# Как работает синхронизация пользователей с доменом

## Назначение

Синхронизация с контроллером домена — основной способ импорта пользователей в Принтум. Администратор не создаёт пользователей вручную: они выгружаются из домена автоматически.

## Поддерживаемые каталоги

- Microsoft Active Directory
- FreeIPA
- Samba
- ALD Pro (под капотом та же Samba с доработками)
- RedDem (за основу взята Samba)
- LDAP-совместимые каталоги

## Как технически происходит синхронизация

Синхронизация проходит через два уровня:

1. Контроллер домена → Мониторинг: данные выгружаются и агрегируются.
2. Мониторинг → ПринтМенеджер: пользователи передаются в систему управления.

> Схема движения данных: AD/LDAP → Мониторинг → ПринтМенеджер

## Выгружаемые атрибуты

В рамках синхронизации из домена выгружается набор атрибутов:

- Логин (accountName)
- Фамилия (SN)
- Имя (givenName)
- Должность
- Отдел
- Группы
- Табельный номер
- Email (mail)
- Номер карты (если есть в домене)

Перечень атрибутов конечный. Доменный **пароль не выгружается и не хранится** в Принтум.

## Настройка соответствия атрибутов

Принцип аналогичен интерпретации SNMP-данных в Мониторинге: каждому атрибуту системы указывается, в каком поле домена хранится нужное значение.

Из коробки подставлены стандартные значения атрибутов. Однако администраторы домена могут хранить данные нестандартно. Например:

- табельный номер может быть записан в поле телефона;
- номер карты — в произвольном extensionAttribute.

Если стандартное соответствие не подходит, администратор изменяет маппинг атрибутов в настройках синхронизации и проверяет, что нужное значение появляется корректно.

## Что выгружается: орг. структура или группы

При настройке синхронизации выбирается, что выгружать из домена:

- **Орг. структура (OU)** — подразделения и отделы.
- **Группы безопасности** — произвольные группы пользователей.
- Оба варианта одновременно.

Классически: отделы управляются через OU, произвольные группы — через группы безопасности. Встречаются заказчики, у которых отдел — это группа, а не OU.

## Фильтры выгрузки

Не обязательно выгружать всех пользователей домена. Используются стандартные LDAP-фильтры:

- Можно выгрузить только конкретный отдел.
- Удобно для пилотного проекта: взять IT-отдел и работать только с ними.

После того как фильтры и соответствие атрибутов настроены, система будет автоматически поддерживать данные в актуальном состоянии.

## Расписание синхронизации

Синхронизация происходит регулярно по расписанию. **Минимальный интервал — не чаще одного раза в 4 часа.** Для большинства случаев нескольких синхронизаций в день достаточно.

## Связанные страницы

- [Модель пользователей в Принтум](http://wiki.printum.io/books/1-arxitektura-i-koncepcii/page/model-polzovatelei-v-printum)
- [Объединение доменных учётных записей одного пользователя](http://wiki.printum.io/books/4-integracii/page/obieedinenie-domennyx-ucetnyx-zapisei-odnogo-polzovatelia)
- [Назначение ролей через группы домена](http://wiki.printum.io/books/4-integracii/page/naznacenie-rolei-cerez-gruppy-domena)