Управление структурой учетных записей через консоль

Обсуждение вопросов связанных с шлюзом безопасности Ideco UTM. Технические вопросы пользователей, новости от разработчиков, анонсы, обсуждения недокументированных особенностей.

Модератор: administrator

Управление структурой учетных записей через консоль

Сообщение Киселев Георгий » 01 апр 2021, 17:23

Добрый день!

Возможно ли управление структурой учетных записей через консоль (по ssh, например)?

Задача стоит следующая: структура подразделений на предприятии довольно динамичная, необходимо создавать/удалять подразделения и синхронизировать их с группами AD. Через web-интерфейс процесс довольно долгий. Хотелось бы его автоматизировать через скрипты/API. Что-то вроде:
  • создать каталог "УПРАВЛЕНИЕ 1"
  • создать подкаталог "УПРАВЛЕНИЕ 1/ОТДЕЛ 1"
  • связать каталог "ОТДЕЛ 1" с группой безопасности AD "DEP_1_1"
и так далее по списку. Использовать плоскую структуру будет проблематично - в сети одновременно более 700 пользователей и такая синхронизация будет очень долгой. Опыт автоматизации через скрипты bash/perl имеется.
Киселев Георгий
Пользователь
 
Сообщения: 8
Зарегистрирован: 08 авг 2018, 10:22

Re: Управление структурой учетных записей через консоль

Сообщение ideco.dmitriy » 03 апр 2021, 19:42

Добрый день!
Такой возможности нет.
Но с версии Ideco UTM 10 в правилах доступа можно будет использовать все группы безопасности АД.
Таким образом доступом в целом можно будет управлять через АД, с помощью добавления и убирания пользователей из соответствующих групп.
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 2240
Зарегистрирован: 11 мар 2014, 08:43

Re: Управление структурой учетных записей через консоль

Сообщение Киселев Георгий » 06 апр 2021, 08:43

Управление доступом в Интернет и сейчас делается через принадлежность к группе. Просто для ведения статистики и разделения пользователей по подразделениям используются различные группы. И хотелось бы автоматизировать процесс привязки группы в UTM к группе в AD, потому как сделать это вручную для 10 групп можно, а для 100+ (да, столько подразделений) - сложнее. А уж контролировать изменения в структуре именно UTM будет совсем грустно...
Киселев Георгий
Пользователь
 
Сообщения: 8
Зарегистрирован: 08 авг 2018, 10:22

Re: Управление структурой учетных записей через консоль

Сообщение ideco.dmitriy » 06 апр 2021, 14:12

А не подходит возможность импорта и синхронизации из AD корневого каталога LDAP?
Таким образом в UTM будет просто копия всех текущих групп и ваших подразделений из Active Directory.
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 2240
Зарегистрирован: 11 мар 2014, 08:43

Re: Управление структурой учетных записей через консоль

Сообщение Киселев Георгий » 07 апр 2021, 11:03

Всё дерево AD не требуется, хотя я попробовал импортировать корневой каталог с фильтром:
Код: Выделить всё
(&(objectClass=user)(objectCategory=person)(memberOf=CN=internet,OU=Domain Groups,DC=mydomain,DC=local))

Но так как пользователи все находятся в контейнере OU=Domain Users, то и в UTM они попадают в одну группу.
Screenshot_20210407_093048.png
Screenshot_20210407_093048.png (98.4 КБ) Просмотров: 2049

Screenshot_20210407_083737.png
Screenshot_20210407_083737.png (54.14 КБ) Просмотров: 2049

Т.е. группировка пользователей производится не по группам, а по Organization Unit. И нужно будет повторить в AD структуру с использованием не групп, а OU
Киселев Георгий
Пользователь
 
Сообщения: 8
Зарегистрирован: 08 авг 2018, 10:22

Re: Управление структурой учетных записей через консоль

Сообщение ideco.dmitriy » 07 апр 2021, 20:08

Структурой учетных записей в UTM через скрипты в настоящий момент управлять, к сожалению, нельзя.
В версии 10.0 будет возможность использовать все группы безопасности AD в правилах, частично возможно это поможет решить ваш вопрос.
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 2240
Зарегистрирован: 11 мар 2014, 08:43


Вернуться в Шлюз безопасности Ideco UTM 8.x и 9.х

Кто сейчас на конференции

Сейчас этот форум просматривают: Bing [Bot] и гости: 1

cron