Перейти к основному содержимому

Пользователи

Локальные пользователи

Данные локальных пользователей хранятся в базе данных на сервере. Список существующих пользователей можно увидеть на странице Главная / Пользователи / Реестр пользователей. Управление локальными пользователями выполняется с этой же страницы.

Каждый пользователь обладает:

  • обязательными атрибутами (Логин, Пароль)
  • базовыми атрибутами (Имя, Фамилия, Отчество, E-mail)
  • дополнительными атрибутами

Пользователи LDAP

Памир поддерживает интеграцию с LDAP сервером. В рамках интеграции пользователи LDAP могут получать доступ к Памир. Настройка интеграции выполняется на странице Главная / Настройки / Пользователь / LDAP.

Пользователи авторизованные с помощью LDAP отображаться на странице Главная / Пользователи / Реестр пользователей. Управление пользователями LDAP выполняется с этой же страницы.

подсказка

Пользователь LDAP может быть создан только через форму входа в систему.

Создание дополнительных атрибутов пользователя

Пользователь может обладать произвольным количеством дополнительных атрибутов. Управление дополнительными атрибутами выполняется на странице Главная / Настройки / Пользователь / Атрибуты. Назначение дополнительных атрибутов пользователя аналогично назначению атрибутов конфигурационной единицы - детализировать описание пользователя.

Типизация атрибутов пользователя выполняется аналогично атрибутам CMDB.

Параметр Целевое использование позволяет защитить атрибут от удаления или изменения.

warning

Перевод атрибута в целевое использование - невозвратная операция. Флаг Целевой атрибут невозможно снять через редактирование атрибута.

Дополнительные атрибуты пользователя могут быть помечены модификаторами:

  • Обязательный. Позволяет сделать атрибут обязательным для заполнения. (Будет автоматически добавлен при редактировании пользователя)
  • Заблокировать самостоятельное редактирование. Позволяет сделать атрибут недоступным для редактирования пользователю. Модификатор рекомендуется применять к атрибутам, которые используются в правилах доступа.

Алгоритм аутентификации и авторизации

Аутентификация с указанным доменом

Если пользователь при аутентификации указывает домен, то аутентификация осуществляется сервером LDAP, обслуживающим соответствующий домен:

  • в случае успешной аутентификации, происходит поиск пользователя в локальном хранилище на основе его login и LDAP (домен);
  • если пользователь найден, то для него выполняется синхронизация атрибутов и авторизация;
  • если пользователь не найден, то он создается и сохраняется в локальном хранилище, ему присваивается LDAP соответствующего сервера и в качестве пароля устанавливается пустое значение (null). Пароль пользователя в Памир не сохраняется;
  • в случае ошибки - аутентификация прекращается, пользователю возвращается сообщение об ошибке.

Аутентификация без указания домена

Если пользователь при входе в систему не указывает домен, то приоритетно осуществляется аутентификация с использованием локального хранилища пользователей:

  • если найден локальный пользователь с указанным login, то для него выполняется процедура аутентификации;
  • в случае успеха для пользователя выполняется авторизация;
  • в случае ошибки - аутентификация прекращается, пользователю возвращается сообщение об ошибке;
  • если локальный пользователь с указанным login не найден, и в системе настроена активная интеграция с одним сервером LDAP, то выполняется попытка аутентификации через LDAP в полном соответствии с пунктом "Аутентификация с указанным доменом" с единственным настроенным сервером LDAP;
  • если локальный пользователь с указанным login и LDAP не найден, и в системе настроена активная интеграция с более чем одним (или нулем) сервером LDAP, то пользователю возвращается сообщение об ошибке.

Вне зависимости от домена пользователь имеет ограниченное количество попыток указания верных данных для аутентификации, в случае неудачи - пользователь будет заблокирован.