12 Апрель 2012 
Андрей Суров Аутентификация пользователей системы электронного документооборота Detrix может осуществляться как с использованием собственных средств хранения учетных записей, так и посредством Активного каталога (Active Directory) Microsoft Windows.
Включение аутентификации системы электронного документооборота Detrix через Активный каталог (Active Directory) осуществляется путем модификации секции authentication конфигурационного файла settings.xml и приведения ее к следующему виду:
<item name="authentication" type="array">
<item name="classname" value="MSF_AuthenticationExtension" />
<item name="settings" type="array">
<item name="login_type" value="LDAP-SSO" />
<item name="ldap_host" value="x.x.x.x" />
<item name="ldap_port" value="389" />
<item name="ldap_domain" value="domainname" />
<item name="ldap_nbios" value="NetBIOSdomainname" />
<item name="ldap_user" value="user" />
<item name="ldap_password" value="pass" />
<item name="session_time" value="480" />
</item>
</item>
Параметр login_type может принимать следующие значения:
- MSF — обычный (родной) способ аутентификации СЭД Detrix, используя учетные записи, хранящиеся в базе данных.
- LDAP — аутентификация через Активный каталог.
- LDAP-SSO — аутентификация через Активный каталог с использованием NTLM-протокола.
В параметре ldap_host необходимо указать в IP-адрес контроллера домена Активного каталога, а имя домена ввести в ldap_domain.
При использовании типа аутентификации LDAP-SSO необходимо указать непривилегированную учетную запись Активного каталога в параметрах ldap_user и ldap_password, а также NetBIOS-имя домена в параметре ldap_nbios (посмотреть NetBIOS-имя домена, которое передается от клиента системе, можно указав параметр sso=who в адресной строке браузера). Кроме сказанного выше данный вариант аутентификации требует следующие настройки в браузерах пользователей:
- Для Internet Explorer и Google Chrome указать адрес сервера Detrix в списке узлов местной интрасети Internet Explorer (Свойства обозревателя — Безопасность)
- Для Firefox указать адрес сервера Detrix в параметре network.automatic-ntlm-auth.trusted-uris (доступ к этому параметру осуществляется путем ввода about:config в адресной строке браузера).
Для применения аутентификации через Активный каталог администратору придется еще потрудиться и над справочником Пользователи. Он должен создать в системе учетные записи с именами, которые совпадают с названиями учетных записей Активного каталога. При отключенном SSO пользователь при аутентификации должен будет ввести имя и пароль своей учетной записи Активного каталога.
Ну и осталось отметить, что при использовании аутентификации через Активный каталог пользователю СЭД Detrix недоступна возможность изменения своего пароля в профиле. Изменение пароля осуществляется штатными средствами операционной системы пользователя.
Ссылка по теме:
Рубрика: 
Метки:
Существует ли возможность привязать конкретную группу в AD к аутентификации в СЭД?
Не до конца понятна суть интеграции с AD. Получается заносить пользователей в систему все равно придется вручную: используя login_type MSF, мы под учеткой админа, хранящейся в psql базе, добавляем пользователей в нее же. Затем меняем login_type на ldap и все должно заработать?
Интеграция с АД только на уровне паролей, пользователи все равно вносятся вручную, привязываются к сотрудникам, должностям и структуре. Структуры Detrix и AD не синхронизируются.