Zum Hauptinhalt gehen
Deutsch' English

LDAP-Konfiguration 1: Server und Parameter in AEB Engines

Petra Schöneberg
  • Aktualisiert

1. LDAP-Parameter definieren

Es ist wichtig, dass Sie für einen neuen LDAP-Server, über den zukünftig die Authentifizierungsanfragen erfolgen sollen, zunächst die LDAP-Parameter festlegen.
Öffnen Sie dazu Benutzerverwaltung – Zugriffsrechte – LDAP-Einstellungen und definieren Sie die gewünschten Parameter.
LDAP_1_LDAP_einstellungen.png

Folgende Parameter stehen Ihnen zur Auswahl:

Parameter Erklärung
LDAP verwenden Gibt an, ob LDAP verwendet werden soll.
BF-Aufrufe prüfen Prüft, ob Business-Fassaden auch gegen LDAP authentifiziert werden.
Rollen ermitteln

Kennzeichnet, dass die Rollen des zu authentifizierenden Benutzers auf dem Directory-Server gelesen werden.

  • Ist dieses Kennzeichen nicht gesetzt, kann auch die Mandantenzugehörigkeit ('Mandant prüfen') nicht geprüft werden und es werden keinerlei Rollen-/Gruppenzugehörigkeiten des Benutzers ermittelt, so dass eine Rechtevergabe dann nur in der Anwendung möglich ist.
Trace Schaltet die Protokollierung der LDAP-Aufrufe ein.
Mandant prüfen Kennzeichnet, dass geprüft wird, ob der anzumeldende Benutzer im LDAP die Berechtigung besitzt, sich unter dem in der Anmeldemaske eingegebenen Mandanten anzumelden. Dazu wird verifiziert, dass der Benutzer im LDAP auch eine Rolle besitzt, deren Namen mit dem Mandantennamen übereinstimmt, wenn man dem Mandantennamen "C_" voransetzt. Ist diese Prüfung nicht aktiviert, kann sich ein Benutzer mit einem beliebigen Mandanten anmelden.
Erforderliche Rolle Aus LDAP erhaltene Rolle (Gruppe), die ein Benutzer besitzen muss, um sich anmelden zu können.
Zugewiesene Rolle Rolle, die einem Benutzer zugewiesen wird, wenn dessen Authentifizierung gegen einen Directory-Server mittels LDAP vorgenommen wird.
LDAP-Server Alle LDAP-Server, die verwendet werden.

2. Neuen LDAP-Server anlegen

Legen Sie über Neu unter BenutzerverwaltungZugriffsrechteLDAP-Einstellungen – Feldgruppe LDAP-Server einen neuen LDAP-Server an und definieren Sie auch dort die gewünschten Parameter:
LDAP_1_LDAP_server.png
Für die Anlage des neuen Servers stehen Ihnen folgende Parameter zur Auswahl:

  • Feldgruppe Verbindung
Parameter Erklärung
Server verwenden Gibt an, ob der hier konfigurierte Server verwendet werden soll.
Host Name oder IP-Adresse des Hosts, auf dem der Directory-Server per LDAP angesprochen werden kann.
Port Port, unter welchem der Directory-Server mit LDAP angesprochen werden kann.
  • Typischerweise ist dies "389" bzw. "636" bei Verwendung von SSL (LDAPS).
Referrals auflösen Kennzeichnet, dass Referrals in einer Suchanfrage an den Directory-Server verfolgt werden.
  • Ändern Sie dieses Kennzeichen nicht, es sei denn, Sie bekommen Time-Out-Fehler.
SSL verwenden Zur Kommunikation mit dem Directory Server wird SSL eingesetzt. Das erfordert die Verwaltung von Zertifikaten. Lesen Sie dazu LDAP-Konfiguration 2: Zertifikate hinterlegen.
MS. Active Directory Kennzeichnet, dass der eingesetzte Directory-Server Active Directory™ von Microsoft ist. Diese Einstellung ermöglicht die Optimierung von Suchanfragen.
  • Active Directory unterstützt keine anonymen Verbindungen.
Anmelde-Typ

Legt den Anmeldetyp für die Anmeldung an den Directory-Server fest.

  • Für "Anonyme Verbindung" werden keine weiteren Informationen benötigt.
  • Die Anmeldung als "Vordefinierter Benutzer" ermöglicht es, einen bestimmen Benutzer und ein Passwort zu hinterlegen, unter dem die Anmeldung erfolgt.
  • Mit der Option "Angemeldeter Benutzer" werden die Anmeldedaten (Benutzer und Passwort) des aktuell am System angemeldeten Benutzers verwendet.
  • Feldgruppe Erweiterungen Benutzername
Parameter Erklärung
Benutzer-Präfix

Beispiel: "username@myCompany.de"

Sollte dieses Userattribut zur Anmeldung verwendet werden, ist durch die Einstellung des Benutzer-Präfix „@myCompany.de“ die Anmeldung nur mit „username“ möglich. („@myCompany.de“ wird dann automatisch ergänzt) Active Directory Benutzer-Attribut Einstellungen „userPrincipalName
Benutzer-Suffix

Beispiel: "DOMAIN\username"

Sollte dieses Userattribut zur Anmeldung verwendet werden, ist durch die Einstellung des Benutzer-Suffix „\DOMAIN“ die Anmeldung nur mit „username“ möglich.
(„\DOMAIN“ wird dann automatisch vorangestellt) AD Benutzer-Attribut Einstellungen „sAMAccountName
  • Feldgruppe Zusätzliche Attribute
Parameter  Erklärung
Benutzer-Objekt Klasse Objektklasse des Schemas, in der die Informationen über Benutzer enthalten sind. Übliche Werte sind "user" (Active Direcory) oder "people" (andere Directory Server).
Gruppen-Objekt Klasse Objektklasse des Schemas, in der die Informationen über Gruppen enthalten sind. Übliche Werte sind "group" (Active Directory) oder "groupOfNames" (andere Directory Server).
Gruppenname-Attribute Name des Attributs im Gruppen-Objekt, welches den Gruppennamen enthält. Typischerweise ist dies "cn" (ohne Anführungsstriche).
Benutzer-Attribute Name des Attributs im Benutzer-Objekt, in dem der Benutzername enthalten ist, mit dem sich der Benutzer am Netzwerk anmeldet. Übliche Werte sind "sAMAccountName", „userPrincipalName“ (Active Directory) oder "uid" (andere Directory Server).
Gruppen-DN Attribute Name des Attributs im Gruppen-Objekt, welches den vollständigen 'Distinguished Name' (DN) der Gruppenmitglieder enthält. Der Distinguished Name ist der Name eines Knotens im Directory Information Tree (DIT). Typischer Wert ist "member" (ohne Anführungsstriche).
Suchtiefe Maximale Tiefe, die bei der Suche nach transitiven Gruppenabhängigkeiten verwendet werden soll. Durch diese Einstellung können Sie die Anzahl der LDAP-Anfragen nach indirekten Gruppenabhängigkeiten reduzieren. Die angegebene Zahl entspricht der Tiefe im Mitgliedschafts-Baum des Benutzers d.h. wenn zum Beispiel alle LDAP-Benutzer direkte Mitglieder in den für die Engine relevanten Gruppen sind, wählen Sie die Suchtiefe "1". Eine Suchtiefe von "0" entspricht einer unbegrenzten Suchtiefe.
Wir empfehlen die Suchtiefe auf einen Wert einzuschränken, um mögliche Gruppen-tiefen einzuschränken.
  • Feldgruppe Such-DN Pfade
Parameter Erklärung
Distinguished Name Suchpfad im Verzeichnis auf welchen die Anfragen gefiltert.
Der vollständige Pfad des (Wurzel-)Knotens im Schema-Baum (DIT), an dem die Suche nach Benutzern und Rollen begonnen werden soll.

Konfigurationsbeispiel 1

Dieses erste Beispiel veranschaulicht die Grundeinstellung, die Sie vornehmen müssen.
Bild3_LDAP_Server_und_Parameter.png

Folgende Einstellungen wurden für dieses Konfigurationsbeispiel gewählt:

  • Es wird ein Microsoft Active Directory-Verzeichnisdienst verwendet.
  • Domain Controller „s-tsdc1.aebtech.local“ wird mit LDAP-Standard-Port „389“ (unverschlüsselt) übertragen.
  • Die Authentifizierungsanfragen werden mit dem jeweiligen Anmelde-User durchgeführt.
  • Es wird der userPrincipalName aus dem User als Attribut verwendet.
  • Der userPrincipalName wird um die Domain ergänzt, sodass der User nur seinen Usernamen ohne die Domain-Erweiterung eingeben muss.
  • Die Suchtiefe ist auf 80 eingeschränkt.

Konfigurationsbeispiel 2

In diesem zweiten Beispiel können Sie die Grundeinstellung mit vordefiniertem User einsehen.
Bild4_LDAP_Server_und_Parameter.png
Folgende Einstellungen wurden für dieses Konfigurationsbeispiel gewählt:

  • Es wird ein Microsoft Active Directory-Verzeichnisdienst verwendet.
  • Domain Controller „s-tsdc1.aebtech.local“ wird mit LDAP Standard-Port „389“ (unverschlüsselt) übertragen.
  • Die Authentifizierungsanfragen werden mit einem dedizierten Service-Account ldap_service@aebtech.local durchgeführt
  • Passwort dieses dedizierten Accounts sollte nicht ablaufen und auch keiner regelmäßigen Änderungen durch die Microsoft Active Directory Sicherheitseinstellungen unterzogen werden.
  • Es wird der so sAMAccountNam aus dem User als Attribut verwendet.
  • Der so sAMAccountNam wird um die Domain ergänzt, sodass der User nur seinen Usernamen ohne die Domain-Erweiterung eingeben muss.
  • Die Suchtiefe ist auf 80 eingeschränkt.

3. LDAP-Suchtiefe definieren

AEB empfiehlt, dass Sie die LDAP-Suchtiefe auf 80 einschränken. Zusätzlich können Sie die DN-Suchpfade einstellen.

Gehen Sie folgendermaßen vor:

  1. Wählen Sie AEBTECHLOCAL – Groups – XNSG_Groups.
  2. Öffnen Sie über Rechtsklick die Eigenschaften der XNSG_Groups.
  3. Wählen Sie im Attribute Editor den String Attribute Editor.
  4. Kopieren Sie den Value, um so den Suchpfad für die weitere Verwendung vorliegen zu haben.
    LDAP_1_DN_path_de.png

Folgende Parameter stehen zur Auswahl:

Parameter Wert
DN1

OU=XNSG_Groups,OU=Groups,DC=AEBTECH,DC=LOCAL

  • Wird für die Abfragen der zugehörigen Gruppen verwendet
DN2 OU=XNSG_Users,OU=User,DC=AEBTECH,DC=LOCAL
      Wird für die Abfragen der relevanten User-Accounts verwendet

Bild6_LDAP_Server_und_Parameter.png

 

    Sie müssen keine separaten Suchpfade für Gruppen und User-OU’s verwenden. Sie können einen globalen Suchpfad für alle Objekte verwenden. Wichtig dabei ist, dass alle Objekte der Suche berücksichtigt werden können – es also keine User oder Gruppen gibt, die sich anmelden können sollen, aber außerhalb des Suchpfades liegen.

Die nächsten Schritte:

LDAP-Konfiguration 2: Zertifikate hinterlegen
LDAP-Konfiguration 3: Gruppen und Rolleneinstellungen
LDAP-Konfiguration 4: Gruppen und Rollen im Microsoft Active Directory

Verwandte Beiträge

Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.