Страница 1 из 1
Mychat и LDAP
Добавлено:
Чт июн 04, 2020 6:13 pm
Zipraider
Добрый день, есть вопрос по интеграции пользователей с AD в Mychat. Насколько я понимаю из AD можно вытащить только пользователей, при их интеграции они создают группы пользователей в Mychat, по типу - Андрей был в каталоге Admins, значит при интеграции в системе создаётся группа Admins в которую падает Андрей и аналогично с другими пользователями и каталогами.
Умеет ли Mychat забирать из AD сразу группы безопасности? как например Jabber, когда в AD можно было создать группу безопасности jab_pol, jab_admin и т.д, добавить в неё пользователей и Джаббер уже выстраивал списки основываясь на эти группы. Это полезно в том случае, что при заведении нового пользователя, в AD достаточно добавить его в нужную группу безопасности и он сразу отобразится в нужной группе Джаббера.
Re: Mychat и LDAP
Добавлено:
Чт июн 04, 2020 6:24 pm
Андрей Раков
Добрый день.
Нужно пояснение.
Вы хотите чтобы пользователи домена, которые находятся в некой группе безопасности "группа_админов", попадали в группу прав в чате?
Где в домене посмотреть эти группы безопасности и как они называются в LDAP, какой фильтр нужно делать?
Re: Mychat и LDAP
Добавлено:
Чт июн 04, 2020 7:07 pm
Zipraider
Так, для начала AD - окно с группой polic1, в которой присутствует 4 пользователя, каждый из них имеет разные группы безопасности и доступы. Но некоторые из них имеют группу безопасности jab_lab. (рис. окно домен).
Далее (рис. окно домен) сами группы безопасности Jab располагаются в корне домена, в данном случае domain.why.
Если рассмотреть пользователя External из первого скриншота, то можно увидеть, что у него нет никакой Jab группы, т.е в "болтушку" ни в один из каталогов он не упадёт. (рис. группы)
Другое дело обстоит с пользователем kdl2, он присутствует в группе jab_lab (рис. группы)
Если открыть OpenFire консоль, через веб мордочку, видно что она интегрировала Jab группы безопасности в себя, в каждой из них есть пользователи из AD (рис. Джаббер )
Если открыть любую из групп Jab можно будет увидеть следующее (рис. Джаббер)
Так же в этом рисунке можно посмотреть отображение в клиенте
Сейчас при открытии AD из Mychat я увидел все те же группы что и в AD, но никаких групп безопасностей, т.е каждого нового пользователя AD нужно будет вытаскивать руками в свою группу в Mychat.
p.s если бы при вытаскивании пользователей из группы Admin в AD в Mychat они сразу бы получали админские права Mychat был бы вообще шик)))
Re: Mychat и LDAP
Добавлено:
Чт июн 04, 2020 7:17 pm
Андрей Раков
Как я понял — вы хотите, чтобы мы создавали "группы пользователей" с названиями этих групп безопасности (или OU), чтобы вы потом могли на их основе создавать автосоздаваемые конференции и "вгонять" их.
Один пользователь домена может входить в несколько разных групп безопасности домена?
Просто наши группы прав подразумевают, что пользователь может находиться только в одной из них.
Re: Mychat и LDAP
Добавлено:
Чт июн 04, 2020 7:19 pm
Zipraider
Забыл добавить, все Jab группы естественно выдуманы, можно было их назвать хоть Леголасы
просто для понимания, для чего они созданы.
Re: Mychat и LDAP
Добавлено:
Чт июн 04, 2020 7:24 pm
Zipraider
Примерно да, например я создам группу безопасности Лаборатория и добавлю в неё 10 пользователей лаборатории, при этом может существовать каталог лаборатория в самом домене, и там может быть более 10 пользователей , но например кто-то из них неактивен и зачем они будут отображаться в mychat.
Да пользователи могут быть в нескольких группах безопасности, например один пользователь может иметь доступ на тот или иной сервер, другой нет.
Но например, если я в лабораторию добавлю Петра, но в тот же кабинет функциональной диагностики Петра я уже добавлять не буду, т.е этот Пётр не окажется в двух Джаббер групах.
Но OpenFire сейчас это позволяет.
Re: Mychat и LDAP
Добавлено:
Чт июн 04, 2020 7:33 pm
Zipraider
Просто я кажется понял в чём недопонимание, у вас OU - это название групп (обычных каталогов), т.е структура самого AD, но каждый пользователь внутри имеет группы безопасности, которые Mychat не видит.
Re: Mychat и LDAP
Добавлено:
Чт июн 04, 2020 9:32 pm
Андрей Раков
Напрашивается ключевой вопрос — какое отличие этих "групп безопасности" от OU, которые мы сейчас отслеживаем?
Почему вы не делите пользователей на OU?
Мы конечно можем добавить все о чем вы описали выше, но для этого нам нужно четкое понимание, что мы делаем и зачем.
Просто, достаточно добавить генерацию групп пользователей на основе OU и получим практически то же самое.
Re: Mychat и LDAP
Добавлено:
Пт июн 05, 2020 5:53 am
Zipraider
Просто AD так работает, Группа OU не гарантирует доступ на серверы, это обычная папка, в которой лежат пользователи, все правила и доступы рулятся из групп безопасности. OU созданы для логичной и лаконичной структуры компании, например группа Buh через группы безопасности может иметь доступ только в один терминальный сервер и свою папку и больше никуда, группа Econ может работать аналогично, но главный экономист может например видеть ресурсы группы Buh. Всё это обеспечивается только группами безопасности, а не OU.
Так вот и суть всего треда, что можно создать группы безопасности в AD и подцепить их в Mychat, т.е название группы Mychat = название группы безопасности AD, а не OU. Профит в том, что добавление человека в AD в определённую группу безопасности автоматически отправит его в группу Mychat.
И дополнительно, например группа OU может назваться Policlinica, но как мы понимаем в поликлиники могут быть разные профильные подразделения, например та же лаборатория, как я понимаю, чтобы мне сейчас вытащить лабораторные компьютеры в отдельную группу чата, мне нужно либо создать OU лаборатория, либо что-то делать другое. В этом как раз и есть удобство выгрузки групп безопасности, а не сдёргивание пользователей из OU.
Re: Mychat и LDAP
Добавлено:
Пт июн 05, 2020 6:12 am
Zipraider
"Почему вы не делите пользователей на OU?"
Мы делим, просто не делаем огромное количество OU папок, а разделяем всё через группы безопасности. И опять же в OU группах есть технические либо отключённые учётки, которые не должны отображаться в mychat, если делать выгрузку руками, то конечно можно их пропустить, но если выгружать прям всю группу автоматически, то все они будут туда валиться.
Re: Mychat и LDAP
Добавлено:
Пт июн 05, 2020 2:17 pm
Андрей Раков
Добрый день.
Zipraider писал(а):OU созданы для логичной и лаконичной структуры компании
Именно поэтому мы ориентируемся на OU, нам не важно что там не настроены какие-то права — главное правильно отобразить структуру компании.
Zipraider писал(а):Профит в том, что добавление человека в AD в определённую группу безопасности автоматически отправит его в группу Mychat.
Аналогично, при добавлении пользователя в OU.
В общем, сейчас мы точно не будем ориентироваться на другие группы пользователей домена, но формирование групп пользователей чата, но основе OU — добавим, чтобы можно было создавать конференции на их основе.