В Системе ОПТИМУМ доступна функция аутентификации пользователей с использованием информации, предоставляемой Службой каталогов. Служба каталогов (сервер каталогов) – средство иерархического представления ресурсов, принадлежащих некоторой отдельно взятой организации, и информации об этих ресурсах. Под ресурсами могут пониматься материальные ресурсы, пользователи, сетевые ресурсы и т. д. С технической точки зрения Служба каталогов – программный комплекс, обеспечивающий централизованный доступ к данным, которые могут использоваться различными приложениями.
Службы каталогов имеют целый ряд программных реализаций. На текущий момент Cистема ОПТИМУМ поддерживает реализации Microsoft Active Directory (AD) и OpenLDAP. Используемая реализация службы каталогов определяется настройками системы (см. раздел Параметры конфигурационного файла web.config).
Основные принципы работы службы каталогов заключаются в следующем:
Данные каталога хранятся в виде объектов (сущностей), состоящих из специальных полей, называемых атрибутами. Набор атрибутов, их синтаксис и правила поиска определяются схемой каталога. Все объекты каталога идентифицируются специальным атрибутом — DN (Distinguished Name).
Данные в каталоге можно представить в виде древовидной структуры, вершиной которого является корневой объект.
Каждый последующий объект в структуре каталога идентифицируется уникальным значением DN, который описывает путь к объекту в каталоге. DN любого объекта так же включает DN всех объектов стоящих выше по иерархии. Отличие в данном случае только в том, что DN формируется не слева-направо, как путь к файлу, а наоборот — справа-налево. То есть, например, объекту Иванов Иван, расположенному в иерархии каталога в узле dc=example, dc=com -> ou=Работники, будет соответствовать DN: «cn=Иван Иванов, ou=Работники, dc=example, dc=com».
Для определения прав доступа в систему Оптимум пользователей ОС Windows добавляется соответствие между пользователями системы и группами Active Directory (AD), при этом одной группе AD соответствует один пользователь системы с определенными ему правами доступа. Таким образом, аутентифицируемый в системе пользователь ОС Windows получает те права доступа, которые определены для пользователя Системы, соответствующего группе AD, включающей аутентифицируемого пользователя. Соответствие групп AD и пользователей системы выставляется на основе идентификатора группы (CN) и идентификационного номера пользователя (внешний код пользователя).
LDAP (Lightweight Directory Access Protocol) – протокол, используемый для организации доступа к службе каталогов. Он позволяет производить операции аутентификации, поиска и сравнения записей. Обычно LDAP-сервер использует порт 389 (TCP или UDP) или, если сервер поддерживает протокол LDAPS, – порт 636.
Смотрите также раздел Права доступа (LDAP).