Интеграция Bitrix с Active Directory

Портал на базе движка Битрикс24 поддерживает интеграцию с доменом Active Directory, в результате которой появляется возможность входить на портал без ввода логина/пароля. Для этого ваш компьютер тоже должен быть в домене, а браузер должен разрешать передачу данных авторизации на портал. При открытии портала вы будете перенаправляться на специальную страницу, которая настроена на получения этих данных авторизации.

Также портал Битрикс24 умеет синхронизировать сотрудников и структуру организации. Он обращается к службе каталогов X.500 в вашем Active Directory по протоколу LDAP и считывает указанный Oranizational Unit, в котором содержатся сотрудники. Для запроса достаточно пользователя с правами на чтение данного Organizational Unit. Можно указать какие конкретно будут передаваться данные сотрудников (телефон, адрес), а также настроить или отключить передачу структуры организации. При передаче структуры используются поля из Active Directory "Отдел" и "Руководитель" или "Подчинённые".

Введение

Начнём с того, что возьмём в качестве примера следующую конфигурацию:

Версия системыWindows Server 2016
Имя домена Active Directorylan1.cloudplace.ru
Имя контроллера доменаdc1.lan1.cloudplace.ru10.99.88.2
Адрес порталаbitrix1.lan1.cloudplace.ru10.99.88.3

Пара слов об именовании домена Active Directory: имя домена должно быть поддоменом реально зарегистрированного домена. Тогда вы сможете при необходимости выпустить сертификат и не будет конфликтов с вашим сайтом.

Для ввода портала в домен нам потребуется также пользователь с правами администратора домена. Пользователь должен быть в группе Администраторы домена.

Имя пользователяuser1
ГруппаАдминистраторы домена

Также представим, что у нас есть обычный пользователь и он находится в подразделении (то есть OU - Oranization Unit) Users иерархии домена. Но ваши пользователи могут находиться в другом подразделении, это не обязательное требование.

Для импорта пользователей требуется, чтобы у всех обычных пользователей имелся в профиле почтовый адрес. Подойдёт любой адрес, но они не должны повторяться.

Имя пользователяivan
ГруппаПользователи домена
ПодразделениеUsers

Настройка Битрикс24

Импорт пользователей

Импорт мы уже настроили ежечасный, но для проверки выполним один раз его вручную.

Необходимо также убедиться, что в настройках каждого пользователя присвоена структура организации и группа безопасности.

Введение портала в домен

Убедимся, что портал Битрикс24 находится в одной сети с контроллером домена и оба видят друг друга. Для этого:

  1. Подключается к порталу по SSH
  2. Открываем файл /etc/hosts
  3. Добавляем в начале строку
    10.99.88.2 dc1 dc1.lan1.cloudplace.ru
  4. Сохраняем
  5. Проверяем доступность командой ping
    ping dc1
  6. Если идут ответные сообщения, то всё хорошо. Но также возможны варианты:
    1. Нет ответных сообщений - скорее всего запрещены ICMP запросы на контроллере домена
    2. Timeout - пакет не дошёл до контроллера, вероятно неправильная настройка маршрутизатора
    3. Destination Network Unreachable - портал и контроллер в разных сетях

Также убедитесь, что Hostname портала правильный, например, bitrix1. Если нет, то исправляется это командой:

  1. Открываем командное меню Битрикс, выполнив
    /root/menu.sh
  2. Поочереди переходим по следующим пунктам, вводя номер пункта и нажимая потом Enter
    1. 2. Configure localhost settings
    2. 1. Configure hostname
  3. Вводим следующее значение и нажимаем Enter
    Enter hostname or 0 for exit: bitrix1
  4. Чтобы выйти из меню нажимаем 0 и Enter поочерёдно

Далее всю настройку выполнит Битрикс в автоматическом режиме, нам нужно только сказать ему это сделать:

  1. Открываем командное меню Битрикс, выполнив
    /root/menu.sh
  2. Поочереди переходим по следующим пунктам, вводя номер пункта и нажимая потом Enter
    1. 6. Configure pool sites
    2. 7. Configure NTLM auth for sites
    3. 1. Configure NTLM settings for the site
  3. Вводим следующие значения, нажимая Enter после каждого ввода
    1. NetBIOS Domain/Workgroup Name (ex. TEST): LAN1
    2. NetBIOS Hostname (default bitrix1): bitrix1
    3. Full Domain Name: (ex. TEST.LOCAL): LAN1.CLOUDPLACE.RU
    4. Domain password server (ex. TEST-DC-SP.TEST.LOCAL): DC1.LAN1.CLOUDPLACE.RU
    5. Domain admin user name (default Administrator): user1
    6. Domain admin user password:
    7. Enter the site name (default): default
    8. Please confirm you want to enable NTLM (N|y): y
  4. Теперь можно вернуться в первое меню, нажимая 0 и Enter
  5. Переходим в пункт 10. Background pool tasks
  6. У нас должен получиться статус последнего задания finished, если же у вас error, значит вы ошиблись с вводом данных в 3 пункте инструкции

Настройка браузера IE11 и Google Chrome

Чтобы авторизация происходила автоматически, необходимо разрешить браузеру передавать данные авторизации за нас.

Проверка

Открываем портал в IE11 или в Google Chrome и авторизация произойдёт автоматически.

Заключение

Как мы убедились интеграция портала Битрикс24 с доменом Active Directory даёт нам много преимуществ. Например, если в вашей организации много сотрудников и происходит частая смена сотрудников, то достаточно будет создать учётную запись только в Active Directory, точно такая же учётная запись создастся и на портале, и сотрудник сможет сразу попасть на портал в первые минуты рабочего дня. Для большего удобства портал обычно добавляют в автозапуск Windows через групповые политики.