Po co integrować Fudo Enterprise z Active Directory?

Integracja z Active Directory może być wykorzystywana na dwa główne sposoby.

Po pierwsze, Fudo może sprawdzać poprawność danych logowania użytkownika. Oznacza to, że login i hasło wpisywane podczas logowania są weryfikowane względem Active Directory.

Po drugie, system może pobierać informacje o użytkownikach i grupach z domeny, a następnie mapować je na odpowiednie role oraz uprawnienia w Fudo Enterprise. Dzięki temu można przypisać wybranym użytkownikom:

• dostęp administracyjny do panelu Fudo,
• dostęp do określonych hostów i serwerów,
• role techniczne lub operacyjne,
• zasady logowania oparte na grupach z AD.

To podejście upraszcza zarządzanie środowiskiem i pozwala lepiej powiązać dostęp w Fudo z istniejącą strukturą organizacyjną.

Co pokazuje film?

W materiale pokazujemy pełny podstawowy scenariusz integracji Fudo Enterprise z Active Directory.

Film obejmuje:

• konfigurację uwierzytelniania użytkowników przez AD,
• utworzenie nowego źródła typu Active Directory,
• wskazanie domeny,
• włączenie szyfrowanego połączenia LDAP,
• dodanie certyfikatu CA,
• konfigurację synchronizacji użytkowników i grup,
• wskazanie konta domenowego do odczytu danych z katalogu,
• ustawienie zakresu drzewa AD,
• dodanie kontrolerów domeny,
• mapowanie grup AD na role i uprawnienia w Fudo,
• wymuszenie pełnej synchronizacji,
• sprawdzenie efektu w zakładce użytkowników.

To praktyczny poradnik dla osób, które chcą połączyć Fudo Enterprise z istniejącą usługą katalogową i zacząć zarządzać użytkownikami oraz dostępem w bardziej uporządkowany sposób.

Integracja Fudo Enterprise z Active Directory – krok po kroku

1. Konfiguracja uwierzytelniania w zakładce Authentication

Pierwszy etap dotyczy sprawdzania poprawności loginu i hasła użytkownika względem Active Directory. Tę część konfiguracji wykonuje się w zakładce Authentication.

Tworzymy nowy wpis i nadajemy mu dowolną nazwę. W przykładzie z filmu wykorzystana została nazwa ADLAB. Następnie wybieramy typ usługi Active Directory i podajemy nazwę domeny.

To właśnie ten element odpowiada za weryfikację tożsamości użytkowników logujących się do Fudo.

2. Włączenie szyfrowanego połączenia LDAP

W pokazanym środowisku połączenie z LDAP wymaga szyfrowania, dlatego w kolejnym kroku aktywowane zostaje połączenie szyfrowane.

To ważne, bo przy integracji z usługą katalogową warto zadbać nie tylko o samą funkcjonalność, ale też o bezpieczeństwo komunikacji pomiędzy Fudo i kontrolerem domeny.

3. Dodanie certyfikatu CA

Po włączeniu szyfrowanego połączenia trzeba załadować certyfikat CA wykorzystywany przez Active Directory. Dzięki temu Fudo może zweryfikować, czy łączy się z właściwym serwerem katalogowym.

To istotny krok w środowiskach, w których LDAP działa w trybie szyfrowanym i wymagana jest poprawna walidacja certyfikatów.

4. Opcjonalna konfiguracja uprzywilejowanego użytkownika

System pozwala również podać dane uprzywilejowanego użytkownika, który może być wykorzystywany przez moduł Password Changer. W pokazanym scenariuszu ta część pozostaje pusta, ale warto wiedzieć, że taka możliwość istnieje.

To przydatne szczególnie w bardziej rozbudowanych wdrożeniach, gdzie Fudo ma realizować dodatkowe operacje związane z zarządzaniem hasłami.

5. Włączenie synchronizacji użytkowników i grup

Druga część integracji z Active Directory dotyczy synchronizacji użytkowników oraz pobierania informacji o grupach.

W tym celu należy utworzyć nowy katalog synchronizacji. Można nadać mu taką samą nazwę jak wcześniej albo zastosować własne nazewnictwo porządkujące konfigurację.

6. Podanie konta domenowego do odczytu danych

Aby Fudo mogło odczytać listę użytkowników oraz grup z Active Directory, trzeba podać konto domenowe, które ma odpowiednie uprawnienia do odczytu danych katalogowych.

W tym kroku wpisujemy:

• login użytkownika domenowego,
• hasło tego użytkownika,
• nazwę domeny.

To konto nie służy do logowania końcowych użytkowników, ale do komunikacji systemu Fudo z usługą katalogową.

7. Wskazanie zakresu drzewa AD

Następnie należy określić, z jakiego fragmentu drzewa Active Directory mają być pobierane informacje o użytkownikach i grupach.

W pokazanym materiale wybrane zostaje w praktyce całe drzewo. To wygodne rozwiązanie na początku, szczególnie w środowisku testowym lub prostym wdrożeniu, gdzie nie ma potrzeby zawężania zakresu do pojedynczych OU.

Dodatkowo można określić filtrowanie domenowe. W filmie podkreślono, że domyślne ustawienia w większości przypadków są wystarczające.

8. Dodanie kontrolerów domeny

Po skonfigurowaniu podstawowych parametrów trzeba dodać kontrolery domeny, z którymi Fudo będzie się komunikować.

Podobnie jak wcześniej, również tutaj połączenie jest szyfrowane, a system korzysta z certyfikatu CA, aby potwierdzić tożsamość serwera, do którego się łączy.

To kończy techniczną część konfiguracji katalogu i przygotowuje system do synchronizacji danych.

9. Mapowanie grup AD na role w Fudo

Kiedy połączenie z katalogiem jest już gotowe, można przejść do mapowania grup z Active Directory na role i uprawnienia w systemie Fudo.

W pokazanym scenariuszu utworzone zostały dwa przykładowe mapowania:

• grupa FUDO users – przypisana do grupy testowej użytkowników,
• grupa FUDO admin – mapowana na rolę administratora w systemie Fudo.

Dla obu grup zaznaczono, że hasła tych użytkowników mają być sprawdzane w Active Directory.

To bardzo ważny moment integracji, ponieważ właśnie tutaj decydujemy, kto ma zwykły dostęp użytkownika, a kto otrzyma uprawnienia administracyjne.

10. Wymuszenie pełnej synchronizacji

Po zapisaniu konfiguracji warto od razu wymusić pełną synchronizację. Dzięki temu nie trzeba czekać na automatyczny proces odświeżenia i można od razu sprawdzić efekty integracji.

To praktyczne podejście, szczególnie podczas testów i pierwszego wdrożenia.

11. Weryfikacja użytkowników w zakładce Users

Na końcu przechodzimy do zakładki Users, gdzie widać już zsynchronizowanych użytkowników z Active Directory.

W filmie pokazano trzech użytkowników zmapowanych z AD do Fudo. Dwóch z nich trafia do zwykłej grupy użytkowników, natomiast jeden znajduje się również w grupie administracyjnej, dlatego otrzymuje rolę administratora.

To potwierdza, że integracja działa poprawnie i że system potrafi zarówno uwierzytelniać użytkowników względem AD, jak i przypisywać im odpowiednie role w Fudo Enterprise.

Co daje taka integracja w praktyce?

Integracja Fudo Enterprise z Active Directory daje kilka bardzo konkretnych korzyści.

Przede wszystkim:

• upraszcza zarządzanie użytkownikami,
• pozwala korzystać z istniejących kont domenowych,
• umożliwia centralne zarządzanie hasłami po stronie AD,
• ułatwia przypisywanie ról i uprawnień na podstawie grup,
• porządkuje dostęp administracyjny i operacyjny,
• pozwala szybciej wdrażać użytkowników do systemu.

W praktyce oznacza to, że administrator nie musi ręcznie budować całej struktury użytkowników w Fudo od początku. Może oprzeć konfigurację na tym, co już funkcjonuje w domenie.

Na co warto zwrócić uwagę?

Przy integracji z Active Directory warto pamiętać o kilku rzeczach:

• jeśli LDAP w domenie działa szyfrowano, trzeba poprawnie skonfigurować połączenie szyfrowane,
• konieczne może być dodanie certyfikatu CA,
• do synchronizacji użytkowników potrzebne jest konto domenowe z odpowiednimi uprawnieniami do odczytu,
• dobrze jest wcześniej przemyśleć mapowanie grup AD na role w Fudo,
• po konfiguracji warto od razu wymusić pełną synchronizację i sprawdzić efekt w zakładce użytkowników.

Dzięki temu łatwiej uniknąć problemów i szybciej potwierdzić, że integracja działa poprawnie.

Podsumowanie

Film pokazuje, jak krok po kroku zintegrować Fudo Enterprise z Active Directory – zarówno w zakresie uwierzytelniania użytkowników, jak i synchronizacji grup oraz przypisywania ról w systemie.

To bardzo praktyczny etap konfiguracji, ponieważ pozwala połączyć Fudo z istniejącą infrastrukturą domenową i uporządkować sposób zarządzania dostępem do panelu oraz monitorowanych systemów.

Jeśli chcesz przetestować Fudo Enterprise lub potrzebujesz wsparcia przy wdrożeniu, napisz do nas na infoprotector@infoprotector.pl. Pomożemy Ci przygotować środowisko i przejść przez kolejne kroki konfiguracji.