printum запущен и доступен --- ## Шаги настройки ### Шаг 1. Добавление домена в Printum Перейдите в раздел **Настройки → Интеграции → Домены** и нажмите кнопку **«Добавить»**. Заполните поля: - **Название** — любое удобное название для домена. - **Тип** — выберите `FreeIPA`. - **Адрес** — протокол, хост и порт домена (например, `ldap://freeipa.example.com:389`). - **Логин и пароль в домене** — учётная запись с правами на чтение доменной структуры. - **Фильтр** — фильтр поиска сотрудников. Если оставить значение по умолчанию `(&(objectCategory=person)(objectClass=user))`, будут импортированы объекты классов Person и User. - **Стартовый уровень поиска** — уровень в домене для начала импорта (обычно самый верхний). - **Атрибут для объединения учётных записей** — позволяет объединить несколько УЗ одного пользователя из разных доменов. - **Выгружать оргструктуру** — включить для импорта иерархии на основе OU домена. - **Выгружать группы** — включить для выгрузки групп безопасности. - **Требуется шифрование** — включить, если домен принимает только шифрованные запросы. ### Шаг 2. Тестовый импорт Нажмите кнопку **«Тестовый импорт»**. При успешном подключении будет отображено количество отделов, сотрудников и групп. При ошибке — описание проблемы. ### Шаг 3. Сопоставление атрибутов В разделе **«Атрибуты»** карточки домена настройте сопоставление атрибутов FreeIPA с атрибутами Printum: |Атрибут в Printum|Атрибут в домене|Описание| |:---|:---|:---| |`username`|`uid`|Логин| |`unique_id`|`uidNumber`|Идентификатор в домене| |`last_name`|`sn`|Фамилия| |`first_name`|`givenName`|Имя| |`patronymic`|`personalTitle`|Отчество| |`email`|`mail`|Адрес электронной почты| |`domain_groups`|`memberOf`|Доменные группы| |`position`|`title`|Должность| |`smb_path`|`homeDirectory`|Путь к папке| Обязательные атрибуты: Логин, Фамилия, Имя, Идентификатор в домене, Адрес электронной почты. ### Шаг 4. Сохранение и расписание синхронизации Нажмите **«Сохранить»**. В разделе **«Расписание»** настройте автоматическую синхронизацию (расписание общее для всех доменов). Либо нажмите **«Запустить сейчас»** для ручного запуска синхронизации. --- ## Ожидаемый результат После успешной настройки пользователи из FreeIPA синхронизируются в Printum. Оргструктура и группы импортируются согласно настройкам. --- ## Как проверить - Тестовый импорт показывает количество отделов, сотрудников и групп без ошибок. - Пользователи из FreeIPA отображаются в разделе «Пользователи» системы Printum. --- ## Связанные страницы - [Интеграция с Samba DC и РЕД АДМ](http://wiki.printum.io/books/4-integracii/page/integraciia-s-samba-dc-i-red-adm) - [Интеграция с Active Directory](https://wiki.printum.io/books/4-integracii/page/integraciia-s-active-directory) - [Интеграция с ALD Pro](https://wiki.printum.io/books/4-integracii/page/integraciia-s-ald-pro) --- **Справочник атрибутов:** [Атрибуты доменов — справочник](https://wiki.printum.io/books/8-spravocnik/page/atributy-domenov-spravocnik) — сравнительная таблица по всем контроллерам домена. # Интеграция с Samba DC или РЕД АДМ ## Цель Настройка интеграции Printum с контроллерами домена Samba DC или РЕД АДМ для синхронизации учётных записей пользователей, импорта оргструктуры и групп безопасности. --- ## Предусловия - Развёрнутый и доступный сервер Samba DC или РЕД АДМ - Учётная запись в домене с правами на чтение доменной структуры - Настроена интеграция с почтовым сервером (SMTP) - Printum запущен и доступен --- ## Шаги настройки ### Шаг 1. Добавление домена в Printum Перейдите в раздел **Настройки → Интеграции → Домены** и нажмите кнопку **«Добавить»**. Заполните поля: - **Название** — любое удобное название для домена. - **Тип** — выберите соответствующий тип (`Samba` или `РЕД АДМ`). - **Адрес** — протокол, хост и порт домена (например, `ldap://samba.example.com:389`). - **Логин и пароль в домене** — учётная запись с правами на чтение доменной структуры. - **Фильтр** — фильтр поиска сотрудников. Если оставить значение по умолчанию `(&(objectCategory=person)(objectClass=user))`, будут импортированы объекты классов Person и User. - **Стартовый уровень поиска** — уровень в домене для начала импорта (обычно самый верхний). - **Атрибут для объединения учётных записей** — позволяет объединить несколько УЗ одного пользователя из разных доменов. - **Выгружать оргструктуру** — включить для импорта иерархии на основе OU домена. - **Выгружать группы** — включить для выгрузки групп безопасности. - **Требуется шифрование** — включить, если домен принимает только шифрованные запросы. ### Шаг 2. Тестовый импорт Нажмите кнопку **«Тестовый импорт»**. При успешном подключении будет отображено количество отделов, сотрудников и групп. При ошибке — описание проблемы. ### Шаг 3. Сопоставление атрибутов Атрибуты Samba DC и РЕД АДМ совпадают с атрибутами FreeIPA. Настройте сопоставление в разделе **«Атрибуты»** карточки домена: |Атрибут в Printum|Атрибут в домене|Описание| |:---|:---|:---| |`username`|`uid`|Логин| |`unique_id`|`uidNumber`|Идентификатор в домене| |`last_name`|`sn`|Фамилия| |`first_name`|`givenName`|Имя| |`patronymic`|`personalTitle`|Отчество| |`email`|`mail`|Адрес электронной почты| |`domain_groups`|`memberOf`|Доменные группы| |`position`|`title`|Должность| |`smb_path`|`homeDirectory`|Путь к папке| Обязательные атрибуты: Логин, Фамилия, Имя, Идентификатор в домене, Адрес электронной почты. ### Шаг 4. Сохранение и расписание синхронизации Нажмите **«Сохранить»**. В разделе **«Расписание»** настройте автоматическую синхронизацию (расписание общее для всех доменов). Либо нажмите **«Запустить сейчас»** для ручного запуска синхронизации. --- ## Ожидаемый результат После успешной настройки пользователи из Samba DC или РЕД АДМ синхронизируются в Printum. Оргструктура и группы импортируются согласно настройкам. --- ## Как проверить - Тестовый импорт показывает количество отделов, сотрудников и групп без ошибок. - Пользователи из домена отображаются в разделе «Пользователи» Printum. --- ## Связанные страницы - [Интеграция с FreeIPA](http://wiki.printum.io/books/4-integracii/page/integraciia-s-freeipa) - [Интеграция с ALD Pro](http://wiki.printum.io/books/4-integracii/page/integraciia-s-ald-pro) - [Интеграция с Active Directory](https://wiki.printum.io/books/4-integracii/page/integraciia-s-active-directory) --- **Справочник атрибутов:** [Атрибуты доменов — справочник](https://wiki.printum.io/books/8-spravocnik/page/atributy-domenov-spravocnik) — сравнительная таблица по всем контроллерам домена. # Интеграция с ALD Pro ## Цель Настройка интеграции Printum с контроллером домена ALD Pro для синхронизации учётных записей пользователей, импорта оргструктуры и групп безопасности. --- ## Предусловия - Развёрнутый и доступный сервер ALD Pro - Учётная запись в домене с правами на чтение доменной структуры - Настроена интеграция с почтовым сервером (SMTP) - Printum запущен и доступен --- ## Шаги настройки ### Шаг 1. Добавление домена в Printum Перейдите в раздел **Настройки → Интеграции → Домены** и нажмите кнопку **«Добавить»**. Заполните поля: - **Название** — любое удобное название для домена. - **Тип** — выберите `ALD Pro`. - **Адрес** — протокол, хост и порт домена (например, `ldap://aldpro.example.com:389`). - **Логин и пароль в домене** — учётная запись с правами на чтение доменной структуры. - **Фильтр** — фильтр поиска сотрудников. Если оставить значение по умолчанию `(&(objectCategory=person)(objectClass=user))`, будут импортированы объекты классов Person и User. - **Стартовый уровень поиска** — уровень в домене для начала импорта (обычно самый верхний). - **Атрибут для объединения учётных записей** — позволяет объединить несколько УЗ одного пользователя из разных доменов. - **Выгружать оргструктуру** — включить для импорта иерархии. **Важно:** в ALD Pro нет разделения между группами и отделами, поэтому все отделы будут импортированы как группы. - **Выгружать группы** — включить для выгрузки групп безопасности. - **Требуется шифрование** — включить, если домен принимает только шифрованные запросы. ### Шаг 2. Тестовый импорт Нажмите кнопку **«Тестовый импорт»**. При успешном подключении будет отображено количество отделов, сотрудников и групп. При ошибке — описание проблемы. ### Шаг 3. Сопоставление атрибутов В разделе **«Атрибуты»** карточки домена настройте сопоставление атрибутов ALD Pro с атрибутами Printum: |Атрибут в Printum|Атрибут в домене|Описание| |:---|:---|:---| |`username`|`uid`|Логин| |`unique_id`|`uidNumber`|Идентификатор в домене| |`last_name`|`sn`|Фамилия| |`first_name`|`givenName`|Имя| |`patronymic`|`rbtamiddlename`|Отчество| |`email`|`mail`|Адрес электронной почты| |`domain_groups`|`memberOf`|Доменные группы| |`position`|`title`|Должность| |`smb_path`|`homeDirectory`|Путь к папке| Обязательные атрибуты: Логин, Фамилия, Имя, Идентификатор в домене, Адрес электронной почты. ### Шаг 4. Сохранение и расписание синхронизации Нажмите **«Сохранить»**. В разделе **«Расписание»** настройте автоматическую синхронизацию (расписание общее для всех доменов). Либо нажмите **«Запустить сейчас»** для ручного запуска синхронизации. --- ## Ожидаемый результат После успешной настройки пользователи из ALD Pro синхронизируются в Printum. Поскольку в ALD Pro нет разделения между группами и отделами, все отделы импортируются как группы безопасности. --- ## Как проверить - Тестовый импорт показывает количество отделов, сотрудников и групп без ошибок. - Пользователи из ALD Pro отображаются в разделе «Пользователи» системы Printum. --- ## Связанные страницы - [Интеграция с FreeIPA](http://wiki.printum.io/books/4-integracii/page/integraciia-s-freeipa) - [Интеграция с Samba DC и РЕД АДМ](http://wiki.printum.io/books/4-integracii/page/integraciia-s-samba-dc-i-red-adm) - [Интеграция с Active Directory](https://wiki.printum.io/books/4-integracii/page/integraciia-s-active-directory) --- **Справочник атрибутов:** [Атрибуты доменов — справочник](https://wiki.printum.io/books/8-spravocnik/page/atributy-domenov-spravocnik) — сравнительная таблица по всем контроллерам домена. # Интеграция с Active Directory ## Цель Настройка интеграции Printum с Microsoft Active Directory для синхронизации пользователей, оргструктуры и групп безопасности. --- ## Предусловия - Развёрнутый и доступный контроллер домена Microsoft Active Directory - Учётная запись с правами на чтение доменной структуры (обычно доменный администратор) - Настроена интеграция с почтовым сервером (SMTP) - Printum запущен и доступен --- ## Шаги настройки ### Шаг 1. Добавление домена Перейдите в раздел **Настройки → Интеграции → Домены** и нажмите кнопку **«Добавить»**. Заполните поля: - **Название** — любое удобное название для домена. - **Тип** — выберите `Active Directory`. - **Адрес** — протокол, хост и порт домена (например, `ldap://dc.example.com:389` или `ldaps://dc.example.com:636`). - **Логин и пароль в домене** — учётная запись с правами чтения доменной структуры. - **Фильтр** — фильтр поиска сотрудников. Если оставить значение по умолчанию `(&(objectCategory=person)(objectClass=user))`, будут импортированы объекты классов Person и User. - **Стартовый уровень поиска** — уровень в домене для начала импорта (обычно самый верхний). - **Атрибут для объединения учётных записей** — позволяет объединить несколько УЗ одного пользователя из разных доменов. - **Выгружать оргструктуру** — включить для импорта иерархии на основе OU домена. - **Выгружать группы** — включить для выгрузки групп безопасности. - **Требуется шифрование** — включить, если домен принимает только шифрованные запросы. ### Шаг 2. Тестовый импорт Нажмите кнопку **«Тестовый импорт»**. При успешном подключении будет отображено количество отделов, сотрудников и групп. При ошибке — описание проблемы. ### Шаг 3. Сопоставление атрибутов В разделе **«Атрибуты»** карточки домена настройте сопоставление атрибутов Active Directory с атрибутами Printum: |Атрибут в Printum|Атрибут в домене|Описание| |---|---|---| |`username`|`sAMAccountName`|Логин| |`unique_id`|`objectSid`|Идентификатор в домене| |`last_name`|`sn`|Фамилия| |`first_name`|`givenName`|Имя| |`patronymic`|`personalTitle`|Отчество| |`email`|`mail`|Адрес электронной почты| |`domain_groups`|`memberOf`|Доменные группы| |`position`|`title`|Должность| |`smb_path`|`homeDirectory`|Путь к папке| Обязательные атрибуты: Логин, Фамилия, Имя, Идентификатор в домене, Адрес электронной почты. ### Шаг 4. Сохранение и расписание синхронизации Нажмите **«Сохранить»**. В разделе **«Расписание»** настройте автоматическую синхронизацию (расписание общее для всех доменов). Либо нажмите **«Запустить сейчас»** для ручного запуска синхронизации. --- ## Ожидаемый результат После успешной настройки пользователи из FreeIPA синхронизируются в Printum. Оргструктура и группы импортируются согласно настройкам. --- ## Как проверить - Тестовый импорт показывает количество отделов, сотрудников и групп без ошибок. - Пользователи из AD отображаются в разделе «Пользователи» системы Printum. --- ## Связанные страницы - [Настройка атрибутов домена](http://wiki.printum.io/books/4-integracii/page/nastroika-atributov-domena) - [Расписание синхронизации с доменом](http://wiki.printum.io/books/4-integracii/page/raspisanie-sinxronizacii-s-domenom) - [Интеграция с FreeIPA](http://wiki.printum.io/books/4-integracii/page/integraciia-s-freeipa) - [Интеграция с ALD Pro](http://wiki.printum.io/books/4-integracii/page/integraciia-s-ald-pro) - [Интеграция с Samba DC или РЕД АДМ](https://wiki.printum.io/books/4-integracii/page/integraciia-s-samba-dc-ili-red-adm) --- **Справочник атрибутов:** [Атрибуты доменов — справочник](https://wiki.printum.io/books/8-spravocnik/page/atributy-domenov-spravocnik) — сравнительная таблица по всем контроллерам домена. # Настройка атрибутов домена ## Цель Сопоставление атрибутов LDAP-домена с полями пользователей в системе Printum для корректного импорта данных. --- ## Предусловия - Домен добавлен в Printum (**Настройки → Интеграции → Домены**) - Тестовый импорт выполнен успешно --- ## Как открыть настройку атрибутов В таблице доменов раскройте карточку нужного домена (иконка в левом столбце строки). Перейдите в раздел **«Атрибуты»**. Если выполняются настройки первого запуска нажмите **«Сохранить и перейти к артибутам»** после успешного тестового импорта. --- ## Обязательные атрибуты Для успешной интеграции должны быть заполнены: - Логин - Фамилия - Имя - Идентификатор в домене - Адрес электронной почты --- ## Рекомендуемые значения по типу домена ### Microsoft Active Directory |Атрибут в Printum|Атрибут в домене|Описание| |:---|:---|:---| |`username`|`sAMAccountName`|Логин| |`unique_id`|`objectSid`|Идентификатор в домене| |`last_name`|`sn`|Фамилия| |`first_name`|`givenName`|Имя| |`patronymic`|`personalTitle`|Отчество| |`email`|`mail`|Адрес электронной почты| |`domain_groups`|`memberOf`|Доменные группы| |`position`|`title`|Должность| |`smb_path`|`homeDirectory`|Путь к папке| ### FreeIPA / Samba DC / РЕД АДМ |Атрибут в Printum|Атрибут в домене|Описание| |:---|:---|:---| |`username`|`uid`|Логин| |`unique_id`|`uidNumber`|Идентификатор в домене| |`last_name`|`sn`|Фамилия| |`first_name`|`givenName`|Имя| |`patronymic`|`personalTitle`|Отчество| |`email`|`mail`|Адрес электронной почты| |`domain_groups`|`memberOf`|Доменные группы| |`position`|`title`|Должность| |`smb_path`|`homeDirectory`|Путь к папке| ### ALD Pro |Атрибут в Printum|Атрибут в домене|Описание| |:---|:---|:---| |`username`|`uid`|Логин| |`unique_id`|`uidNumber`|Идентификатор в домене| |`last_name`|`sn`|Фамилия| |`first_name`|`givenName`|Имя| |`patronymic`|`rbtamiddlename`|Отчество| |`email`|`mail`|Адрес электронной почты| |`domain_groups`|`memberOf`|Доменные группы| |`position`|`title`|Должность| |`smb_path`|`homeDirectory`|Путь к папке| **Примечание:** В ALD Pro нет разделения между группами и отделами — все отделы импортируются как группы. --- ## Связанные страницы - [Интеграция с Active Directory](http://wiki.printum.io/books/4-integracii/page/integraciia-s-active-directory) - [Интеграция с FreeIPA](http://wiki.printum.io/books/4-integracii/page/integraciia-s-freeipa) - [Интеграция с Samba DC и РЕД АДМ](http://wiki.printum.io/books/4-integracii/page/integraciia-s-samba-dc-i-red-adm) - [Интеграция с ALD Pro](http://wiki.printum.io/books/4-integracii/page/integraciia-s-ald-pro) --- **Справочник атрибутов:** [Атрибуты доменов — справочник](https://wiki.printum.io/books/8-spravocnik/page/atributy-domenov-spravocnik) — сравнительная таблица по всем контроллерам домена. # Расписание синхронизации с доменом ## Цель Настройка автоматической синхронизации пользователей и оргструктуры из домена в Printum. --- ## Предусловия - Домен добавлен и успешно протестирован в Printum - Атрибуты домена сопоставлены --- ## Настройка расписания В карточке домена (**Настройки → Интеграции → Домены**) перейдите в раздел **«Расписание»**. **Важно:** расписание синхронизации является общим для всех доменов — изменение расписания в одном домене применится ко всем остальным. Укажите желаемую периодичность синхронизации и сохраните настройки. --- ## Ручная синхронизация Для немедленной синхронизации без ожидания планового запуска: - В режиме карточек — нажмите кнопку **«Запустить сейчас»**. - В режиме таблицы — нажмите иконку синхронизации (справа от иконки удаления). --- ## Ожидаемый результат Пользователи, изменения в оргструктуре и группах автоматически применяются в Printum согласно заданному расписанию. --- ## Связанные страницы - [Настройка атрибутов домена](http://wiki.printum.io/books/4-integracii/page/nastroika-atributov-domena) - [Интеграция с Active Directory](http://wiki.printum.io/books/4-integracii/page/integraciia-s-active-directory) - [Интеграция с FreeIPA](http://wiki.printum.io/books/4-integracii/page/integraciia-s-freeipa) - [Интеграция с Samba DC и РЕД АДМ](http://wiki.printum.io/books/4-integracii/page/integraciia-s-samba-dc-i-red-adm) - [Интеграция с ALD Pro](http://wiki.printum.io/books/4-integracii/page/integraciia-s-ald-pro) # Как работает синхронизация пользователей с доменом ## Назначение Синхронизация с контроллером домена — основной способ импорта пользователей в Принтум. Администратор не создаёт пользователей вручную: они выгружаются из домена автоматически. ## Поддерживаемые каталоги - Microsoft Active Directory - FreeIPA - ALD Pro - Samba DC - РЕД АДМ ## Как технически происходит синхронизация Синхронизация проходит через два уровня: 1. Контроллер домена → Мониторинг: данные выгружаются и агрегируются. 2. Мониторинг → ПринтМенеджер: пользователи передаются в систему управления. > Схема движения данных: AD/LDAP → Мониторинг → ПринтМенеджер ## Выгружаемые атрибуты В рамках синхронизации из домена выгружается набор атрибутов: - Табельный номер - Логин - Идентификатор в домене - Фамилия - Имя - Отчество - Адрес электронной почты - Доменные группы - Должность - Серийный номер карты - Путь к папке Перечень атрибутов конечный. Доменный пароль не выгружается и не хранится в Принтум. ## Настройка соответствия атрибутов Принцип аналогичен интерпретации SNMP-данных в Мониторинге: каждому атрибуту системы указывается, в каком поле домена хранится нужное значение. Из коробки подставлены стандартные значения атрибутов. Однако администраторы домена могут хранить данные нестандартно. Например: - табельный номер может быть записан в поле телефона; - номер карты можеть быть записан в произвольном атрибуте extensionAttribute. Если стандартное соответствие не подходит, администратор изменяет маппинг атрибутов в настройках синхронизации и проверяет, что нужное значение появляется корректно. ## Что выгружается: орг. структура или группы При настройке синхронизации выбирается, что выгружать из домена: - **Орг. структура (OU)** — подразделения и отделы. - **Группы безопасности** — произвольные группы пользователей. - Оба варианта одновременно. В классической модели доменной инфраструктуры организационная структура управляется через OU, а группы безопасности используются для управления доступами и логической сегментации пользователей. Однако в реальных внедрениях возможны отклонения от данной модели. Например, у некоторых заказчиков подразделения не представлены в виде OU, а реализованы через группы безопасности, где каждая группа соответствует отдельному отделу. ## Фильтры выгрузки Не обязательно выгружать всех пользователей домена. Используются стандартные LDAP-фильтры: - Можно выгрузить только конкретный отдел. - Удобно для пилотного проекта: взять IT-отдел и работать только с ними. После того как фильтры и соответствие атрибутов настроены, система будет автоматически поддерживать данные в актуальном состоянии. ## Расписание синхронизации Синхронизация происходит регулярно по расписанию. **Минимальный интервал — не чаще одного раза в 4 часа.** Для большинства случаев нескольких синхронизаций в день достаточно. ## Связанные страницы - [Модель пользователей в Принтум](http://wiki.printum.io/books/1-arxitektura-i-koncepcii/page/model-polzovatelei-v-printum) - [Объединение доменных учётных записей одного пользователя](http://wiki.printum.io/books/4-integracii/page/obieedinenie-domennyx-ucetnyx-zapisei-odnogo-polzovatelia) - [Назначение ролей через группы домена](http://wiki.printum.io/books/4-integracii/page/naznacenie-rolei-cerez-gruppy-domena) # Объединение доменных учётных записей одного пользователя ## Назначение Один сотрудник может иметь несколько доменных учётных записей в разных доменах. Принтум позволяет связать их с одним Printum ID, чтобы правила, квоты и статистика применялись к одному физическому лицу. ## Типичный сценарий: банк с двумя контурами В организациях с разделёнными сетевыми контурами (например, закрытый и открытый контур банка) сотрудник может иметь: - учётную запись в закрытом контуре — для работы с конфиденциальными данными; - учётную запись в открытом контуре — для работы с интернет-ресурсами. Физически это один человек. Его правила печати, квоты и статистика должны быть общими, независимо от того, с какого контура он печатает. ## Атрибут для объединения учётных записей При настройке интеграции с доменом задаётся **атрибут для объединения учетных записей**. Если у двух доменных учётных записей совпадает значение этого атрибута, они будут привязаны к одному пользователю при импорте. Типичные атрибуты для объединения: - **Адрес электронной почты** — если корпоративный адрес электронной почты прописан в обеих учётных записях. - **Табельный номер** — если он хранится в каком-либо атрибуте домена (например, в поле telephoneNumber). > Пример: у сотрудника Дмитрия есть две учётные записи в закрытом контуре (d.dvoynikov@internal) и в открытом контуре (d.dvoynikov@bank.ru). В обеих учётных записях в поле mail прописан один и тот же адрес электронной почты — d.dvoynikov@bank.ru. При синхронизации Принтум определит совпадение и привяжет обе учётки к одному пользователю. ## Результат объединения После объединения: - Правила печати применяются к пользователю независимо от источника учётной записи. - Квоты считаются суммарно по всем учётным записям. - Статистика печати объединяется. - Роли назначаются на уровне пользователя. ## Связанные страницы - [Модель пользователей в Принтум](http://wiki.printum.io/books/1-arxitektura-i-koncepcii/page/model-polzovatelei-v-printum) - [Как работает синхронизация пользователей с доменом](http://wiki.printum.io/books/4-integracii/page/kak-rabotaet-sinxronizaciia-polzovatelei-s-domenom) # Назначение ролей через группы домена ## Назначение Принтум позволяет автоматически назначать роли, правила печати и МФУ для прямой печати на основе членства пользователей в группах домена. Администратор управляет доступами к печати так же, как управляет любыми другими правами — через контроллер домена. ## Что такое роль в Принтум Роль определяет: - **Доступ к данным** — по локациям (например, только московский филиал) и по пользователям (собственные данные, конкретные сотрудники или группа). - **Доступный функционал** — что пользователь может делать в системе. Стандартные роли поставляются из коробки. При необходимости можно создать свою роль: с нуля или клонировав существующую с добавлением/удалением прав. Роль можно задать как роль по умолчанию — она будет присваиваться всем новым пользователям при импорте. ## Как работает назначение роли через группу домена 1. Группы домена синхронизируются в Принтум вместе с пользователями. 2. В Принтум для группы настраивается соответствующая роль. 3. При синхронизации все члены группы получают указанную роль. 4. Новый сотрудник, добавленный в группу в домене, при следующей синхронизации автоматически получает нужную роль в Принтум — без каких-либо действий в самом Принтум. > Пример: в домене есть группа «Администраторы». В Принтум для этой группы настроена роль «Администратор». Заказчик нанял нового IT-специалиста, добавил его в домене в группу «Администраторы». При следующей синхронизации пользователь появится в Принтум уже с ролью «Администратор» — в самом Принтум ничего настраивать не нужно. ## Назначение правил через группы Аналогично ролям, через группы домена можно автоматически применять правила печати. Правило — это условие (атрибуты задания: количество страниц, цветность, формат) плюс действие (запретить, разрешить только на определённых устройствах и т.д.). > Пример: администратор создаёт в домене группу «Запрет цветной печати». В Принтум для этой группы задаётся правило — запрет цветной печати. Чтобы ограничить нового сотрудника, достаточно добавить его в эту группу в домене. После синхронизации запрет применится автоматически. ## Назначение МФУ для прямой печати через группы Если используется схема с Клиентом ПМ, МФУ для прямой печати (без авторизации) также назначаются через группы домена или OU. > Пример: для OU «Бухгалтерия» назначен МФУ Kyocera для прямой печати. Клиент ПМ автоматически создаёт этот МФУ на рабочей станции каждого сотрудника бухгалтерии. Новый бухгалтер появляется в домене в OU «Бухгалтерия» — при следующей синхронизации у него на компьютере автоматически появится нужный МФУ. Администратору Принтум ничего делать не нужно. ## Итог: интеграция в процесс управления пользователями За счёт синхронизации с доменом Принтум встраивается в привычный для администраторов процесс управления доступами. Нанимая, увольняя или перемещая сотрудников между группами в контроллере домена, администратор одновременно управляет и их доступами к печати. ## Связанные страницы - [Как работает синхронизация пользователей с доменом](http://wiki.printum.io/books/4-integracii/page/kak-rabotaet-sinxronizaciia-polzovatelei-s-domenom) - [Модель пользователей в Принтум](http://wiki.printum.io/books/1-arxitektura-i-koncepcii/page/model-polzovatelei-v-printum) # Доменная авторизация и SSO — как работает ## Назначение Начиная с версии 4.2, Принтум поддерживает доменную авторизацию и Single Sign-On (SSO). Это позволяет пользователям входить в Личный кабинет с помощью доменного логина и пароля, не создавая отдельный пароль в Принтум. ## Принтум не хранит доменные пароли Это ключевой принцип безопасности. Принтум: - не импортирует доменные пароли; - не хранит доменные пароли; - не кэширует credentials пользователей. При авторизации с доменным паролем Принтум передаёт введённые учётные данные контроллеру домена и проверяет корректность пароля **на стороне контроллера домена**. В самой системе пароль не сохраняется. ## Как выглядело до версии 4.2 В версии 4.1 пользователь при входе в Личный кабинет вводил: - Логин — доменный (импортированный при синхронизации). - Пароль — внутренний пароль Принтум (не доменный). Внутренний пароль задавался самим пользователем через почту. Это не создавало проблем безопасности, но часто требования заказчиков предполагали использование исключительно доменного пароля. ## Доменная авторизация (версия 4.2+) В Личном кабинете появляется кнопка **«Авторизоваться с помощью доменной УЗ»**. Оба варианта авторизации могут работать параллельно: - Внутренний пароль Принтум — для тех, кто его создал. - Доменный пароль — для тех, кто предпочитает использовать корпоративные учётные данные. Если заказчик переходит на доменную авторизацию, внутренняя парольная политика Принтум становится менее актуальной: пароли соответствуют требованиям политики домена. ## SSO (Single Sign-On) SSO добавлен в версии 4.2. При использовании SSO пользователю не нужно вводить логин и пароль вручную — авторизация происходит автоматически на основе текущей доменной сессии. В Личном кабинете появляется кнопка входа через SSO. ## Парольная политика Принтум поддерживает настраиваемые парольные политики для внутренних паролей: - Минимальная длина. - Требования к составу (цифры, спецсимволы). - Срок действия пароля. - Требование смены пароля. Можно задать несколько парольных политик для разных групп пользователей. Есть политика по умолчанию. При использовании доменной авторизации настройка внутренней политики остаётся на усмотрение администратора. ## Связанные страницы - [Модель пользователей в Принтум](http://wiki.printum.io/books/1-arxitektura-i-koncepcii/page/model-polzovatelei-v-printum) - [Как работает синхронизация пользователей с доменом](http://wiki.printum.io/books/4-integracii/page/kak-rabotaet-sinxronizaciia-polzovatelei-s-domenom) # Гостевая печать через email — как работает ## Назначение Гостевая печать через email позволяет напечатать документ пользователю, которого нет в домене и в Принтум. Это удобно для посетителей, внешних подрядчиков и любых людей, у которых нет корпоративной учётной записи. ## Как это работает 1. Администратор создаёт специальный почтовый ящик для приёма документов на печать (например, `print@company.ru`). 2. Гость отправляет документ как вложение к письму на этот адрес (например, с планшета или личного телефона). 3. Принтум автоматически создаёт для него временную учётную запись. 4. Гостю в ответ приходит письмо с PIN-кодом. 5. Гость подходит к устройству, вводит PIN-код, видит своё задание (или несколько, если отправил несколько писем) и выбирает, что распечатать. ## Требования - Функционал должен быть включён администратором в настройках Принтум. - Документ передаётся как вложение к письму. - Доступ к физическому устройству необходим для получения распечатки. > Даже если посторонний человек узнает адрес почтового ящика и отправит туда документ, получить распечатку он не сможет: для этого нужен физический доступ к устройству и PIN-код из ответного письма. ## Разница между гостевой печатью и печатью сотрудника через почту Функционал «печать через email» используется в двух сценариях: - **Гостевая печать** — пользователь не в домене, не в Принтум. Ему автоматически создаётся временная учётная запись и высылается PIN-код. - **Печать сотрудника через почту** — сотрудник, который уже есть в системе, отправляет документ по почте. Он авторизуется под своей существующей учётной записью, PIN-код не нужен. ## Связанные страницы - [Модель пользователей в Принтум](http://wiki.printum.io/books/1-arxitektura-i-koncepcii/page/model-polzovatelei-v-printum) - [Настройка гостевой печати через почту](https://wiki.printum.io/books/4-integracii/page/nastroika-gostevoi-pecati-cerez-poctu)