АЛМАТИНСКИЙ УНИВЕРСИТЕТ ЭНЕРГЕТИКИ И СВЯЗИ

ФАКУЛЬТЕТ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИИ

Кафедра «Электроники» 
 
 
 
 
 
 

КУРСОВАЯ  РАБОТА

по дисциплине

ОСНОВЫ  МИКРОПРОЦЕССОРНОЙ ТЕХНИКИ 
 
 
 
 
 
 
 
 

Специальность: Информационные системы

Выполнила: Жаксибаева Айгерим

Группа: БИСк-08-01

Номер зач.кн.: №081246

Руководитель: Шанаев О.Т.

_________________ «_________»  ____________________ 
 
 
 
 
 
 
 
 
 
 
 
 
 

Алматы,2011 г.                                           

                                           Содержание

Введение 3

Глава 1. Основные возможности модуля 4

Глава 2. Схема работы модуля 6

Глава 3. Настройка AD/LDAP авторизации 8

Создание  сервера 8

NTLM-авторизация 14

Настройка модуля 15

Глава 4. Импорт из LDAP-directory 17

Заключение 19 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Введение

При интеграции сайта (корпоративного портала) с информационной системой организации может возникнуть потребность в разграничении  прав доступа сотрудников компании на доступ к ресурсам сайта и его  управлению.

Стандартным решением данной задачи является создание нескольких групп пользователей сайта (корпоративного портала) с различным уровнем. При этом необходимо распределение сотрудников по этим группам, для наделения их соответствующими правами на доступ и управление сайтом. В этом случае администратор может столкнуться с необходимостью дублирования уже существующих групп пользователей корпоративной сети в системе управления сайтом (корпоративного портала).

Возникает и  другая сложность. Чтобы изменить уровень прав или добавить нового пользователя одновременно в корпоративной сети и в системе управления сайтом (корпоративном портале), необходимо выполнить настройку дважды:

• изменить/создать бюджет пользователя в корпоративной сети;
• выполнить ту же операцию в системе управления сайтом.

С помощью  модуля AD/LDAP интеграция можно установить соответствие между группами пользователей корпоративной сети и группами пользователей системы управления сайтом. Это позволит организовать централизованное управление всеми группами пользователей корпоративной информационной системы.

В руководстве  приводится описание, основные возможности  и механизм работы модуля AD/LDAP интеграция системы "1С-Битрикс: Управление сайтом". Так же рассматривается механизм настройки модуля и задания соответствий групп пользователей сайта и корпоративной сети.

• Примечание: работа модуля AD/LDAP интеграция системы "1С-Битрикс: Корпоративный портал" абсолютно идентична работе модуля системы "1С-Битрикс: Управление сайтом". Поэтому в руководстве слово «сайт» можно рассматривать как синоним слова «корпоративный портал»

Модуль  AD/LDAP интеграция реализован с учетом особенностей работы LDAP (Lightweight Directory Access Protocol) и AD (Active Directory) протоколов, один из которых должен быть установлен на корпоративном сервере.

В основе работы перечисленных протоколов лежит  принцип хранения информации в виде записей, обладающих набором атрибутов  и хранящихся в базе данных с древовидной  иерархической структурой. Таким  образом, при настройке на сервере  локальной вычислительной сети LDAP или AD протокола информация о группах пользователей будет представляться в следующем виде (Рис. 1.1):

Рис. 1.1 Структура записей

Используя данную структуру хранения данных, модуль AD/LDAP интеграция позволяет настраивать соответствие групп пользователей корпоративной сети группам пользователей сайта.

Соответствие  групп пользователей задается в  специальной Таблице соответствий в административном разделе сайта. При этом возможно несовпадение имен групп пользователей сайта с именами групп пользователей корпоративной сети. Например, группе пользователей корпоративной сети  Techsupport, к которой относятся сотрудники технической поддержки корпоративной сети, может быть поставлена в соответствие группа пользователей Techsupport stuff, созданная на сайте. Теперь сотрудники службы технической поддержки корпоративной сети смогут выполнять обязанности сотрудников службы технической поддержки сайта.

Группы пользователей  внутри компании обладают правами на доступ к определенным ресурсам корпоративной сети, а сопоставленные им группы пользователей на сайте обладают правами на доступ к ресурсам сайта.  Например, группа пользователей Techsupport наделена правами на доступ к почтовому серверу сети, а группа пользователей сайта Techsupport stuff обладает правами на доступ к модулю  Техподдержка.

В соответствии с приведенным выше примером, пользователь, относящийся к группе Techsupport корпоративной сети, при попытке авторизации на сайте будет добавлен в группу пользователей сайта Techsupport stuff. После чего в системе автоматически будет заведен бюджет данного пользователя, на основе его данных, которые хранятся на корпоративном сервере. 

Допустима привязка пользователя к одной, двум или более группам. В системе могут быть настроены группы пользователей, для которых не установлено соответствие с группами пользователей в корпоративной сети. Принадлежность пользователей к такой группе задается вручную администратором системы. Все изменения бюджета пользователя на корпоративном сервере будут автоматически учтены в бюджете пользователя в системе управления сайтом во время его следующей авторизации. Изменения затронут только те группы, для которых задано соответствие группам пользователей корпоративной сети.

Таким образом, модуль AD/LDAP интеграция позволяет:

• интегрировать систему "1С-Битрикс: Управление сайтом" в корпоративную сеть;
• настроить соответствие групп пользователей корпоративной сети  и групп пользователей сайта;
• автоматически создавать бюджет пользователя после его регистрации исходя из Таблицы соответствий (данные для создания бюджета пользователя запрашиваются из базы данных корпоративного сервера);
• централизованно управлять изменениями бюджетов пользователей системы через корпоративный сервер.

Модуль  AD/LDAP интеграция так же позволяет использовать NTML авторизацию. Чтобы ею воспользоваться, нужен веб-сервер IIS или Apache с модулем mod_ntlm или mod_auth_sspi.

Общая схема  работы модуля может быть описана  следующей последовательностью  действий:

1. Пользователь заходит на сайт и авторизуется (вводит логин и пароль, используемый для авторизации в корпоративной сети);
2. Система обращается к указанному в настройках AD/LDAP серверу и проверяет наличие пользователя с указанными данными (паролем и логином) в базе пользователей на корпоративном сервере:

• если пользователя с такими данными в корпоративной сети не существует, то система запрещает вход на сайт;

• если пользователь  существует, то определяется группа пользователей корпоративной сети, к которой он относится, и сопоставленная ей группа пользователей сайта (с помощью Таблицы соответствий).

3. Далее проверяется наличие бюджета данного пользователя в системе:

• если бюджет пользователя не найден, то система получает данные о пользователе из базы данных корпоративного сервера и создает его бюджет.
• Если бюджет пользователя в системе уже был создан, т. е. пользователь уже авторизовался на сайте, то система проверяет, были ли произведены какие-либо изменения с бюджетом пользователя на корпоративном сервере. Если да, то соответствующие изменения производятся и с бюджетом пользователя в системе управления сайтом.

4. Пользователь получает разрешение на доступ к ресурсам сайта и авторизуется. Права пользователя определяются в зависимости от настроек группы пользователей сайта, к которой он был приписан.

• Примечание: если пользователь сайта, принадлежащий группе (одной или нескольким) из Таблицы соответствий, будет удален из списка пользователей корпоративной сети, то при попытке получить доступ к ресурсам сайта он получит отказ в авторизации. При этом бюджет этого пользователя будет сохранен в системе управления сайтом.
• Примечание: чтобы разрешить такому пользователю авторизацию на сайте через стандартный интерфейс, в настройках данного пользователя в административном разделе сайта нужно установить значение поля со списком Тип авторизации равным внутренняя проверка и обновить регистрационную информацию (логин и пароль).
• Примечание: если в AD дереве существует N-доменов (например, соответствуют подразделениям компании OD1, OD2…) и в этих доменах есть группы с одинаковыми именами, то в Таблице соответствий эти группы будут отображены N-раз. Для избегания путаницы в настройках AD/LDAP сервера можно поменять Атрибут названия группы, указав, например, DistinguishedName (DN). В итоге вместо названий групп будут отображены DN групп.

Настройка модуля AD/LDAP интеграция производится в административном разделе сайта на странице AD/LDAP интеграция (Настройки > Настройки продукта > Настройки модулей > AD/LDAP интеграция). Ее удобнее производить после создания сервера LDAP. Описание настроек модуля дано ниже.

Создание  сервера

Создайте запись с указанием сведений о корпоративном сервере, база данных которого будет использована для установления соответствий групп пользователей, параметров сервера и соответствия групп пользователей.

Каждая запись регламентирует доступ к одному корню  дерева каталогов. Если сведения о группах  пользователей корпоративной сети хранятся в базах данных нескольких серверов или в нескольких базах  данных одного сервера, то следует создать  несколько записей, регламентирующих доступ к ним.

Переход к  форме создания сервера (Рис. 3.1) осуществляется по ссылке Создать, расположенной на форме импорта пользователей, или с помощью кнопки Добавить, расположенной на контекстной панели страницы AD/LDAP (Настройки > AD/LDAP).

• Примечание: Данные для заполнения полей необходимо запросить у системного администратора.

На закладке Сервер формы указываются сведения о корпоративном сервере и параметры доступа к базе данных групп пользователей, расположенной на нем.

• Примечание. При редактировании существующего сервера, кроме нижеперечисленных полей становятся доступными еще поля: Код и Последнее изменение.

Рис. 3.1 Создание сервера

• Заполните поля на закладке Сервер (Рис. 3.1):
• Активен - при авторизации пользователя поиск его бюджета будет осуществлен в соответствии с параметрами данной записи.
• Название - укажите название на латинице.
• Описание - произвольное описание создаваемой записи.
• Домен для NTLM авторизации - используется для определения нужного AD\LDAP сервера при авторизации в виде <домен\логин>(задается на латинице), а также при автоматической NTLM авторизации (должно соответствовать домену организации).