Active Directory / LDAP

Bridge может пускать администраторов и операторов через корпоративный AD или LDAP. Агенты, Android-клиент и API-токены продолжают работать как раньше.

Что включается

• Вход в дашборд по доменной учётной записи.
• Роли через группы: администраторы и операторы.
• Журнал действий с доменным именем пользователя.

Минимальная настройка

1. Создайте две группы в AD, например `WarpFleet-Admins` и `WarpFleet-Operators`.
2. Создайте сервисную учётку только для чтения каталога, например `warpfleet-svc`.
3. Добавьте параметры LDAP в `/opt/warpfleet/.env`.
4. Перезапустите bridge.

HA_BRIDGE_AD_URL=ldaps://dc01.corp.example.com:636
HA_BRIDGE_AD_BASE_DN=DC=corp,DC=example,DC=com
HA_BRIDGE_AD_BIND_DN=CN=warpfleet-svc,OU=Service Accounts,DC=corp,DC=example,DC=com
HA_BRIDGE_AD_BIND_PASSWORD=<пароль>
HA_BRIDGE_AD_USER_FILTER=(sAMAccountName=%s)
HA_BRIDGE_AD_ADMIN_GROUP=WarpFleet-Admins
HA_BRIDGE_AD_OPERATOR_GROUP=WarpFleet-Operators
HA_BRIDGE_AD_TLS_INSECURE=false

cd /opt/warpfleet
docker compose up -d bridge
docker compose logs --tail=50 bridge

Проверка

Откройте дашборд и войдите логином без `DOMAIN\`, например `ivan.petrov`. Если пользователь входит в одну из разрешённых групп, bridge выдаст session-cookie.

Если вход не работает

• `401` — неверный пароль, фильтр пользователя или заблокированная учётка.
• `403` — пользователь найден, но не состоит в разрешённой группе.
• `502/503` — bridge не может подключиться к контроллеру домена.