Поставка ldap.cf (8.3.24.1467)
- включает подсистему дпДополнительныеПодсистемы.LDAP
- работает только на ОС Windows
- два предопределенных запроса:
- Пользователи AD
- Группы пользователя AD
- для первоначального заполнения настроек выполнить
// обработчик обновления ИБ
дпLDAP.ОбновлениеИБ_ЗаполнитьЗапросыПоУмолчанию()
Использование LDAP фильтров
https://learn.microsoft.com/ru-ru/archive/technet-wiki/8077.active-directory-ldap
Назначение объектов подсистемы
Справочник.дпЗапросыLDAP предназначен для создания и хранения запросов LDAP.
// выполнить сохраненный запроса LDAP в таблицу значений
ПараметрыВыполнения = дпLDAP.ВыполнитьЗапросLDAP(ЗапросLDAP, ПараметрыЗапроса);
Если ПараметрыВыполнения.ЕстьОшибки Тогда
ВызватьИсключеие ПараметрыВыполнения.ТекстОшибки;
Иначе
Для Каждого Строка Из ПараметрыВыполнения.РезультатЗапроса Цикл
КонецЦикла;
КонецЕсли;
Обработка.дпКонсольЗапросовLDAP предназначена для интерактивного выполнения запросов и просмотра доступных атрибутов объектов AD.
Обработка.дпНастройкиLDAP предназначена для установки имени/пароля пользователя AD от имени которого будут выполняться запросы, по умолчанию от имени пользователя сервера 1С.
Запрос актуальных пользователей AD
Текст запроса складывается из:
- Строка подключения - расположение запрашиваемых объектов AD:
- задаются атрибуты строки подключения;
- выбирается локальный или глобальный каталог;
- при необходимости можно указать сервер:порт каталога.
- Фильтры - условия выборки объектов AD (в виде дерева условий: логические И;ИЛИ;НЕ, сравнения =;<=;>=):
- задаются значения атрибутов объектов выборки;
- если значение атрибута не задано, то в текст запроса будет добавлен [ПараметрN] для последующей установки значения.
- Поля - список полей объектов выборки:
- Атрибут - имя атрибута объекта AD;
- Имя колонки - имя колонки таблицы значений в которую будет получен результат выполнения запроса, если не задан, то имя атрибута;
- В строку - предназначен для преобразования значений COMSafeArray в строку вида Значение1-Значение2-...-ЗначениеN.
- Диапазон поиска - выбирать объекты AD только из указанного в запросе расположения или включать объекты вложенных уровней (при большом количестве объектов AD ограничивает количество выбираемых объектов и можно отключать иерархию для уменьшения размера выборки).
Запрос групп пользователя AD c подстановкой в запрос значения пользователя
При выполнении запроса в его тексте будет выполнена замена [ПараметрN] на соответствующее значение параметра.
Консоль запросов LDAP
Содержимое вкладок:
- Исходный текст запроса из Справочник.дпЗапросыLDAP или ручной ввод, редактирование текста запроса.
- Настройки атрибутов/полей для вывода результата запроса (список обновляется из текста запроса).
- Значения параметров запроса для установки в исходный текст запроса (список обновляется из текста запроса).
- Авторизация при выполнении запроса, по умолчанию от имени пользователя сервера 1С
- Результат выполнения запроса в соответствии с настройками полей запроса:
- полям со значением COMSafeArray можно устанавливать настройку преобразования в строку для просмотра их значения в консоли;
- поле атрибута distinguishedName помечено звездочкой и по двойному клику на нем открывает значения всех атрибутов выбранного объекта.
- Строка подключения (с параметрами авторизации), выполненный текст запроса (исходный текст запроса с установленными параметрами запроса).
Пример использования подсистемы
- Все пользователи заводятся в Active Directory.
- Доступ пользователя к информационным системам задается включением в определенные группы Active Directory.
- Информационные системы автоматически обновляют список актуальных пользователей из Active Directory (в случае системы 1С при создании нового пользователя можно брать уникальный идентификатор элемента из атрибута objectGUID объекта Active Directory, что бы было предсказуемое значение ссылки).
- При запуске информационной системы обновляется список групп пользователя из Active Directory и в соответствии с ними устанавливаются права в информационной системе (в случае системы 1С при изменении ролей пользователя, требуется перезапуск клиента).
Вступайте в нашу телеграмм-группу Инфостарт
