Añadir servidor
Nombre del servidor y host principal
En el campo Server Name, introduzca el nombre con el que se mostrará el servidor LDAP en Passwork.
En la sección Primary Host, especifique la dirección del servidor LDAP. Debe proporcionar la dirección completa, incluyendo el protocolo y el puerto.
Ejemplo:
ldap://192.168.0.1:389
Si existe un servidor LDAP de respaldo, su dirección también se puede especificar en la configuración de Passwork. En caso de que el servidor LDAP principal falle, Passwork hará automáticamente que el servidor de respaldo sea el principal y dirigirá todas las solicitudes DN a él hasta que se resuelvan los problemas con el servidor LDAP principal.
Si se utiliza un protocolo seguro LDAPS, en lugar de la dirección IP, especifique el CN (Common Name):
Ejemplo:
ldaps://dc01.passwork.local:636
Más detalles sobre la configuración y uso de LDAPS
Código del servidor
Si necesita especificar varios servidores LDAP, debe especificar un código de servidor para cada uno de ellos.
Server Code es un código alfanumérico único que se convierte en parte del inicio de sesión del usuario. Passwork lee el código del servidor del inicio de sesión del usuario y realiza la autorización utilizando el servidor LDAP cuyo código se especificó en el inicio de sesión.
Puede dejar este campo vacío si solo se utiliza un servidor LDAP y los usuarios sin código utilizarán este servidor para la autorización.
Por ejemplo, si el código del servidor es dc1, entonces el inicio de sesión del usuario en Passwork será user@dc1. Al autorizarse en Passwork, el usuario introducirá el inicio de sesión user@dc1, Passwork extraerá el código del servidor dc1, lo buscará en la base de datos y se conectará a este servidor LDAP.
Si el usuario introduce un inicio de sesión sin @, por ejemplo, user, Passwork buscará un servidor LDAP sin código e intentará conectarse a él.
Ejemplo:
| Inicio de sesión | Código del servidor | Inicio de sesión en Passwork |
|---|---|---|
user | none | user |
user | passwork.local | [email protected] |
user | passwork | user@passwork |
Cuenta de servicio
Especifique el inicio de sesión y la contraseña de la cuenta de servicio que tiene permisos para trabajar con usuarios.
Passwork almacena estos datos de forma cifrada: la contraseña guardada se puede cambiar pero no se puede visualizar.
La lista desplegable permite seleccionar el nombre del atributo mediante el cual se forma el inicio de sesión del usuario para la autorización en Passwork:
- Si el servidor LDAP utiliza Windows, seleccione samaccountname
- Si el servidor LDAP se ejecuta en un sistema operativo de la familia Linux, seleccione uid
Si el servidor LDAP está configurado de modo que los inicios de sesión de los usuarios no se almacenan en el atributo predeterminado, debe especificar el nombre del atributo manualmente.
Puede verificar la corrección de los datos introducidos haciendo clic en Test
Autorización
Passwork permite configurar la autorización de usuarios utilizando la cuenta de servicio.
Cuenta de servicio
Passwork se autoriza utilizando la cuenta de servicio, luego busca al usuario por inicio de sesión e intenta autorizarse utilizando el inicio de sesión y la contraseña.
La autorización a través de la cuenta de servicio consta de los siguientes pasos:
- En la página de autorización, el usuario introduce sus credenciales, como nombre de usuario y contraseña.
- El servidor de Passwork utiliza la cuenta de servicio para encontrar al usuario con ese inicio de sesión en LDAP y obtener su DN.
- El servidor de Passwork envía una solicitud de enlace (bind) al servidor LDAP con el DN del usuario encontrado y su contraseña.
- El servidor LDAP verifica las credenciales introducidas contra los datos almacenados en su base de datos.
- Si las credenciales introducidas son correctas y coinciden con los datos en el servidor LDAP, el servidor LDAP devuelve la confirmación de autenticación exitosa al servidor de Passwork.
- El servidor de Passwork recibe la confirmación de autenticación exitosa del servidor LDAP y otorga al usuario acceso al sistema.
Mapeo de atributos de usuario
Para utilizar los atributos LDAP como el correo electrónico y el nombre completo del usuario en Passwork, especifique los nombres de estos atributos.
Correo electrónico del usuario
El atributo LDAP predeterminado es mail, ejemplo:
mail: [email protected]
Si se utiliza otro atributo para el correo electrónico en LDAP (por ejemplo, userPrincipalName), debe especificarse.
Nombre completo del usuario
El nombre completo puede almacenarse en diferentes atributos según la configuración del servidor LDAP:
displaynamenmcncommonnamename
Ejemplo:
displayName: Ivan Petrov
Si LDAP no utiliza displayName, puede especificar otro atributo adecuado de la lista o uno personalizado.
Grupos del usuario
El atributo memberOf contiene una lista de grupos a los que pertenece el usuario. Este es un elemento clave para:
- Control de acceso basado en grupos;
- Asignación de grupos durante el mapeo;
- Restricción de inicio de sesión en Passwork por grupos.
Ejemplo:
memberOf: CN=Admins,OU=Groups,DC=example,DC=com
memberOf: CN=IT,OU=Departments,DC=example,DC=com
En la mayoría de las configuraciones, el parámetro memberOf es adecuado de forma predeterminada. Cambiar este valor solo es necesario si el esquema LDAP utiliza un atributo diferente. Antes de realizar cambios, se recomienda asegurar la presencia de dicho atributo y su correcto funcionamiento.