Einrichten einer LDAP-Verbindung

Als Systemadministrator richten Sie die LDAP-Verbindung ein und konfigurieren Ihren Mandanten und Ihre Benutzer so, dass sie LDAP zum Authentifizieren von Login-Daten verwenden.

Hinweise:

  • Eine LDAP-Anmeldung über die AE ist nur möglich, wenn das Passwort Zeichen der Code-Tabelle enthält, die Sie in Ihrer jeweiligen Datenbank verwenden.

  • Externe Passwortprüfungen, die über den AE-Programm-Exit durchgeführt werden, werden vor der LDAP-Verbindung aufgerufen. Weitere Informationen finden Sie unter Externe Kennwortprüfung.

Diese Seite beinhaltet Folgendes:

Voraussetzungen

Die Verwendung von LDAP zur Authentifizierung von Login-Daten ist nicht standardmäßig eingestellt und ist nur möglich, wenn der Schlüssel LDAP in der Variablen UC_SYSTEM_SETTINGS auf Y gesetzt ist. Weitere Informationen finden Sie unter LDAP und UC_SYSTEM_SETTINGS: Systemweite Einstellungen.

Um Active Directory (AD) oder Oracle Directory Server (ODS) mit LDAP über TLS/SSL zu verwenden, müssen Sie den Keystore für den Java-Arbeitsprozess (JWP) konfigurieren und sicherstellen, dass die Zertifikate, die für den JWP erforderlich sind, im Keystore gespeichert sind. In einer lokalen Umgebung ist die Verwendung einer TLS/SSL-Verbindung optional. In AAKE und Automic SaaS können Sie nur LDAP über TLS/SSL verwenden.

Wie Sie eine TLS/SSL-Verbindung zum LDAP-Server herstellen, hängt davon ab, welche Art Umgebung Sie verwenden. Weitere Informationen finden Sie nachfolgend.

TLS/SSL-Verbindung – Konfigurieren des JWP-Keystore und Hinzufügen von Zertifikaten

Dieser Abschnitt enthält Informationen zum Einrichten des JWP-Keystore und zum Hinzufügen der Zertifikate für alle Umgebungstypen.

Automic Automation als lokale Lösung

Die Verwendung von TLS/SSL zum Absichern der Verbindung zum LDAP-Server ist in einer lokalen Umgebung optional. Lokale Umgebungen bieten verschiedene Optionen für das Konfigurieren des Keystore und das Hinzufügen der Zertifikate.

Um TLS/SSL verwenden zu können, müssen die Zertifikate des LDAP-Servers dem Java-Arbeitsprozess (JWP) zur Verfügung stehen. Der JWP verwendet die standardmäßigen Keystore-Datei cacerts im Verzeichnis lib/security der JRE.

Es gibt eine Reihe von Konfigurationsoptionen für die Keystore-Datei:

  • Verwendung einer alternativen Keystore-Datei:

    Wenn Sie möchten, dass JWPs eine alternative Keystore-Datei verwenden, müssen Sie den Dateinamen und den Pfad zu einer zentral gespeicherten Datei im Schlüssel JWP_KEYSTORE_PATH in der Variablen UC_SYSTEM_SETTINGS definieren. Falls der definierte Pfad nicht zugänglich oder ungültig ist, wird eine Logmeldung an den Standard-Log-Speicherort geschrieben und das JWP verwendet die Standard-Keystore-Datei. Weitere Informationen finden Sie unter JWP_KEYSTORE_PATH.

  • Erstellen einer individuellen Keystore-Datei mit dem JWP:

    Wenn Sie eine einzelne Keystore-Datei verwenden möchten, können Sie diese mit dem folgenden Befehl erstellen:

    java -jar ucsrvjp.jar -installcert host:port keystorePath

    Falls der definierte Pfad in keystorePath nicht existiert, erstellt das JWP eine neue Keystore-Datei an dieser Stelle. Sie können dann ein Passwort für diese Keystore-Datei festlegen.

  • Verwendung eines alternativen Passworts für den Zugriff auf Keystore-Dateien:

    Das vom JWP verwendete Standardpasswort ist das Standardpasswort des JRE-Keystores. Wenn Sie möchten, dass das JWP ein anderes Passwort verwendet, müssen Sie ein Anmeldeobjekt mit diesem Passwort definieren, indem Sie den folgenden Schritten folgen:

    • Erstellen Sie ein Login-Objekt (oder verwenden Sie ein bestehendes).
    • Verwenden Sie den Schlüssel JWP_KEYSTORE_LOGIN in der Variablen UC_SYSTEM_SETTINGS, um den Namen dieses Login-Objekts einzugeben. Weitere Informationen finden Sie unter JWP_KEYSTORE_LOGIN.
    • Öffnen Sie das referenzierte Login-Objekt, wählen Sie die Seite Login und fügen Sie dort eine neue Zeile hinzu.
    • Wählen Sie in der Spalte Name "*" aus und wählen Sie in der Spalte Typ JWP_KEYSTORE aus.
    • Die Login-Info ist für diese Funktion optional, aber da diese Spalte standardmäßig nicht leer sein darf, müssen Sie hier etwas eingeben.
    • Geben Sie das von Ihnen gewählte Passwort für die Keystore-Datei ein.

Außerdem müssen Sie sicherstellen, dass die Zertifikate im Keystore gespeichert werden. Es gibt verschiedene Optionen:

  1. Zertifikate mit dem Keytool-Befehl hinzufügen.

    1. Um den Standard-Keystore der JRE zu verwenden, gehen Sie in den Ordner jre\lib\security der Java-Installation und importieren Sie das Zertifikat mit dem Keytool-Befehl:

      2. keytool -keystore cacerts -importcert -alias ldapServer -file certficate.cer

    2. Wenn Sie Ihre eigene Keystore-Datei verwenden möchten, die in der Variablen UC_SYSTEM_SETTINGS im Schlüssel JWP_KEYSTORE_PATH definiert ist, gehen Sie zum definierten Pfad und importieren Sie das Zertifikat mit dem Kommando "keytool":

      3. keytool -keystore <keystore> -importcert -alias ldapServer -file certficate.cer

      Wenn Sie aufgefordert werden, diesem Zertifikat zu vertrauen, antworten Sie mit der Eingabe von "Y".

      Weitere Informationen finden Sie unter JWP_KEYSTORE_PATH.

  2. Fügen Sie Zertifikate per Download hinzu.

    1. Eine weitere Option zur Installation des Zertifikats ist der Kommandozeilenparameter -installcert des Java-Arbeitsprozesses.

      2. java -jar ucsrvjp.jar -installcert <host>:<sslport>

      • Dies setzt voraus, dass der Java-Arbeitsprozess Schreibzugriff auf die cacerts-Datei der Java-Installation hat.
      • Dieses Kommando erkennt den Pfad von cacerts, verbindet sich mit dem angegebenen Host und Port und versucht, eine TLS/SSL-Verbindung herzustellen.
    2. Dieser Befehl zum Hinzufügen eines Zertifikats per Download setzt einen optionalen Parameter für den Dateinamen des Keystores:

      3. java -jar ucsrvjp.jar -installcert <host>:<sslport> <keystorePath>

    Hinweise:

    • Wenn der Parameter JWP_KEYSTORE_PATH gültig ist, aber die Datei nicht existiert, erstellt JWP eine neue Keystore-Datei am gleichen Speicherort. Während dieses Vorgangs kann der Benutzer ein individuelles Passwort definieren. Weitere Informationen finden Sie unter JWP_KEYSTORE_PATH.

    • Wenn ein Zertifikat fehlt, wird die Meldung "gültiger Zertifikat-Pfad zum abgefragten Ziel kann nicht gefunden werden" gedruckt und das fehlende Zertifikat heruntergeladen und in der cacerts-Datei gespeichert.

Automic Automation Kubernetes Edition

Vor der Installation von AAKE müssen Sie den JWP-Keystore konfigurieren, in dem die Keystore-Datei gespeichert wird, und den geheimen jwp-keystore-Kubernetes-Schlüssel erstellen, damit die Keystore-Datei an den LDAP-Server übergeben werden kann. Befolgen Sie dazu die folgenden Schritte:

  1. Fügen Sie das Zertifikat mithilfe eines Keytools zum Keystore hinzu.

    1. Um den Standard-Keystore der JRE zu verwenden, gehen Sie in den Ordner jre\lib\security der Java-Installation und importieren das Zertifikat mit dem "keytool"-Kommando:

      2. keytool -keystore cacerts -importcert -alias ldapServer -file certficate.cer

    2. Wenn Sie Ihre eigene Keystore-Datei verwenden möchten, die in der Variablen UC_SYSTEM_SETTINGS im Schlüssel JWP_KEYSTORE_PATH definiert ist, gehen Sie zum definierten Pfad und importieren das Zertifikat mit dem Kommando "keytool":

      3. keytool -keystore <keystore> -importcert -alias ldapServer -file certficate.cer

      Wenn Sie aufgefordert werden, diesem Zertifikat zu vertrauen, antworten Sie mit der Eingabe von "Y".

      Weitere Informationen finden Sie unter JWP_KEYSTORE_PATH.

  2. Konfigurieren Sie den JWP-Keystore. Erstellen Sie dazu den geheimen jwp-keystore-Kubernetes-Schlüssel, um die Keystore-Datei an den LDAP-Server zu übergeben. Verwenden Sie dazu das folgende "kubectl"-Kommando:

    kubectl create secret generic jwp-keystore --from-file ./cacerts

    Wenn nach der Installation von AAKE der geheime jwp-keystore-Schlüssel vorhanden ist, wird er automatisch in allen JWP-Pods unter Verwendung des Standardpfads '/usr/server/bin/secrets/jwp-keystore/cacerts bereitgestellt.

Automic SaaS

In Automic SaaS müssen Sie Broadcom das LDAPS-Zertifikat bereitstellen, damit wir den geheimen Kubernetes-Schlüssel für Sie erstellen können.

Konfigurieren der Mandanten und Benutzer für LDAP

Um die Verbindung zu konfigurieren, müssen Sie zuerst Ihre Mandanten konfigurieren:

  1. Melden Sie sich bei Systemmandant 0 an.

  2. Wechseln Sie zum Ordner DIV_VARIABLES und duplizieren Sie die Variable UC_LDAP_EXAMPLE. Weitere Informationen finden Sie unter UC_LDAP_EXAMPLE - LDAP Verbindungsvariable.

  3. Benennen Sie das Duplikat um:

    • Active Directory: Benennen Sie die Kopie in UC_LDAP_Domäne um. Wenn beispielsweise der Domänenname SMITH ist, sollte die Variable UC_LDAP_SMITH heißen.

    • Oracle Directory Server: Benutzerobjekt-Namen bestehen aus dem Namen und der Abteilung. Benennen Sie die Kopie in UC_LDAP_Abteilung um. Jede Abteilung erfordert eine eigene Variable. Bei dieser Methode muss die Domäne im Schlüssel DOMAIN_ALIAS angegeben werden.

  4. Öffnen Sie die gerade duplizierte Variable und definieren Sie die Verbindungsdaten gemäß Ihren Anforderungen.

    Beispiel 

    VERSION = 2
TLS = Y 
USE_DISTINGUISHED_NAME = Y
SERVER = <hostname>:<tlsport>

    Der Standardport für TLS/SSL ist 636.

    Hinweis: Anstatt die standardmäßige Benutzersuche mit dem Schlüssel USE_DISTINGUISHED_NAME zu verwenden, können Sie den Schlüssel SEARCH_FILTER definieren. Weitere Informationen finden Sie unter UC_LDAP_EXAMPLE - LDAP Verbindungsvariable.

  5. Speichern und schließen Sie die Variable.

Sobald der Mandant fertig konfiguriert ist, müssen Sie die LDAP-Verbindung im Benutzerobjekt einrichten:

  1. Erstellen Sie ein Benutzerobjekt oder benennen Sie ein vorhandenes um und definieren Sie den Namen des Benutzerobjekts. Weitere Informationen finden Sie unter Definieren von Benutzern.

    • Active Directory: Wenn nicht der DN (Distinguished Name) benutzt wird, muss das Benutzerobjekt den gleichen Namen wie der Benutzer in Active Directory haben. Der Name setzt sich aus dem Benutzernamen und der Domäne zusammen. Beispiel: SMITH/AE.

    • Oracle Directory Server: Der Name des Benutzerobjekts muss gleich dem Distinguished Name des Benutzers sein. Die Synchronisierung von Daten funktioniert nur, wenn die uid und der Name des Benutzerobjekts identisch sind. Beim Beispieluid=nga, ou=people, dc=example, dc=com muss der Name des Benutzerobjekts also NGA/DEPARTMENT sein.

  2. Öffnen Sie das Benutzerobjekt.

  3. Aktivieren Sie das Kontrollkästchen LDAPVerbindung.

    Die Eingabefelder Vorname, Nachname, E-Mail 1 und E-Mail 2 sind gesperrt. Ihr Inhalt wird mit LDAP-Daten vom zugehörigen Server gefüllt, wenn die Synchronisierung gestartet wird.

    Hinweis: Active Directory (AD) verwendet die zweite E-Mail-Adresse nicht. Sie kann bei Bedarf verwendet werden.

  4. Speichern und schließen Sie das Benutzerobjekt.

  5. Wiederholen Sie alle Schritte für weitere Benutzer.

Wichtig! Die im Benutzerobjekt gespeicherten Informationen werden nur bei der Anmeldung oder bei Verwendung der Schaltfläche Daten jetzt mit LDAP abgleichen aktualisiert. Es gibt keine automatische Synchronisierung und dies funktioniert nur, wenn der Benutzer, der die Daten synchronisiert, bereits ein LDAP-Benutzer ist.

Benutzeranmeldeinformationen und (optional) Login-Objekt

Mit Ihren Benutzeranmeldeinformationen können Sie eine LDAP-Synchronisierung durchführen, solange der Benutzer bei LDAP angemeldet war. Wenn Sie ihren eigenen Benutzer erstmals für LDAP konfigurieren, müssen Sie sich vom System abmelden und dann wieder beim System anmelden, damit die Datensynchronisierung funktioniert.

Nach der Anmeldung können Sie die Schaltfläche Daten jetzt mit LDAP abgleichen für die Synchronisierung verwenden.

Wenn der LDAP-Server jedoch so eingerichtet ist, dass Ihr Benutzer nicht nach anderen Benutzern suchen kann, haben Sie die Möglichkeit, ein zweites (technisches) Benutzerobjekt zu erstellen, das den einzigen Zweck hat, die LDAP-Synchronisierung durchzuführen. Sie definieren den Benutzer wie oben beschrieben.

Sie haben auch die Möglichkeit, LDAP Sync zu installieren und so zu konfigurieren, dass Benutzerobjekte mit der AD/ODS-Benutzerbasis synchron gehalten werden. Weitere Informationen finden Sie unter LDAP Sync – Synchronisieren von LDAP-Benutzern und Benutzern im Automic system.

Wenn Sie sich entscheiden, einen zweiten (technischen) Benutzer zu erstellen, muss dieser auch in LDAP vorhanden sein und der LDAP-Administrator muss ihm die entsprechenden Rechte für den LDAP-Server gewähren.

In diesem Fall müssen Sie auch ein Login-Objekt für den zweiten (technischen) Benutzer erstellen (siehe Login (LOGIN)).

Sobald das Benutzerobjekt und das Login-Objekt definiert wurden, müssen Sie das neue Login-Objekt in der bereits vorhandenen Variable UC_LDAP_XXXX registrieren, indem sie den Schlüssel SYNC_LOGIN verwenden (siehe UC_LDAP_EXAMPLE - LDAP Verbindungsvariable).

Gehen Sie dazu wie folgt vor:

  1. Erstellen Sie ein Login-Objekt in Mandant 0, das die Zugangsdaten enthält, die erforderlich sind, um eine Verbindung zum LDAP-Server herzustellen:

    1. Setzen Sie Agent/Name auf "*".

    2. Setzen Sie den Typ auf LDAP.

    3. Geben Sie unter Benutzername/ID den Namen oder den Distinguished Name des Benutzers ein, der für die Kommunikation mit dem LDAP-Server verwendet werden soll.

    4. Geben Sie im Feld für das Passwort das Passwort des Benutzers ein.

  2. Registrieren Sie dieses neue Login-Objekt in der bereits vorhandenen Variable UC_LDAP_XXXX, indem sie den Schlüssel SYNC_LOGIN verwenden (siehe UC_LDAP_EXAMPLE - LDAP Verbindungsvariable).

  3. Überprüfen Sie, ob die SYNC_LOGIN-Einstellung und das angegebene Login-Objekt korrekt konfiguriert sind. Gehen Sie dazu wie folgt vor:

    1. Melden Sie sich bei AWI mit einem Nicht-LDAP-Benutzer an.

    2. Öffnen oder erstellen Sie ein Benutzerobjekt, das einem LDAP-Benutzer entspricht.

    3. Stellen Sie sicher, dass die Option für die LDAP-Verbindung aktiviert ist.

    4. Klicken Sie auf Daten jetzt mit LDAP abgleichen.

    5. Wenn alles korrekt eingerichtet ist, wird der Distinguished Name des Benutzers automatisch vom LDAP-Server abgerufen.

Wenn der Schlüssel SYNC_LOGIN nicht in der Variablen UC_LDAP_XXX angegeben ist oder das Login-Objekt nicht existiert, gelten die Anmeldedaten des aktuellen Benutzers.

Siehe auch: