Einrichten einer LDAP-Verbindung

Die LDAP-Verbindung ist standardmäßig nicht aktiv. Dies können Sie für jeden Benutzer in der Administration-Perspektive sehen. Aktivieren oder deaktivieren Sie sie für einzelne Benutzer über den entsprechenden Befehl im Kontextmenü. Eine globale Einstellung aktiviert die LDAP-Verbindung für ein AE-System.

Hinweis: Eine LDAP Anmeldung über die AE ist nur möglich, wenn das Passwort Zeichen der Code-Tabelle enthält, die Sie in Ihrer jeweiligen Datenbank verwenden.

Diese Seite beinhaltet Folgendes:

Voraussetzungen

Um ein Active Directory oder einen Oracle Directory Server mit LDAP über TLS/SSL zu verwenden, müssen Sie den Java-Arbeitsprozess (JWP) ausführen. Sie müssen auch die Zertifikate importieren, die JWP benötigt.

Wenn Sie das System manuell installieren, müssen Sie sicherstellen, dass der JWP installiert und die relevanten Zertifikate importiert wurden. Weitere Informationen finden Sie unter Installation des JWP

In Automic Automation Kubernetes Edition wird JWP als Teil des Angebot bereitgestellt und vom Install Operator installiert. Sie können die relevanten Zertifikate vor der Installation importieren, indem Sie einen geheimen Kubernetes-Schlüssel mit einem kubectl-Befehl erstellen. Weitere Informationen finden Sie unter LDAP für Automic Automation Kubernetes Edition einrichten.

Konfigurieren der LDAP-Verbindung

Befolgen Sie diese Anweisungen, um die Verbindung zu konfigurieren:

  1. Erstellen Sie eine LDAP-Verbindungsvariable mit den folgenden Einstellungen:

    VERSION = 2
TLS = Y 
USE_DISTINGUISHED_NAME = Y 
SERVER = <hostname>:<tlsport>

    Der Standardport für TLS/SSL ist 636.

  2. Öffnen Sie das betreffende Benutzerobjekt:

    1. Legen Sie den spezifischen Namen für den Benutzer fest.

    2. Aktivieren Sie das Kontrollkästchen LDAPVerbindung.

Aktivieren der LDAP-Verbindung für Ihr AE-System

Öffnen Sie die Variable UC_SYSTEM_SETTINGS Variable, und setzen Sie den LDAP-Schlüssel auf Y. Mit dieser globalen Einstellung kann die LDAP-Verbindung von einem zentralen Punkt aus ein- und ausgeschaltet werden. Weitere Informationen finden Sie unter LDAP

LDAP mithilfe von technischen Anwender-Zugangsdaten synchronisieren

Sie können einen zusätzlichen technischen LDAP-Benutzer einrichten, der eine LDAP-Synchronisierung durchführen kann.

Tipp: Sie müssen einen technischen LDAP-Benutzer verwenden, um Daten von der Registerkarte Benutzer zu synchronisieren. Andernfalls muss sich der Benutzer vom System ab- und wieder anmelden, um die Datensynchronisierung zu aktivieren. Dies ist nicht der Fall, wenn die Anmeldeinformationen eines technischen Benutzers verwendet werden.

Wenn der SYNC_LOGIN-Schlüssel nicht in der UC_LDAP_XXX-Variablen angegeben ist (siehe UC_LDAP_EXAMPLE - LDAP Verbindungsvariable) oder das Anmeldeobjekt nicht vorhanden ist, werden die Benutzerinformationen aktualisiert, wenn sie sich ab- und wieder anmelden.

Einen technischen Benutzer mit einem Login-Objekt anlegen

Um einen technischen Benutzer mithilfe eines Login-Objekts zu erstellen, führen Sie folgende Schritte durch:

  1. Erstellen Sie im Mandanten 0 ein Login-Objekt, das die spezifischen Benutzerdaten für die Verbindung zum LDAP-Server enthält. Es sollte nur eine Zeile mit den folgenden Informationen enthalten:

    1. Agent/Name auf * setzen

    2. Typ auf setzenLDAP

    3. Geben Sie unter Benutzername/ID den Namen oder den eindeutigen Namen des Benutzers ein, der für die Kommunikation mit dem LDAP-Server verwendet werden soll.

    4. Geben Sie das Passwort des Benutzers im Feld Passwort ein.

  2. Registrieren Sie dieses Anmeldeobjekt in der bereits vorhandenen Variablen UC_LDAP_Domain unter Verwendung des Schlüssels SYNC_LOGIN. Weitere Informationen finden Sie unter UC_LDAP_EXAMPLE - LDAP Verbindungsvariable.

  3. Überprüfen Sie, ob die SYNC_LOGIN-Einstellung und das angegebene Login-Objekt korrekt konfiguriert sind. Gehen Sie dazu wie folgt vor:

    1. Melden Sie sich bei AWI mit einem Nicht-LDAP-Benutzer an.

    2. Öffnen oder erstellen Sie ein USER-Objekt, das einem LDAP-Benutzer entspricht.

    3. Stellen Sie sicher, dass die Option zur LDAP-Verbindung aktiviert ist.

    4. Klicken Sie auf LDAPDaten jetzt mit synchronisieren.

    5. Wenn alles korrekt eingerichtet ist, wird der eindeutige Name (Distinguished Name) des Benutzers automatisch vom LDAP-Server abgerufen.

Wenn der Schlüssel SYNC_LOGIN nicht in der Variablen angegeben ist oder das Login-Objekt nicht existiert, gelten die Benutzerdaten des aktuellen Benutzers.

Die Verbindungsdaten angeben

Um die Verbindung anzugeben, führen Sie folgende Schritte durch:

  1. Melden Sie sich am Systemmandanten 0 an.

  2. Wechseln Sie zum Ordner DIV_VARIABLES und duplizieren Sie die Variable UC_LDAP_EXAMPLE.

  3. Benennen Sie das Duplikat um:

    • Active Directory:

      Benennen Sie die Kopie in UC_LDAP_Domain um. Wenn beispielsweise der Domänenname SMITH ist, sollte die Variable UC_LDAP_SMITH heißen.

    • Oracle Directory Server:

      Die Namen der Benutzerobjekte setzen sich aus Name und Abteilung zusammen. Benennen Sie die Kopie in UC_LDAP_department um. Für jede Abteilung wird eine zusätzliche Variable benötigt. Bei Verwendung dieser Methode muss die Domäne im Schlüssel DOMAIN_ALIAS angegeben werden. Weitere Informationen finden Sie unter UC_LDAP_EXAMPLE - LDAP Verbindungsvariable.

  4. Öffnen Sie die Variable und geben Sie Ihre Verbindungsdaten ein.

  5. Speichern und schließen Sie die Variable.

Die LDAP-Verbindung in Benutzerobjekten einrichten

Um die LDAP-Verbindung im Benutzerobjekt einzurichten, gehen Sie wie folgt vor:

  1. Erstellen Sie ein Benutzerobjekt, oder benennen Sie ein vorhandenes um, und definieren Sie den Namen des Benutzerobjekts.

    • Active Directory: Das Benutzerobjekt muss den gleichen Namen wie der Benutzer im Active Directory haben, falls der eindeutige Name (Distinguished Name (DN)) nicht verwendet wird. Der Name setzt sich aus dem Benutzernamen und der Domäne zusammen. Beispiel: SMITH/AE.

    • Oracle Directory Server: Der Name des Benutzerobjekts muss gleich dem eindeutigen Namen (Distinguished Name) des Benutzers sein. Die Synchronisierung von Daten funktioniert nur, wenn die uid und der Name des Benutzerobjekts identisch sind. Beispiel: uid=nga, ou=people, dc=example, dc=com, somit muss der Name des Benutzerobjekts NGA/DEPARTMENT sein.

  2. Öffnen Sie das Benutzerobjekt, siehe Benutzer (USER).

  3. Aktivieren Sie das Kontrollkästchen LDAPVerbindung. Die Eingabefelder Vorname, Nachname, E-Mail 1 und E-Mail 2 sind gesperrt. Ihr Inhalt wird mit LDAP-Daten vom zugehörigen Server gefüllt, wenn die Synchronisation gestartet wird.

    Hinweis: Das Active Directory verwendet die zweite E-Mail-Adresse nicht. Sie kann bei Bedarf verwendet werden.

  4. Testen Sie dies mit der Schaltfläche Daten jetzt mit LDAP synchronisieren. Der Synchronisationsprozess funktioniert nur, wenn der ausführende Benutzer bereits über die LDAP-Verbindung synchronisiert wurde. Dazu müssen Sie das Automic Web Interface schließen und sich erneut anmelden.

    Die im Benutzerobjekt gespeicherten Informationen werden nur bei der Anmeldung oder bei Verwendung der Schaltfläche LDAPDaten jetzt mit synchronisieren aktualisiert. Es gibt keine automatische Synchronisation.

    Wichtig! Sie müssen sich nicht ab- und wieder anmelden, um Daten zu synchronisieren, wenn Sie die Zugangsdaten eines technischen Benutzers verwenden. Informationen dazu finden Sie unter LDAP mithilfe von technischen Anwender-Zugangsdaten synchronisieren. Wenn Sie nicht die Zugangsdaten eines technischen Benutzers verwenden, muss der Benutzer, der die Daten eines Benutzerobjekts mit LDAP synchronisiert, ein LDAP-Benutzer sein.

  5. Speichern und schließen Sie das Benutzerobjekt.

  6. Wiederholen Sie alle Schritte für weitere Benutzer.

Hinweise:

  • Externe Passwortprüfungen, die über AE Program Exit durchgeführt werden, werden vor der LDAP-Verbindung aufgerufen.

  • Benutzerdaten werden während der Synchronisation mit dem LDAP-Serververzeichnis im Objekt gespeichert.

Siehe auch: