1. LDAP-Parameter definieren
Es ist wichtig, dass Sie für einen neuen LDAP-Server, über den zukünftig die Authentifizierungsanfragen erfolgen sollen, zunächst die LDAP-Parameter festlegen.
Öffnen Sie dazu Benutzerverwaltung – Zugriffsrechte – LDAP-Einstellungen und definieren Sie die gewünschten Parameter.
Folgende Parameter stehen Ihnen zur Auswahl:
Parameter | Erklärung |
LDAP verwenden | Gibt an, ob LDAP verwendet werden soll. |
BF-Aufrufe prüfen | Prüft, ob Business-Fassaden auch gegen LDAP authentifiziert werden. |
Rollen ermitteln |
Kennzeichnet, dass die Rollen des zu authentifizierenden Benutzers auf dem Directory-Server gelesen werden.
|
Trace | Schaltet die Protokollierung der LDAP-Aufrufe ein. |
Mandant prüfen | Kennzeichnet, dass geprüft wird, ob der anzumeldende Benutzer im LDAP die Berechtigung besitzt, sich unter dem in der Anmeldemaske eingegebenen Mandanten anzumelden. Dazu wird verifiziert, dass der Benutzer im LDAP auch eine Rolle besitzt, deren Namen mit dem Mandantennamen übereinstimmt, wenn man dem Mandantennamen "C_" voransetzt. Ist diese Prüfung nicht aktiviert, kann sich ein Benutzer mit einem beliebigen Mandanten anmelden. |
Erforderliche Rolle | Aus LDAP erhaltene Rolle (Gruppe), die ein Benutzer besitzen muss, um sich anmelden zu können. |
Zugewiesene Rolle | Rolle, die einem Benutzer zugewiesen wird, wenn dessen Authentifizierung gegen einen Directory-Server mittels LDAP vorgenommen wird. |
LDAP-Server | Alle LDAP-Server, die verwendet werden. |
2. Neuen LDAP-Server anlegen
Legen Sie über Neu unter Benutzerverwaltung – Zugriffsrechte – LDAP-Einstellungen – Feldgruppe LDAP-Server einen neuen LDAP-Server an und definieren Sie auch dort die gewünschten Parameter:
Für die Anlage des neuen Servers stehen Ihnen folgende Parameter zur Auswahl:
- Feldgruppe Verbindung
Parameter | Erklärung |
Server verwenden | Gibt an, ob der hier konfigurierte Server verwendet werden soll. |
Host | Name oder IP-Adresse des Hosts, auf dem der Directory-Server per LDAP angesprochen werden kann. |
Port | Port, unter welchem der Directory-Server mit LDAP angesprochen werden kann.
|
Referrals auflösen | Kennzeichnet, dass Referrals in einer Suchanfrage an den Directory-Server verfolgt werden.
|
SSL verwenden | Zur Kommunikation mit dem Directory Server wird SSL eingesetzt. Das erfordert die Verwaltung von Zertifikaten. Lesen Sie dazu LDAP-Konfiguration 2: Zertifikate hinterlegen. |
MS. Active Directory | Kennzeichnet, dass der eingesetzte Directory-Server Active Directory™ von Microsoft ist. Diese Einstellung ermöglicht die Optimierung von Suchanfragen.
|
Anmelde-Typ |
Legt den Anmeldetyp für die Anmeldung an den Directory-Server fest.
|
- Feldgruppe Erweiterungen Benutzername
Parameter | Erklärung |
Benutzer-Präfix |
Beispiel: "username@myCompany.de" Sollte dieses Userattribut zur Anmeldung verwendet werden, ist durch die Einstellung des Benutzer-Präfix „@myCompany.de“ die Anmeldung nur mit „username“ möglich. („@myCompany.de“ wird dann automatisch ergänzt) Active Directory Benutzer-Attribut Einstellungen „userPrincipalName“ |
Benutzer-Suffix |
Beispiel: "DOMAIN\username" Sollte dieses Userattribut zur Anmeldung verwendet werden, ist durch die Einstellung des Benutzer-Suffix „\DOMAIN“ die Anmeldung nur mit „username“ möglich. |
- Feldgruppe Zusätzliche Attribute
Parameter | Erklärung |
Benutzer-Objekt Klasse | Objektklasse des Schemas, in der die Informationen über Benutzer enthalten sind. Übliche Werte sind "user" (Active Direcory) oder "people" (andere Directory Server). |
Gruppen-Objekt Klasse | Objektklasse des Schemas, in der die Informationen über Gruppen enthalten sind. Übliche Werte sind "group" (Active Directory) oder "groupOfNames" (andere Directory Server). |
Gruppenname-Attribute | Name des Attributs im Gruppen-Objekt, welches den Gruppennamen enthält. Typischerweise ist dies "cn" (ohne Anführungsstriche). |
Benutzer-Attribute | Name des Attributs im Benutzer-Objekt, in dem der Benutzername enthalten ist, mit dem sich der Benutzer am Netzwerk anmeldet. Übliche Werte sind "sAMAccountName", „userPrincipalName“ (Active Directory) oder "uid" (andere Directory Server). |
Gruppen-DN Attribute | Name des Attributs im Gruppen-Objekt, welches den vollständigen 'Distinguished Name' (DN) der Gruppenmitglieder enthält. Der Distinguished Name ist der Name eines Knotens im Directory Information Tree (DIT). Typischer Wert ist "member" (ohne Anführungsstriche). |
Suchtiefe | Maximale Tiefe, die bei der Suche nach transitiven Gruppenabhängigkeiten verwendet werden soll. Durch diese Einstellung können Sie die Anzahl der LDAP-Anfragen nach indirekten Gruppenabhängigkeiten reduzieren. Die angegebene Zahl entspricht der Tiefe im Mitgliedschafts-Baum des Benutzers d.h. wenn zum Beispiel alle LDAP-Benutzer direkte Mitglieder in den für die Engine relevanten Gruppen sind, wählen Sie die Suchtiefe "1". Eine Suchtiefe von "0" entspricht einer unbegrenzten Suchtiefe. Wir empfehlen die Suchtiefe auf einen Wert einzuschränken, um mögliche Gruppen-tiefen einzuschränken. |
- Feldgruppe Such-DN Pfade
Parameter | Erklärung |
Distinguished Name | Suchpfad im Verzeichnis auf welchen die Anfragen gefiltert. Der vollständige Pfad des (Wurzel-)Knotens im Schema-Baum (DIT), an dem die Suche nach Benutzern und Rollen begonnen werden soll. |
Konfigurationsbeispiel 1
Dieses erste Beispiel veranschaulicht die Grundeinstellung, die Sie vornehmen müssen.
Folgende Einstellungen wurden für dieses Konfigurationsbeispiel gewählt:
- Es wird ein Microsoft Active Directory-Verzeichnisdienst verwendet.
- Domain Controller „s-tsdc1.aebtech.local“ wird mit LDAP-Standard-Port „389“ (unverschlüsselt) übertragen.
- Die Authentifizierungsanfragen werden mit dem jeweiligen Anmelde-User durchgeführt.
- Es wird der userPrincipalName aus dem User als Attribut verwendet.
- Der userPrincipalName wird um die Domain ergänzt, sodass der User nur seinen Usernamen ohne die Domain-Erweiterung eingeben muss.
- Die Suchtiefe ist auf 80 eingeschränkt.
Konfigurationsbeispiel 2
In diesem zweiten Beispiel können Sie die Grundeinstellung mit vordefiniertem User einsehen.
Folgende Einstellungen wurden für dieses Konfigurationsbeispiel gewählt:
- Es wird ein Microsoft Active Directory-Verzeichnisdienst verwendet.
- Domain Controller „s-tsdc1.aebtech.local“ wird mit LDAP Standard-Port „389“ (unverschlüsselt) übertragen.
- Die Authentifizierungsanfragen werden mit einem dedizierten Service-Account ldap_service@aebtech.local durchgeführt
- Passwort dieses dedizierten Accounts sollte nicht ablaufen und auch keiner regelmäßigen Änderungen durch die Microsoft Active Directory Sicherheitseinstellungen unterzogen werden.
- Es wird der so sAMAccountNam aus dem User als Attribut verwendet.
- Der so sAMAccountNam wird um die Domain ergänzt, sodass der User nur seinen Usernamen ohne die Domain-Erweiterung eingeben muss.
- Die Suchtiefe ist auf 80 eingeschränkt.
3. LDAP-Suchtiefe definieren
AEB empfiehlt, dass Sie die LDAP-Suchtiefe auf 80 einschränken. Zusätzlich können Sie die DN-Suchpfade einstellen.
Gehen Sie folgendermaßen vor:
- Wählen Sie AEBTECHLOCAL – Groups – XNSG_Groups.
- Öffnen Sie über Rechtsklick die Eigenschaften der XNSG_Groups.
- Wählen Sie im Attribute Editor den String Attribute Editor.
- Kopieren Sie den Value, um so den Suchpfad für die weitere Verwendung vorliegen zu haben.
Folgende Parameter stehen zur Auswahl:
Parameter | Wert |
DN1 |
OU=XNSG_Groups,OU=Groups,DC=AEBTECH,DC=LOCAL
|
DN2 | OU=XNSG_Users,OU=User,DC=AEBTECH,DC=LOCAL
![]() |
- Sie müssen keine separaten Suchpfade für Gruppen und User-OU’s verwenden. Sie können einen globalen Suchpfad für alle Objekte verwenden. Wichtig dabei ist, dass alle Objekte der Suche berücksichtigt werden können – es also keine User oder Gruppen gibt, die sich anmelden können sollen, aber außerhalb des Suchpfades liegen.
Die nächsten Schritte:
LDAP-Konfiguration 2: Zertifikate hinterlegen
LDAP-Konfiguration 3: Gruppen und Rolleneinstellungen
LDAP-Konfiguration 4: Gruppen und Rollen im Microsoft Active Directory
Kommentare
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.