Administratorhandbuch > Berechtigungssystem > LDAP-Kopplung

LDAP-Kopplung

AE stellt einen Client zur Verfügung, der Anmeldedaten mit Hilfe von LDAP über das Active Directory von Microsoft authentifizieren lassen kann sowie, ab Version 11, auch auf dem Oracle Directory Server. Der Client ist Teil der Automation Engine. Benutzer werden bei der Anmeldung nicht in der Automation Engine, sondern im Active authentifiziert, wenn die LDAP-Kopplung im Benutzer-Objekt aktiviert ist.

Die LDAP-Kopplung unterstützt das Microsoft Active Directory sowie, ab Version 11, den Oracle Directory Server.

Ab Version 11 ist es möglich, LDAP über SSL zu synchronisieren.

Die LDAP-Kopplung ist standardmäßig nicht aktiv.

Eine LDAP-Anmeldung über AE ist nur möglich, wenn das Passwort die Zeichen aus der Codetabelle enthält, die Sie in Ihrer jeweiligen Datenbank verwenden.

Eine globale Einstellung schaltet die LDAP-Kopplung für ein Automation Engine System ein. Ob ein Benutzer jedoch bei der Anmeldung lokal im AE-System oder über das Active Directory oder den Oracle Directory Server geprüft wird, hängt von der Einstellung im Benutzer-Objekt ab. Die AE unterscheidet daher zwischen lokalen und LDAP-Benutzern.

Unten finden Sie für Active Directory bzw. Oracle Directory Server die Vorgaben für Installation und Konfiguration, unterteilt nach allgemeiner Einstellung und Installationsschritten.

Allgemein

Import und Installation von SSL-Zertifikaten

Um Active Directory oder Oracle Directory Server mit LDAP über SSL zu nutzen, müssen Sie einen JWP (Java-basierten Work Process) anwenden können. Einzelheiten zu Installation und Import der erforderlichen Zertifikate finden Sie im Abschnitt JWP Installation.

  1. Importieren Sie die Zertifikate, wie im Abschnitt JWP Installation beschrieben.
  2. Erstellen Sie eine Variable für LDAP-Kopplung, mit folgenden Einstellungen:

    VERSION = 2
    TLS = Y
    USE_DISTINGUISHED_NAME = Y
    SERVER = <Hostname>:<sslport>

    Der Standardport für SSL ist 636.
     
  3. Öffnen Sie das Benutzer-Objekt, geben Sie den Distinguished Name des Benutzers ein und aktivieren Sie das Kontrollkästchen "LDAP-Kopplung".

Aktivieren Sie die LDAP-Kopplung für Ihr AE-System.

LDAP-Synchronisierung mit Berechtigungen technischer Benutzer

Ab Version 11 kann ein weiterer technischer LDAP-Benutzer verwendet werden, der eine LDAP-Synchronisierung durchführen kann, falls der aktuelle Benutzer hierfür keine Berechtigung hat.

Automic empfiehlt, diese Lösung einer Lösung mit individuellen Benutzer-Objekten vorzuziehen, da letzteres dem Benutzer keine ausreichenden Berechtigungen bietet. Um eine Datensynchronisierung zu aktivieren, müsste sich der Benutzer aus dem System ab- und wieder anmelden.
Bei einer Berechtigungslösung für technische Benutzer ist eine An- und Abmeldung hingegen nicht erforderlich.

Erstellen eines technischen Benutzers durch Erstellen und Anwenden eines Login-Objekts.
Gehen Sie folgendermaßen vor:

Die Berechtigungen des Login-Objekts werden bei der Synchronisierung der LDAP-Information anstelle der aktuellen Benutzerberechtigung angewendet.

Wenn der Key SYNC_LOGIN in der Variable nicht angegeben ist, oder das Login-Objekt nicht existiert, werden die Berechtigungen des aktuellen Benutzers angewendet.

Ablauf Active Directory

Geben Sie zunächst die Verbindungsdaten an:

  1. Melden Sie sich an den Systemmandanten 0000 an.
  2. Wechseln Sie in den Ordner "DIV_VARIABLES" und duplizieren Sie die Variable UC_LDAP_EXAMPLE.
  3. Benennen Sie das Duplicat wie folgt: "UC_LDAP_Domäne". Lautet die Domäne beispielsweise "MUELLER", so muss die Variable "UC_LDAP_MUELLER" heißen.
  4. Öffnen Sie die Variable und tragen Sie die Verbindungsdaten ein.
  5. Speichern und schließen Sie die Variable.

Einrichten der LDAP-Kopplung in Benutzer-Objekten:

  1. Bei Verwendung der Methode A muss das Benutzer-Objekt so wie der Benutzer im Active Directory heißen, falls der Distinguished Name (DN) nicht verwendet wird. Seine Bezeichnung bildet sich aus dem Benutzernamen und der Domäne. Hr. Meier ist beispielsweise in der Domäne "AE". Er benötigt ein Benutzer-Objekt mit dem Namen "MEIER/AE". Legen Sie zunächst ein neues Benutzer-Objekt für sich an oder benennen Sie ihr bestehendes, sofern vorhanden, entsprechend um.
  2. Öffnen Sie das Benutzer-Objekt und wechseln Sie auf dieRegisterkarte Benutzer.
  3. Aktivieren Sie das Kontrollkästchen "LDAP-Kopplung". Die Eingabefelder "Vorname", "Nachname" und "Email1" sind gesperrt, da deren Inhalte mit den LDAP-Daten des Active Directory oder des Oracle Directory Servers befüllt werden. Die gesperrten Felder werden bei Synchronisierungsbeginn mit Daten des entsprechenden Server befüllt.
  4. Zum Testen können Sie auch die Schaltfläche Daten jetzt mit LDAP abgleichen verwenden. Der Abgleich funktioniert nur dann, wenn der Benutzer, der sie verwendet, schon selbst über die LDAP-Kopplung abgeglichen worden ist. Sollten Sie dies jetzt schon ausprobieren wollen, so müssen Sie das UserInterface schließen und sich erneut anmelden.

     Nur bei der Anmeldung und durch die Schaltfläche "Daten jetzt mit LDAP abgleichen" werden die Informationen im Benutzer-Objekt aktualisiert. Ein automatischer Abgleich findet nicht statt.

    Um Daten zu synchronisieren ist es nicht erforderlich, sich ab- und wieder anzumelden, wenn die Berechtigungslösung für technische Benutzer in einem speziellen Login-Objekt verwendet wird (Registrierung über SYNC_LOGIN in UC_LDAP_Domain-Variable). Näheres hierzu im oberen Abschnitt "Allgemein".

    Beachten Sie, dass die Person, welche die Daten eines Benutzer-Objektes mit LDAP abgleicht, selbst auch ein LDAP-Benutzer sein muss, wenn die Login-Objekt-Lösung oder die Berechtigung für technische Nutzer, wie oben beschrieben, nicht verwendet werden.

    Das Active Directory verwendet die zweite E-Mail-Adresse nicht. So haben Sie die Möglichkeit, diese je nach Bedarf zu verwenden.

  5. Speichern und schließen Sie das Benutzer-Objekt.
  6. Wiederholen Sie die Schritte für die anderen Benutzer.

Verfahren für Oracle Directory Server

Geben Sie zunächst die Verbindungsdaten an:

  1. Melden Sie sich an den Systemmandanten 0000 an.
  2. Wechseln Sie in den Ordner "DIV_VARIABLES" und duplizieren Sie die Variable UC_LDAP_EXAMPLE.
  3. Die Bezeichnung von Benutzer-Objekten bestehen aus dem Namen und der Abteilung. Sie können das Duplikat der Variablen auch wie folgt umbenennen: "UC_LDAP_Abteilung". Für jede Abteilung benötigen Sie eine eigene Variable. Die Domäne muss bei dieser Methode im Key DOMAIN_ALIAS angegeben werden.
  4. Öffnen Sie die Variable und tragen Sie die Verbindungsdaten ein.
  5. Speichern und schließen Sie die Variable.

Einrichten der LDAP-Kopplung in Benutzer-Objekten:

  1. Das Benutzer-Objekt muss so wie der Distinguished Name des Benutzers heißen. Legen Sie zunächst ein neues Benutzer-Objekt für sich an oder benennen Sie ihr bestehendes, sofern vorhanden, entsprechend um.
    Die Datensynchronisierung funktioniert nur, wenn "uid" und der Name des Benutzer-Objekts identisch sind. Beispiel: uid=nga, ou=people, dc=example,dc=com. Dementsprechend müsste das Benutzer-Objekt heißen: NGA/DEPARTMENT.
  2. Öffnen Sie das Benutzer-Objekt und wechseln Sie auf dieRegisterkarte Benutzer.
  3. Aktivieren Sie das Kontrollkästchen "LDAP-Kopplung". Die Eingabefelder "Vorname", "Nachname" und "Email1" und „Email2" sind gesperrt, da deren Inhalte mit den LDAP-Daten des Serververzeichnisses befüllt werden. Die gesperrten Felder werden bei Synchronisierungsbeginn mit Daten des Oracle Directory Servers befüllt.
  4. Zum Testen können Sie auch die Schaltfläche "Daten jetzt mit LDAP abgleichen" verwenden. Der Abgleich funktioniert nur dann, wenn der Benutzer, der sie verwendet, schon selbst über die LDAP-Kopplung abgeglichen worden ist. Sollten Sie dies jetzt schon ausprobieren wollen, so müssen Sie das UserInterface schließen und sich erneut anmelden.

     Nur bei der Anmeldung und durch die Schaltfläche "Daten jetzt mit LDAP abgleichen" werden die Informationen im Benutzer-Objekt aktualisiert. Ein automatischer Abgleich findet nicht statt.

    Um Daten zu synchronisieren ist es nicht erforderlich, sich ab- und wieder anzumelden, wenn die Berechtigungslösung für technische Benutzer in einem speziellen Login-Objekt verwendet wird (Registrierung über SYNC_LOGIN in UC_LDAP_Domain-Variable). Näheres hierzu im oberen Abschnitt "Allgemein".

    Beachten Sie, dass die Person, welche die Daten eines Benutzer-Objektes mit LDAP abgleicht, selbst auch ein LDAP-Benutzer sein muss, wenn die Login-Objekt-Lösung oder die Berechtigung für technische Nutzer, wie oben beschrieben, nicht verwendet werden.

  5. Speichern und schließen Sie das Benutzer-Objekt.
  6. Wiederholen Sie die Schritte für die anderen Benutzer.

Anmerkungen

Die Systemübersicht zeigt Ihnen an bei welchen Benutzern die LDAP-Kopplung eingestellt ist. Hier können Sie auch über einen Befehl im Kontextmenü die LDAP-Kopplung für einen oder mehrere Benutzer aktivieren bzw. deaktivieren.

Beim Export, Transport und Duplizieren eines Benutzer-Objektes wird das Kontrollkästchen "LDAP-Kopplung" automatisch deaktiviert.

Externe Passwortprüfungen, die Sie über den Programm-Exit durchführen, werden vor der LDAP-Kopplung aufgerufen.

Benutzerdaten werden während der Synchronisierung mit dem LDAP-Serververzeichnis im Objekt gespeichert.

 

 

 

Siehe auch:

Benutzer
UC_LDAP_EXAMPLE

 


Automic Documentation - Tutorials - Automic Blog - Resources - Training & Services - Automic YouTube Channel - Download Center - Support

Copyright © 2016 Automic Software GmbH