Автоматическая настройка SIP учётки пользователя, авторизовавшегося на ПК через ActiveDirectory — Практика

В первой части рассматривалась общая схема автопровижнинга и интеграции с Active Directory. Далее будет представлен детальный разбор настройки, рассмотрены ключевые параметры, подводные камни и моменты, которые необходимо учитывать для корректной работы системы. Большая часть конфигураций была выполнена заранее на тестовом стенде, поэтому далее будет продемонстрировано, где и что настраивается, и каким образом это взаимодействует в работе.

Постановка задачи

В колл-центре интернет-магазина поначалу сотрудники работали каждый за своим компьютером, без ротаций и пересадок, что не вызывало сложностей. Проблемы появились, когда была введена сменная работа и сотрудники начали пользоваться разными рабочими местами. Возникла необходимость в постоянной перенастройке телефонов и учетных записей, что было неудобно как для IT-службы, так и для пользователей.

Задача состояла в том, чтобы автоматизировать процесс: при входе сотрудника в систему автоматически поднимался рабочий стол, запускались необходимые приложения, активировался телефон с его внутренним номером и подтягивались настройки браузера. Цель – минимизировать количество действий пользователей и администраторов.

Необходимые компоненты

Для решения были задействованы:

• DHCP-сервер – для выдачи IP-адресов и необходимых опций телефонам.
• Active Directory – для хранения связки «пользователь – номер телефона» и «рабочее место – MAC-адрес телефона».
• Asterisk – как платформа телефонии.
• Службы: Samba, OpenLDAP, TFTP, FTP.
• Скрипты интеграции, обеспечивающие автоматическую генерацию конфигураций.

Настройка Active Directory

В AD создаются отдельные организационные подразделения (OU) для компьютеров и пользователей. В учетной записи компьютера в поле Описание указывается MAC-адрес телефона (в нижнем регистре, без пробелов и разделителей). В учетной записи пользователя в стандартное поле номер телефона заносится его внутренний добавочный.

Использование стандартных контейнеров Users и Computers не рекомендуется, так как к ним нельзя привязать групповые политики. Для тестов создано подразделение comp для компьютеров и подразделение call-center для пользователей.

Групповые политики

В GPO создаются сценарии входа и выхода из системы. Скрипты размещаются на контроллере домена в папке NETLOGON.

При входе в систему создается файл с указанием имени пользователя, имени компьютера и времени входа. При выходе – аналогичный файл с меткой logoff. Эти файлы записываются на сетевую шару, доступную с Asterisk. Имя файла соответствует имени компьютера, что исключает дублирование.

Настройка Asterisk и сопутствующих сервисов

На сервере Asterisk разворачиваются:

• TFTP-сервер – для раздачи конфигураций телефонам.
• OpenLDAP – используется утилита ldapsearch для получения данных из AD.
• Samba – для организации сетевой шары, куда будут сохраняться лог-файлы сценариев входа/выхода. В конфигурации добавляется параметр map to guest = Bad Password, чтобы обеспечивался гостевой доступ.

В Active Directory создается служебная учетная запись с минимальными правами, используемая для запросов от Asterisk к AD.

Автоматизация скриптами

На Asterisk в cron добавляется задание с периодичностью в 1 минуту. Скрипт выполняет следующие действия:

1. Проверяет наличие новых файлов на сетевой шаре.
2. Из файла получает данные: действие (login/logout), имя пользователя, имя компьютера.
3. По имени компьютера через LDAP определяется MAC-адрес привязанного телефона.
4. По учетной записи пользователя извлекается его внутренний номер телефона.
5. Из базы Asterisk (или конфигурационного файла) подтягивается пароль SIP-аккаунта.
6. Генерируется конфигурационный файл телефона для автопровижнинга.
7. При необходимости учетная запись включается или деактивируется.

Файл конфигурации содержит параметры SIP-аккаунта, адрес Asterisk, а также настройки автопровижнинга (auto_provision.repeat.enable). После обработки исходный файл сценария удаляется, чтобы исключить повторное считывание.

DHCP и опция 66

На DHCP-сервере (например, MikroTik) задается опция 66, содержащая адрес TFTP-сервера. Это позволяет телефонам автоматически получать конфигурацию при старте. Решение универсальное и распространяется на все устройства в сети.

Работа телефонов

Телефон не требует ручной настройки: достаточно указать его MAC-адрес в AD и подключить к сети. При входе пользователя в систему скрипт формирует конфигурацию, телефон подтягивает ее через TFTP, и учетная запись активируется автоматически.

В случае внезапного выключения компьютера сценарий logoff может не выполниться. Однако на практике подобные ситуации встречаются крайне редко и не влияют существенно на работу.