Skip to content

Без функции JIT инициализации

Здесь очевидна проблема: пользователь должен быть предварительно создан в Glaber, чтобы иметь возможность входа через LDAP. В записях базы данных пользователей нет полей, указывающих на то, что пользователь будет аутентифицироваться через LDAP, вместо этого Glaber обращается к серверу LDAP, чтобы проверить:

  • существует ли пользователь с указанным именем пользователя;

  • предоставил ли пользователь правильный пароль;

  • никакие другие атрибуты, настроенные для пользователя на стороне сервера LDAP, не учитываются.

Таким образом, когда Glaber используется многими пользователями и группами, управление пользователями становится нетривиальной задачей, особенно когда новые люди присоединяются к разным командам (или покидают их).

image

Рисунок 1 — авторизация без функции JIT инициализации

С включенной функцией JIT инициализации

Когда Glaber получает имя пользователя и пароль из формы входа, он обращается к серверу LDAP и получает всю доступную информацию о пользователе, включая его принадлежность к группам LDAP и адрес электронной почты. Очевидно, это происходит только в том случае, если были предоставлены правильные (с точки зрения сервера LDAP) имя пользователя и пароль.

Затем Glaber проходит через заранее настроенное сопоставление, которое определяет, к какой группе пользователей Glaber относится пользователь из определённой группы LDAP. Если хотя бы одно совпадение найдено, пользователь создаётся в базе данных Glaber, принадлежащей к группе пользователей Glaber и имеющей роль пользователя Glaber в соответствии с настроенным «совпадением».

image

Рисунок 2 — авторизация с функции JIT инициализации