Интеграция менеджера паролей с LDAP и Active Directory
Интеграция менеджера паролей с LDAP и Active Directory
В большинстве компаний от 50 сотрудников и больше уже есть корпоративный каталог пользователей — Active Directory или OpenLDAP. Там хранится всё: учётные записи, группы, роли, структура подразделений. IT-отдел добавляет туда новых сотрудников и блокирует уволенных.
И рядом с этим каталогом существует совершенно отдельный мир: корпоративный менеджер паролей с собственной базой пользователей, которую кто-то ведёт вручную. Новый сотрудник появился в AD — его нужно отдельно добавить в менеджер паролей. Уволили человека — его нужно отдельно заблокировать там. Перевели в другой отдел — нужно вручную поменять права.
Это двойная работа, которая регулярно даёт сбои. И именно здесь появляются «призраки» — активные аккаунты в менеджере паролей от людей, которые уже давно не работают в компании.
Решение — интеграция менеджера паролей с LDAP или Active Directory. Тогда один каталог управляет всем: добавили в AD — появился в менеджере паролей с нужными правами. Заблокировали в AD — потерял доступ к паролям автоматически.
Зачем это нужно: три реальные задачи
Автоматический онбординг
Новый сотрудник появляется в Active Directory. Без интеграции с менеджером паролей его нужно добавить туда отдельно, выдать нужные права, убедиться, что ничего не забыли. Это занимает время и зависит от памяти конкретного человека.
С интеграцией: пользователь из AD синхронизируется в менеджер паролей автоматически. Маппинг групп определяет, какие права он получает — на основе его группы в AD. Никаких дополнительных действий.
Как это работает в BearPass. Фоновая синхронизация запускается по расписанию раз в 30 минут. Новый пользователь из AD появляется в BearPass автоматически с правами, соответствующими его группе. Администратор настраивает маппинг один раз — дальше система работает сама.
Единый вход под доменными учётными данными
Сотрудник уже помнит один корпоративный пароль от домена. Заставлять его помнить ещё один — от менеджера паролей — это лишний барьер, который снижает adoption.
С LDAP-интеграцией сотрудник входит в BearPass теми же логином и паролем, что используются для входа в Windows и корпоративную почту. Никакого отдельного пароля запоминать не нужно.
Мгновенный offboarding
Сотрудника уволили. IT-отдел заблокировал его учётную запись в Active Directory. Без интеграции нужно отдельно идти в менеджер паролей и блокировать там тоже. На практике об этом забывают — и доступ к корпоративным паролям остаётся активным ещё несколько дней.
С интеграцией: заблокировали в AD — автоматически потерял доступ в BearPass. Один источник правды, ноль ручных действий.
Есть Active Directory? Подключите BearPass за час
Синхронизация пользователей, маппинг ролей, единый вход под доменными учётными данными. Первые 5 пользователей навсегда бесплатно.
LDAP (Lightweight Directory Access Protocol) — это протокол для доступа к каталогам пользователей. Active Directory от Microsoft и OpenLDAP — это две наиболее распространённые реализации такого каталога.
Каталог хранит информацию в виде иерархической структуры: организация → подразделения (OU) → группы → пользователи. Каждый объект имеет набор атрибутов: имя, email, логин, группы, к которым принадлежит.
Когда менеджер паролей интегрируется с LDAP, он подключается к этому каталогу и считывает информацию о пользователях и группах. Дальше возможны два сценария:
Авторизация через LDAP. Пользователь вводит доменный логин и пароль в менеджере паролей. Менеджер обращается к LDAP-серверу для проверки — и пускает пользователя, если проверка прошла успешно. Пароль от менеджера паролей не нужен.
Синхронизация пользователей. Менеджер паролей периодически запрашивает список пользователей и групп из LDAP и синхронизирует их со своей базой. Новые пользователи создаются, заблокированные — деактивируются.
Что такое маппинг групп и ролей
Маппинг — это правило соответствия между группами в AD и ролями в менеджере паролей. Вы задаёте его один раз при настройке интеграции.
Пример: группа «IT-department» в Active Directory → роль «Администратор» в BearPass. Группа «Marketing» → роль «Пользователь» с доступом к папке «Маркетинг». Группа «Finance» → роль «Пользователь» с доступом к папке «Финансы».
После настройки маппинга всё работает автоматически: пользователь добавлен в группу «Marketing» в AD — в BearPass он автоматически получает соответствующую роль и доступ к нужным папкам. Переведён в другую группу — права обновляются при следующей синхронизации.
Если у роли выбрано «Не изменять» — у пользователя сохраняется роль, установленная вручную в BearPass. Это удобно для особых случаев, когда права конкретного пользователя отличаются от групповых.
Пошаговая настройка интеграции с LDAP в BearPass
Интеграция настраивается в административном разделе BearPass: раздел «Администрирование» → «LDAP» → «Добавить провайдер».
Шаг 1. Создание провайдера
При создании провайдера заполняются основные параметры подключения:
🔹 Название — произвольное имя для отображения в списках.
🔹 Схема — тип сервера: Active Directory или OpenLDAP. От выбора зависит, как система будет маппить атрибуты пользователей.
🔹 Хост — адрес LDAP-сервера. Указывается в формате ldap://ldap.company.local:389 или ldaps://ldap.company.local:636 для защищённого подключения.
🔹 Игнорировать ошибки сертификата — включается при работе с самоподписанным сертификатом. Для production-среды рекомендуется использовать валидный сертификат.
🔹 Логин и пароль — учётные данные сервисной учётной записи, от имени которой BearPass будет получать список пользователей и групп. Достаточно прав только на чтение каталога.
🔹 Фильтр DN — определяет, из какого раздела каталога берутся пользователи и группы. Можно оставить по умолчанию или указать конкретный OU, например OU=Staff,DC=company,DC=local.
🔹 Имя атрибута логина — атрибут, используемый для авторизации. Для Windows Active Directory устанавливается sAMAccountName, для OpenLDAP обычно uid.
🔹 Маска логина — используется при авторизации. Для Windows AD указывается домен: company.local или @company.local.
🔹 Фоновая синхронизация — при включении синхронизация пользователей происходит автоматически раз в 30 минут.
Шаг 2. Настройка синхронизации
После сохранения основных параметров становится доступна вкладка «Настройки синхронизации». Здесь нужно убедиться, что система корректно определила атрибуты пользователей — имя, email, логин.
При необходимости можно ограничить синхронизацию: выбрать только конкретные учётные записи или группы из AD, а не синхронизировать весь каталог. Это удобно для крупных организаций, где в AD тысячи пользователей, а в BearPass нужны только несколько подразделений.
Дальше настраивается маппинг групп: выбираете группу из AD и указываете, какую роль в BearPass она получает.
Шаг 3. Тестирование
После настройки синхронизации перейдите на вкладку «Тестирование» и проверьте авторизацию под конкретной учётной записью из AD. Система либо подтвердит корректность настройки, либо укажет на конкретные ошибки.
Это важный шаг перед тем, как переводить всю команду на вход через LDAP: убедитесь, что тестовый пользователь получил правильную роль и нужные доступы к папкам.
Подключите BearPass к вашему AD прямо сейчас
Интеграция с LDAP доступна на тарифе Бизнес. Первые 5 пользователей — бесплатно навсегда, полный функционал.
Active Directory — самая распространённая корпоративная среда в России. При настройке интеграции с AD есть несколько моментов, на которые стоит обратить внимание.
Атрибут логина. Для Windows AD используется sAMAccountName — это короткое имя пользователя без домена (например, ivanov). Если указать userPrincipalName, логин будет выглядеть как email (ivanov@company.local).
Маска логина. Указывается домен компании. Если у вас домен company.local — маска будет company.local или @company.local. Это определяет, как именно пользователь вводит логин при авторизации.
Сервисная учётная запись. Для подключения BearPass к AD нужна учётная запись с правами на чтение каталога. Создайте отдельную сервисную учётку специально для этой интеграции — не используйте учётные данные администратора домена.
Фильтр OU. Если в вашем AD несколько подразделений, но в BearPass нужны только сотрудники определённых отделов, укажите конкретный OU в фильтре DN. Это позволяет синхронизировать только нужную часть каталога.
Защищённое подключение. Рекомендуется использовать LDAPS (порт 636) вместо LDAP (порт 389). Это шифрует трафик между BearPass и AD-сервером.
OpenLDAP: особенности настройки
OpenLDAP используется преимущественно в Linux-среде и в российских дистрибутивах — Astra Linux, РЕД ОС и других. Логика интеграции аналогична AD, но есть отличия в атрибутах.
Атрибут логина. Для OpenLDAP стандартный атрибут — uid. В зависимости от конфигурации сервера может использоваться cn или mail.
Схема каталога. При выборе схемы в BearPass укажите «OpenLDAP» — это поможет системе правильно маппить атрибуты пользователей без ручной настройки.
Маппинг атрибутов. Если стандартный маппинг не подходит, в BearPass можно задать соответствие вручную: какой атрибут из LDAP соответствует имени, email и логину пользователя в системе.
Что происходит при синхронизации
Понимание логики синхронизации помогает правильно настроить интеграцию и предсказать поведение системы.
При каждой синхронизации BearPass запрашивает актуальный список пользователей и групп из LDAP. Дальше система сравнивает его с текущим состоянием в BearPass и выполняет необходимые действия:
🔸 Новый пользователь в LDAP — создаётся в BearPass с ролью согласно маппингу.
🔸 Пользователь изменил группу в AD — в BearPass обновляется роль при следующей синхронизации.
🔸 Пользователь заблокирован в AD — деактивируется в BearPass автоматически.
🔸 Пользователь удалён из AD — деактивируется в BearPass.
🔸 Пользователь существует в BearPass, но не найден в LDAP — сохраняется без изменений (на случай пользователей, созданных вручную).
Синхронизация происходит в фоне раз в 30 минут при включённом соответствующем параметре. Также можно запустить синхронизацию вручную из консоли администратора.
Чеклист: готовность к интеграции
Перед настройкой убедитесь, что у вас есть всё необходимое:
✅ Адрес и порт LDAP-сервера (обычно 389 для LDAP или 636 для LDAPS)
✅ Сервисная учётная запись с правами на чтение каталога
✅ Понимание структуры AD: какие OU и группы используются для сотрудников
✅ Список групп, которые нужно синхронизировать (или все)
✅ Готовая ролевая модель в BearPass: какие роли соответствуют каким группам AD
✅ Тестовая учётная запись для проверки интеграции после настройки
✅ Тариф Бизнес или Предприятие в BearPass (LDAP-интеграция не входит в бесплатный тариф)
Всё готово? Настройте интеграцию за час
Полная документация по настройке LDAP в BearPass: пошаговые инструкции, скриншоты, решение типичных ошибок.
🔺 Проверьте, что адрес и порт указаны правильно. Убедитесь, что с сервера, где установлен BearPass, доступен LDAP-порт (389 или 636) — возможно, его блокирует файрвол.
Ошибка: «Неверные учётные данные сервисной учётки»
🔺 Проверьте, что сервисная учётная запись активна и не заблокирована. Убедитесь, что она имеет права на чтение каталога. Для AD проверьте правильность маски логина — формат DOMAIN\username или username@domain.local.
Ошибка: «Пользователи не синхронизируются»
🔺 Проверьте фильтр DN — возможно, он указывает на пустой или несуществующий OU. Убедитесь, что в системе включена фоновая синхронизация или запустите её вручную.
Ошибка: «Неверная роль после синхронизации»
🔺 Проверьте маппинг групп: соответствует ли группа в AD той роли, которую вы ожидаете. Убедитесь, что пользователь действительно состоит в нужной группе в AD.
Ошибка: «Проблемы с сертификатом»
🔺 Если используется самоподписанный сертификат, включите опцию «Игнорировать ошибки сертификата» в настройках провайдера. В production-среде рекомендуется установить валидный сертификат.
Если проблема не решается — напишите в поддержку BearPass в Telegram: @BearHelper_bot. Инженеры помогают с настройкой интеграции бесплатно.
Интеграция с российскими дистрибутивами
BearPass поддерживает интеграцию не только с Microsoft Active Directory и OpenLDAP, но и с российскими корпоративными каталогами:
🔹 ALD Pro (Astra Linux) — корпоративный каталог на базе Kerberos и LDAP, входящий в состав Astra Linux Special Edition. Настраивается как OpenLDAP с указанием хоста ALD-сервера.
🔹 РЕД ОС Directory — каталог пользователей в составе РЕД ОС. Поддерживает стандартный LDAP-протокол.
BearPass имеет сертифицированную совместимость с Astra Linux и РЕД ОС, что важно для организаций, переходящих на отечественные ОС в рамках импортозамещения.
Что даёт интеграция в итоге
Подведём цифры. Без интеграции с LDAP управление пользователями в менеджере паролей — это постоянная ручная работа: добавить нового, обновить права при переводе, заблокировать при увольнении. В компании с 100 сотрудниками и средней текучкой 15% в год это десятки ручных операций ежегодно, каждая из которых может быть выполнена с ошибкой или задержкой.
С интеграцией LDAP всё это происходит автоматически. IT-отдел управляет одним каталогом — Active Directory — и больше не дублирует работу в менеджере паролей.
Для безопасности это означает отсутствие «призраков» — активных учёток уволенных сотрудников. Для IT-отдела — экономию времени. Для компании в целом — соответствие требованиям регуляторов: УПД.1 из приказов ФСТЭК прямо требует документированного управления жизненным циклом учётных записей.
BearPass — корпоративный менеджер паролей
Один каталог управляет всем. Подключите BearPass к Active Directory сегодня
On-premise · LDAP и AD · Синхронизация раз в 30 минут · Автоматический offboarding Реестр отечественного ПО №15427 · Astra Linux · РЕД ОС