Здравствуйте. Сервер Creatio версии 7.18.2.1236 развёрнут на Astra Linux. Коллегами была настроена синхронизация пользователей AD – группы AD успешно импортировались в систему, а после этого была произведена успешная синхронизация орг. Роли с группой. В результате, во вкладку «Пользователи» были автоматически добавлены пользователи из группы LDAP. Настройка производилась по инструкции на Академии.
 

Однако, после настроек аутентификации – а именно, изменения файла «Terrasoft.WebHost.dll.config» (т.к. Creatio развёрнуто на Astra Linux), авторизация под учётными записями AD осталась недоступной. Следовали инструкциям по настройке. Просьба подсказать, в чём может быть проблема. Файл настройки «Terrasoft.WebHost.dll.config» прилагаю.

P.S. Есть так же отдельный сервер Creatio на Windows. Там синхронизация с AD и авторизация по учётным записям AD работают корректно (там авторизация настроена через файл конфигурации Web.config)

Прикрепленные файлы

Нравится

1 комментарий

Добрый день!

Попробуйте заменить Ldap на LdapProvider в следующих строках:<provider name="Ldap" type="Terrasoft.Authentication.Core.Ldap.NetStandardLdapProvider, Terrasoft.Authentication">

 

<auth providerNames="InternalUserPassword,Ldap"

 

Должно получится так:

<provider name="LdapProvider" type="Terrasoft.Authentication.Core.Ldap.NetStandardLdapProvider, Terrasoft.Authentication">

 

<auth providerNames="InternalUserPassword,LdapProvider"

 

Также убедитесь, что сервер приложения включён в домен сервера, где расположен AD.

Показать все комментарии

Коллеги, добрый день.

Пытаюсь настроить синхронизацию с АД. После ввода настроек на странице, выходи уведомление что процесс синхронизации начат. но в мониторе процессов, заканчивается с ошибкой

 

текст ошибки:

System.Exception: LDAP import error: An operation error occurred..
   at Terrasoft.Core.Process.RunLDAPImport.InsertLDAPElementsScriptTaskExecute(ProcessExecutingContext context)
   at Terrasoft.Core.Process.ProcessFlowElement.ExecuteItem(ProcessExecutingContext context) in /opt/buildagent/work/ApplicationCoreLinux/TSBpm/Src/Lib/Terrasoft.Core/Process/ProcessFlowElement.cs:line 537
   at Terrasoft.Core.Process.ProcessFlowElement.Execute(ProcessExecutingContext context) in /opt/buildagent/work/ApplicationCoreLinux/TSBpm/Src/Lib/Terrasoft.Core/Process/ProcessFlowElement.cs:line 1062

 

подскажите что не так?! Заранее спасибо.

Нравится

2 комментария

Kirill Zayavlenskikh, добрый день!
Причина может быть в том, что  в Domain Name и groups domain name отсутствует поиск ещё OU (Organizational units).
Попробуйте добавить его и проверить воспроизведение проблемы.

 

Sorotiuk Anna,

Столкнулся с такой же ошибкой. Данная рекомендация помогла разобраться в проблеме. Теперь, при настройке синхронизации LDAP, система работает без ошибок, только если в Имени домена пользователей и групп указывать путь к OU. Например, ou=it,dc=local,dc=ru

Показать все комментарии

Добрый день.
Имеется 3 стенда, дев, тест, прод. На дев и на тест, синхронизацию с LDAP настроить получилось, пользователи подтянулись. Стенды дев и тест не в домене.
На прод стенде, синхронизация не работает, настройки такие же. Стенд прода включён в домен, домен тот же в котором находится AD.

Бизнес-процесс находится в статусе "Ошибка", содержание ошибки на скриншоте.Погуглив, предполагаю, что проблема связана с тем, что пул под которым работает сайт, запущен от пользователя у которого нет прав на доступ к AD.

Версия на стендах одинаковая.

Сталкивался ли кто-нибудь с такой ситуацией, какие могут быть пути решения?
Спасибо.

Нравится

2 комментария

По идее УЗ из под которой пул запускается не должна влиять на этот процесс.  Вы обращение в тех поддержку оставляли ?

 

Добрый день.
Если Ваш сайт развернут на Linux причина может быть в том, что  в Domain Name и groups domain name отсутствует поиск ещё OU (Organizational units).
Попробуйте добавить его и проверить воспроизведение проблемы.
 

Показать все комментарии

Возможно ли синхронизировать Creatio c несколькими доменами AD. Как я понимаю при заполнении формы создаётся БП, возможно можно его скопировать?

Нравится

4 комментария
Лучший ответ

Добрый день!

В базовой конфигурации приложения недоступна поддержка нескольких доменов при синхронизации пользователей из ActiveDirectory используя LDAP. Взаимодействие с несколькими доменами можно реализовать через SAML SSO - интеграция через ADFS доступна с версии 7.13 
https://academy.terrasoft.ru/docs/user/ustanovka_i_administrirovanie/up…
В этом варианте есть ключевая особенность, что пользователи попадают в приложение не при синхронизации, а при первом входе в приложение. Также, в качестве обходного решения, могу предложить синхронизировать между собой разные AD.

Добрый день!

В базовой конфигурации приложения недоступна поддержка нескольких доменов при синхронизации пользователей из ActiveDirectory используя LDAP. Взаимодействие с несколькими доменами можно реализовать через SAML SSO - интеграция через ADFS доступна с версии 7.13 
https://academy.terrasoft.ru/docs/user/ustanovka_i_administrirovanie/up…
В этом варианте есть ключевая особенность, что пользователи попадают в приложение не при синхронизации, а при первом входе в приложение. Также, в качестве обходного решения, могу предложить синхронизировать между собой разные AD.

Sorotiuk Anna,Добрый день.

 

ADFS на мой взгляд тут будет уместнее. У нас был кейс где были синхронизированы между собой AD . Но пользователи только из одного домена попадали в приложение.

Марк нестеров,

Добрый День!

Как настроить синхронизацию Creatio c несколькими доменами AD?

Муратбеков Нагашыбай,

Добрый день!

В базовой конфигурации приложения недоступна поддержка нескольких доменов при синхронизации пользователей из ActiveDirectory используя LDAP. Взаимодействие с несколькими доменами можно реализовать через SAML SSO - интеграция через ADFS доступна с версии 7.13 
https://academy.terrasoft.ru/docs/user/ustanovka_i_administrirovanie/up…
В этом варианте есть ключевая особенность, что пользователи попадают в приложение не при синхронизации, а при первом входе в приложение. Также, в качестве обходного решения, могу предложить синхронизировать между собой разные AD.

Показать все комментарии

Добрый день.

Процесс "Синхронизировать данные о пользователях с LDAP" перестал запускаться автоматически. Произошло это после того, как контакт и учетная запись под которыми он был запущен стали неактивными. Подскажите, как снова вернуть процессу автоматический запуск? Настройку интеграции с LDAP не меняли, там все осталось по прежнему, и логин там прописан учетной записи сайта. Пробовал под своей учетной записью выключить\включить процесс и запустить, не помогло, отработал один раз, по интервалу так и не запустился

Нравится

2 комментария
Лучший ответ

Андрей, это скорее всего произошло из-за того, что тот пользователь который настраивал интеграцию с LDAP автоматически стал "Ответственным" за БП "Синхронизировать данные о пользователях с LDAP"(Так как был в орг.роли "System administrators" ). И так как его учетная запись стала неактивной - то и процесс соответственно.

 

Вам необходимо войти в систему под пользователем у которого организационная роль "System administrators" , перейти в настройки LDAP и достаточно будет повторно ввести "Логин администратора" и "Пароль" от сервера. Учтите что если сервер Creatio установлен на Linux, то используйте формат “domain\login“. И сохранить настройки.

Андрей, это скорее всего произошло из-за того, что тот пользователь который настраивал интеграцию с LDAP автоматически стал "Ответственным" за БП "Синхронизировать данные о пользователях с LDAP"(Так как был в орг.роли "System administrators" ). И так как его учетная запись стала неактивной - то и процесс соответственно.

 

Вам необходимо войти в систему под пользователем у которого организационная роль "System administrators" , перейти в настройки LDAP и достаточно будет повторно ввести "Логин администратора" и "Пароль" от сервера. Учтите что если сервер Creatio установлен на Linux, то используйте формат “domain\login“. И сохранить настройки.

Kurylo Pavel, Спасибо, сработало

Показать все комментарии

Добрый день.

Пытаюсь настроить аутентификацию пользователей Active Directory через LDAP на .NET Framework

По этой инструкции.

https://academy.terrasoft.ru/docs/user/ustanovka_i_administrirovanie/upravlenie_polzovateljami_i_dostupom/sinhronizaciya_polzovatelej_s_ldap/nastroit_autentifikaciyu_s_ldap

 

Выдает ошибку:

 

Нравится

1 комментарий

Такая ошибка теоретически может возникнуть из-за некорректного заполнения конфигурационных файлов. Например, были допущены какие-то синтаксические ошибки, вроде того, что в \web.config перечень провайдеров указан через символы "".

 

Чтобы сказать что-то более конкретное, нужно увидеть содержимое файла \web.config. Попробуйте сравнить настройки с примером на Академии, возможно обнаружите несовпадения или ошибки синтаксиса.

Показать все комментарии

В настройках есть возможность выбрать эти Типы аутентификации (Kerberos или Negotiate), но в документации про них нет ни слова.

Нужна интеграция с Active Directory. Или только NTLM?

Нравится

4 комментария
Лучший ответ

Леонид, по Kerberos есть такая документация.

мы использовали ntml

Леонид, по Kerberos есть такая документация.

Зверев Александр,

Большое спасибо, Александр.
А Вы использовали этот метод?

Нет.

Показать все комментарии

Непосредственно встроенного в приложение подобного функционала именно по отслеживанию что конкретно будет импортировано при определенном фильтре - нет.
Но вы можете воспользоваться сторонней утилитой для подобных целей.

LDAP Provider Test

 

Для корректной настройки параметров поиска можно использовать утилиту, которая в точности повторяет поисковые запросы используемые в Creatio.

На скриншоте интерфейс утилиты в котором необходимо указать параметры подключения к северу AD и ввести параметры поисковых запросов.

 

В поле LDAPEntry необходимо указать элемент орг. структуры LDAP

В поле LDAPFilter необходимо указать условие для формирования списка групп\пользователей

 

По нажатию на кнопку Find будет выполнен соответствующий поиск по дереву AD и результаты будут выведены в реестр ниже.

Прикрепленные файлы

Нравится

Поделиться

0 комментариев
Показать все комментарии

Было бы удобно если бы можно было выбирать в какие поля делать синхронизацию, к примеру через выпадающий список.

Такая идея появилась когда оказалось что в компании у нас ФИО латинскими буквами а имя и фамилия поля русскими. Заказчику нужно ФИО в системе на русском, и потому при каждом обновлении приходится переписывать стандартную логику что бы подменять ее и получать поля (одно кидается в ФИО а второе в рабочий телефон, а потом склеивается в ФИО)

1 комментарий

Здравствуйте, Александр!

Передали данное пожелание команде разработки для анализа возможности внедрения такой возможности в будущих версиях продукта.

Показать все комментарии

Добрый день! У нас настроена интеграцию с AD (через LDAP) и также включена у пользователей аутентификация через LDAP. Возникла следующая проблема: при изменении ФИО контакта эти данные после автоматической синхронизации с LDAP "презатираются". Каким образом можно отключить такое переименование у некоторых Контактов? Спасибо!

Нравится

1 комментарий
Лучший ответ

У меня 2 инсталляции. Заметил такую особенность. В одной пользователи создаются автоматом из Ldap. В этой инсталляции всегда переименовывается ФИО как в AD.

Во второй инсталляции я Контакты и пользователей создавал вручную и подвязывал к каждому пользователю имя из AD. В этой инсталляции ФИО не меняется, хотя все остальные данные (должность, активность) меняются. Разница настроек в том, что в первой инсталляции у меня связь с группами на уровне Оргролей, а во второй связь только на уровне пользователя.

Может будет полезно. А вообще сейчас я переписываю синхронизацию с LDAP под себя.

У меня 2 инсталляции. Заметил такую особенность. В одной пользователи создаются автоматом из Ldap. В этой инсталляции всегда переименовывается ФИО как в AD.

Во второй инсталляции я Контакты и пользователей создавал вручную и подвязывал к каждому пользователю имя из AD. В этой инсталляции ФИО не меняется, хотя все остальные данные (должность, активность) меняются. Разница настроек в том, что в первой инсталляции у меня связь с группами на уровне Оргролей, а во второй связь только на уровне пользователя.

Может будет полезно. А вообще сейчас я переписываю синхронизацию с LDAP под себя.

Показать все комментарии