Пользователи
Локальные пользователи
Данные локальных пользователей хранятся в базе данных на сервере. Список существующих пользователей можно увидеть
на странице Главная / Пользователи / Реестр пользователей
. Управление локальными пользователями выполняется с этой же страницы.
Каждый пользователь обладает:
- обязательными атрибутами (Логин, Пароль)
- базовыми атрибутами (Имя, Фамилия, Отчество, E-mail)
- дополнительными атрибутами
Пользователи LDAP
Памир поддерживает интеграцию с LDAP сервером. В рамках интеграции пользователи LDAP могут получать доступ к Памир.
Настройка интеграции выполняется на странице Главная / Настройки / Пользователь / LDAP
.
Пользователи авторизованные с помощью LDAP отображаться на странице Главная / Пользователи / Реестр пользователей
.
Управление пользователями LDAP выполняется с этой же страницы.
Пользователь LDAP может быть создан только через форму входа в систему.
Создание дополнительных атрибутов пользователя
Пользователь может обладать произвольным количеством дополнительных атрибутов. Управление дополнительными атрибутами
выполняется на странице Главная / Настройки / Пользователь / Атрибуты
. Назначение дополнительных атрибутов пользователя
аналогично назначению атрибутов конфигурационной единицы - детализировать описание
пользователя.
Типизация атрибутов пользователя выполняется аналогично атрибутам CMDB.
Параметр Целевое использование позволяет защитить атрибут от удаления или изменения.
Перевод атрибута в целевое использование - невозвратная операция. Флаг Целевой атрибут невозможно снять через редактирование атрибута.
Дополнительные атрибуты пользователя могут быть помечены модификаторами:
- Обязательный. Позволяет сделать атрибут обязательным для заполнения. (Будет автоматически добавлен при редактировании пользователя)
- Заблокировать самостоятельное редактирование. Позволяет сделать атрибут недоступным для редактирования пользователю. Модификатор рекомендуется применять к атрибутам, которые используются в правилах доступа.
Алгоритм аутентификации и авторизации
Аутентификация с указанным доменом
Если пользователь при аутентификации указывает домен, то аутентификация осуществляется сервером LDAP, обслуживающим соответствующий домен:
- в случае успешной аутентификации, происходит поиск пользователя в локальном хранилище на основе его login и LDAP (домен);
- если пользователь найден, то для него выполняется синхронизация атрибутов и авторизация;
- если пользователь не найден, то он создается и сохраняется в локальном хранилище, ему присваивается LDAP соответствующего сервера и в качестве пароля устанавливается пустое значение (null). Пароль пользователя в Памир не сохраняется;
- в случае ошибки - аутентификация прекращается, пользователю возвращается сообщение об ошибке.
Аутентификация без указания домена
Если пользователь при входе в систему не указывает домен, то приоритетно осуществляется аутентификация с использованием локального хранилища пользователей:
- если найден локальный пользователь с указанным login, то для него выполняется процедура аутентификации;
- в случае успеха для пользователя выполняется авторизация;
- в случае ошибки - аутентификация прекращается, пользователю возвращается сообщение об ошибке;
- если локальный пользователь с указанным login не найден, и в системе настроена активная интеграция с одним сервером LDAP, то выполняется попытка аутентификации через LDAP в полном соответствии с пунктом "Аутентификация с указанным доменом" с единственным настроенным сервером LDAP;
- если локальный пользователь с указанным login и LDAP не найден, и в системе настроена активная интеграция с более чем одним (или нулем) сервером LDAP, то пользователю возвращается сообщение об ошибке.
Вне зависимости от домена пользователь имеет ограниченное количество попыток указания верных данных для аутентификации, в случае неудачи - пользователь будет заблокирован.