Пользовательские учётные записи внешнего каталога посредством LDAP, должны периодически синхронизироваться с БД Cerebro. В процессе синхронизации в БД Cerebro переносятся основные параметры учётной записи внешнего каталога, такие как:
логин;
имя/фамилия;
адрес электронной почты;
уникальный идентификатор пользователя SID. Он же выступает в качестве ключа.
За эту часть отвечает периодически запускаемый сервисом Cargador системный скрипт. Скрипт может запускаться на любой из поддерживаемых ОС.
Пользователь при логине в Cerebro может выбрать вариант прямого логина с учётными данными ActiveDirectory. При этом он будет аутентифицироваться по его системному значению SID. Поскольку эта информация о SID не является конфиденциальной, такой способ логина безопасен только для локальных (или виртуальных) сетей.
Вы можете ограничить область этого типа логина используя интерфейс Host based Authentication (см. раздел «Настройка Host-based аутентификации к базе данных (Host-based Authentication Configuration)»).
В случае если пользователь не производил вход из-под учётной записи ActiveDirectory (работает «из дома» или в Linux), он тем не менее может войти в Cerebro, сообщив свою доменную учётную запись и пароль. В этом случае база данных Cerebro попытается провести аутентификацию с использованием LDAP (метод bind_s). Поэтому сервер обслуживающий LDAP не должен находится «далеко» от сервера, где установлена база данных Cerebro.