Здраствуйте, подскажите каким образом возможно изменить тип значения поля "интервал синхронизации (часов)" на значение в минутах ?

Нравится

1 комментарий

Здравствуйте!

 

Для того, чтобы изменить тип значения поля "интервал синхронизации (часов)", нужно замещать страницу настроек LDAP и заменить LDAPSysSettingsService на кастомный сервис, который будет планировать задания с интервалом в минутах.

 

Быстрый способ - можно обновить поле INT_PROP_1 в таблице QRTZ_SIMPROP_TRIGGERS для SyncWithLDAPProcessTrigger, оно имеет интервал именно в минутах. Но если пересохранить настройки LDAP в этом кейсе, триггер может снова перепланироваться на значение в часах, которое находится на странице.

 

Надеюсь, информация станет полезной.

Показать все комментарии

Здравствуйте! Подскажите, какой атрибут в настройках синхронизации с LDAP используется для передачи значения Активный пользователь?

Нравится

1 комментарий

Здравствуйте!



При  синхронизации нужно установить атрибут пользователей "активный" = "да".



С уважением,

Богдан

Показать все комментарии

Здравствуйте. Сервер Creatio версии 7.18.2.1236 развёрнут на Astra Linux. Коллегами была настроена синхронизация пользователей AD – группы AD успешно импортировались в систему, а после этого была произведена успешная синхронизация орг. Роли с группой. В результате, во вкладку «Пользователи» были автоматически добавлены пользователи из группы LDAP. Настройка производилась по инструкции на Академии.

 

Однако, после настроек аутентификации – а именно, изменения файла «Terrasoft.WebHost.dll.config» (т.к. Creatio развёрнуто на Astra Linux), авторизация под учётными записями AD осталась недоступной. Следовали инструкциям по настройке. Просьба подсказать, в чём может быть проблема. Файл настройки «Terrasoft.WebHost.dll.config» прилагаю.



P.S. Есть так же отдельный сервер Creatio на Windows. Там синхронизация с AD и авторизация по учётным записям AD работают корректно (там авторизация настроена через файл конфигурации Web.config)

Прикрепленные файлы

Нравится

1 комментарий

Добрый день!

Попробуйте заменить Ldap на LdapProvider в следующих строках:<provider name="Ldap" type="Terrasoft.Authentication.Core.Ldap.NetStandardLdapProvider, Terrasoft.Authentication">

 

<auth providerNames="InternalUserPassword,Ldap"

 

Должно получится так:

<provider name="LdapProvider" type="Terrasoft.Authentication.Core.Ldap.NetStandardLdapProvider, Terrasoft.Authentication">

 

<auth providerNames="InternalUserPassword,LdapProvider"

 

Также убедитесь, что сервер приложения включён в домен сервера, где расположен AD.

Показать все комментарии

Коллеги, добрый день.

Пытаюсь настроить синхронизацию с АД. После ввода настроек на странице, выходи уведомление что процесс синхронизации начат. но в мониторе процессов, заканчивается с ошибкой

 

текст ошибки:

System.Exception: LDAP import error: An operation error occurred..

   at Terrasoft.Core.Process.RunLDAPImport.InsertLDAPElementsScriptTaskExecute(ProcessExecutingContext context)

   at Terrasoft.Core.Process.ProcessFlowElement.ExecuteItem(ProcessExecutingContext context) in /opt/buildagent/work/ApplicationCoreLinux/TSBpm/Src/Lib/Terrasoft.Core/Process/ProcessFlowElement.cs:line 537

   at Terrasoft.Core.Process.ProcessFlowElement.Execute(ProcessExecutingContext context) in /opt/buildagent/work/ApplicationCoreLinux/TSBpm/Src/Lib/Terrasoft.Core/Process/ProcessFlowElement.cs:line 1062

 

подскажите что не так?! Заранее спасибо.

Нравится

2 комментария

Kirill Zayavlenskikh, добрый день!

Причина может быть в том, что  в Domain Name и groups domain name отсутствует поиск ещё OU (Organizational units).

Попробуйте добавить его и проверить воспроизведение проблемы.

 

Sorotiuk Anna,

Столкнулся с такой же ошибкой. Данная рекомендация помогла разобраться в проблеме. Теперь, при настройке синхронизации LDAP, система работает без ошибок, только если в Имени домена пользователей и групп указывать путь к OU. Например, ou=it,dc=local,dc=ru

Показать все комментарии

Добрый день.

Имеется 3 стенда, дев, тест, прод. На дев и на тест, синхронизацию с LDAP настроить получилось, пользователи подтянулись. Стенды дев и тест не в домене.

На прод стенде, синхронизация не работает, настройки такие же. Стенд прода включён в домен, домен тот же в котором находится AD.

Бизнес-процесс находится в статусе "Ошибка", содержание ошибки на скриншоте.Изображение удалено.Погуглив, предполагаю, что проблема связана с тем, что пул под которым работает сайт, запущен от пользователя у которого нет прав на доступ к AD.

Изображение удалено.Версия на стендах одинаковая.

Сталкивался ли кто-нибудь с такой ситуацией, какие могут быть пути решения?

Спасибо.

Нравится

2 комментария

По идее УЗ из под которой пул запускается не должна влиять на этот процесс.  Вы обращение в тех поддержку оставляли ?

 

Добрый день.

Если Ваш сайт развернут на Linux причина может быть в том, что  в Domain Name и groups domain name отсутствует поиск ещё OU (Organizational units).

Попробуйте добавить его и проверить воспроизведение проблемы.

 

Показать все комментарии

Возможно ли синхронизировать Creatio c несколькими доменами AD. Как я понимаю при заполнении формы создаётся БП, возможно можно его скопировать?Изображение удалено.

Нравится

4 комментария
Лучший ответ

Добрый день!

В базовой конфигурации приложения недоступна поддержка нескольких доменов при синхронизации пользователей из ActiveDirectory используя LDAP. Взаимодействие с несколькими доменами можно реализовать через SAML SSO - интеграция через ADFS доступна с версии 7.13 

https://academy.terrasoft.ru/docs/user/ustanovka_i_administrirovanie/up…

В этом варианте есть ключевая особенность, что пользователи попадают в приложение не при синхронизации, а при первом входе в приложение. Также, в качестве обходного решения, могу предложить синхронизировать между собой разные AD.

Добрый день!

В базовой конфигурации приложения недоступна поддержка нескольких доменов при синхронизации пользователей из ActiveDirectory используя LDAP. Взаимодействие с несколькими доменами можно реализовать через SAML SSO - интеграция через ADFS доступна с версии 7.13 

https://academy.terrasoft.ru/docs/user/ustanovka_i_administrirovanie/up…

В этом варианте есть ключевая особенность, что пользователи попадают в приложение не при синхронизации, а при первом входе в приложение. Также, в качестве обходного решения, могу предложить синхронизировать между собой разные AD.

Sorotiuk Anna,Добрый день.

 

ADFS на мой взгляд тут будет уместнее. У нас был кейс где были синхронизированы между собой AD . Но пользователи только из одного домена попадали в приложение.

Марк нестеров,

Добрый День!

Как настроить синхронизацию Creatio c несколькими доменами AD?

Муратбеков Нагашыбай,

Добрый день!

В базовой конфигурации приложения недоступна поддержка нескольких доменов при синхронизации пользователей из ActiveDirectory используя LDAP. Взаимодействие с несколькими доменами можно реализовать через SAML SSO - интеграция через ADFS доступна с версии 7.13 

https://academy.terrasoft.ru/docs/user/ustanovka_i_administrirovanie/up…

В этом варианте есть ключевая особенность, что пользователи попадают в приложение не при синхронизации, а при первом входе в приложение. Также, в качестве обходного решения, могу предложить синхронизировать между собой разные AD.

Показать все комментарии

Добрый день.

Процесс "Синхронизировать данные о пользователях с LDAP" перестал запускаться автоматически. Произошло это после того, как контакт и учетная запись под которыми он был запущен стали неактивными. Подскажите, как снова вернуть процессу автоматический запуск? Настройку интеграции с LDAP не меняли, там все осталось по прежнему, и логин там прописан учетной записи сайта. Пробовал под своей учетной записью выключить\включить процесс и запустить, не помогло, отработал один раз, по интервалу так и не запустился

Нравится

2 комментария
Лучший ответ

Андрей, это скорее всего произошло из-за того, что тот пользователь который настраивал интеграцию с LDAP автоматически стал "Ответственным" за БП "Синхронизировать данные о пользователях с LDAP"(Так как был в орг.роли "System administrators" ). И так как его учетная запись стала неактивной - то и процесс соответственно.

 

Вам необходимо войти в систему под пользователем у которого организационная роль "System administrators" , перейти в настройки LDAP и достаточно будет повторно ввести "Логин администратора" и "Пароль" от сервера. Учтите что если сервер Creatio установлен на Linux, то используйте формат “domain\login“. И сохранить настройки.

Андрей, это скорее всего произошло из-за того, что тот пользователь который настраивал интеграцию с LDAP автоматически стал "Ответственным" за БП "Синхронизировать данные о пользователях с LDAP"(Так как был в орг.роли "System administrators" ). И так как его учетная запись стала неактивной - то и процесс соответственно.

 

Вам необходимо войти в систему под пользователем у которого организационная роль "System administrators" , перейти в настройки LDAP и достаточно будет повторно ввести "Логин администратора" и "Пароль" от сервера. Учтите что если сервер Creatio установлен на Linux, то используйте формат “domain\login“. И сохранить настройки.

Kurylo Pavel, Спасибо, сработало

Показать все комментарии

Добрый день.

Пытаюсь настроить аутентификацию пользователей Active Directory через LDAP на .NET Framework

По этой инструкции.

https://academy.terrasoft.ru/docs/user/ustanovka_i_administrirovanie/upravlenie_polzovateljami_i_dostupom/sinhronizaciya_polzovatelej_s_ldap/nastroit_autentifikaciyu_s_ldap

 

Выдает ошибку:

Изображение удалено.

 

Изображение удалено.

Нравится

1 комментарий

Такая ошибка теоретически может возникнуть из-за некорректного заполнения конфигурационных файлов. Например, были допущены какие-то синтаксические ошибки, вроде того, что в \web.config перечень провайдеров указан через символы "".

 

Чтобы сказать что-то более конкретное, нужно увидеть содержимое файла \web.config. Попробуйте сравнить настройки с примером на Академии, возможно обнаружите несовпадения или ошибки синтаксиса.

Показать все комментарии

В настройках есть возможность выбрать эти Типы аутентификации (Kerberos или Negotiate), но в документации про них нет ни слова.

Нужна интеграция с Active Directory. Или только NTLM?

Изображение удалено.

Нравится

4 комментария
Лучший ответ

Леонид, по Kerberos есть такая документация.

мы использовали ntml

Леонид, по Kerberos есть такая документация.

Зверев Александр,

Большое спасибо, Александр.

А Вы использовали этот метод?

Показать все комментарии

Непосредственно встроенного в приложение подобного функционала именно по отслеживанию что конкретно будет импортировано при определенном фильтре - нет.

Но вы можете воспользоваться сторонней утилитой для подобных целей.

LDAP Provider Test

 

Для корректной настройки параметров поиска можно использовать утилиту, которая в точности повторяет поисковые запросы используемые в Creatio.

На скриншоте интерфейс утилиты в котором необходимо указать параметры подключения к северу AD и ввести параметры поисковых запросов.

 

В поле LDAPEntry необходимо указать элемент орг. структуры LDAP

В поле LDAPFilter необходимо указать условие для формирования списка групп\пользователей

 

По нажатию на кнопку Find будет выполнен соответствующий поиск по дереву AD и результаты будут выведены в реестр ниже.

Прикрепленные файлы

Нравится

Поделиться

0 комментариев
Показать все комментарии