LDAP-Verbindung einstellen

Standardmäßig ist die LDAP-Kopplung deaktiviert. Dies können Sie für jeden Benutzer in der Administration-Perspektive sehen. Aktivieren oder deaktivieren Sie sie für einzelne Benutzer über den entsprechenden Befehl im Kontextmenü. Eine globale Einstellung aktiviert die LDAP-Verbindung für ein AE-System.

Eine LDAP-Anmeldung über die AE ist nur möglich, wenn das Passwort Zeichen der Code-Tabelle enthält, die Sie in Ihrer jeweiligen Datenbank verwenden.

SSL-Zertifikate importieren und installieren

Um einen Active Directory oder Oracle Directory Server mit LDAP über SSL nutzen zu können, müssen Sie einen Java-basierten Arbeitsprozess (JWP) verwenden können. Weitere Informationen finden Sie unter Installation des JWP

1. Importieren Sie die Zertifikate, wie im Abschnitt zur JWP-Installation beschrieben.

2. Erstellen Sie eine LDAP-Verbindungsvariable (siehe UC_LDAP_EXAMPLE - LDAP-Verbindungsvariable) mit den folgenden Einstellungen:

   VERSION = 2

   TLS = Y

   USE_DISTINGUISHED_NAME = Y

   SERVER = <hostname>:<sslport>

   Der Standardport für SSL ist 636.

3. Öffnen Sie das Benutzerobjekt, legen Sie den eindeutigen Namen (Distinguished Name) für den Benutzer fest und aktivieren Sie das Kontrollkästchen "LDAP-Verbindung".

Aktivieren Sie die LDAP-Verbindung für Ihr AE-System

Öffnen Sie die Variable UC_SYSTEM_SETTINGS und geben Sie den Wert "Y" in den LDAP-Schlüssel ein. Mit dieser globalen Einstellung kann die LDAP-Verbindung von einem zentralen Punkt aus ein- und ausgeschaltet werden. Weitere Informationen finden Sie unter LDAP

LDAP mit technischen Benutzerdaten synchronisieren

Sie können einen zusätzlichen technischen LDAP-Benutzer einrichten, der in der Lage ist, eine LDAP-Synchronisierung durchzuführen, falls der aktuelle Benutzer nicht über die entsprechenden Berechtigungen verfügt.

Tipp: Wir empfehlen diese Methode im Gegensatz zur Lösung mit einzelnen Benutzerobjekten, da ein Benutzer im letzteren Fall nicht über die notwendigen Zugriffsdaten verfügt und daher gezwungen wäre, sich vom System abzumelden und sich erneut anzumelden, um die Datensynchronisation zu ermöglichen.
Das An- und Abmelden ist nicht erforderlich, wenn die Lösung mit den Zugriffsberechtigungen eines technischen Benutzers verwendet wird.

So legen Sie einen technischen Benutzer mit einem Login-Objekt an

• Erstellen Sie im Mandanten 0 ein Login-Objekt, das die spezifischen Benutzerdaten für die Verbindung zum LDAP-Server enthält. Es sollte nur eine Zeile mit den folgenden Informationen enthalten:
• Agent/Name auf * setzen
• Typ auf LDAP setzen
• Geben Sie unter Benutzername/ID den Namen oder den eindeutigen Namen des Benutzers ein, der für die Kommunikation mit dem LDAP-Server verwendet werden soll.
• Geben Sie das Passwort des Benutzers im Feld Passwort ein.
• Registrieren Sie dieses Anmeldeobjekt in der bereits vorhandenen Variablen UC_LDAP_Domain unter Verwendung des Schlüssels SYNC_LOGIN. Weitere Informationen finden Sie unter UC_LDAP_EXAMPLE - LDAP-Verbindungsvariable.

• Überprüfen Sie, ob die SYNC_LOGIN-Einstellung und das angegebene Login-Objekt korrekt konfiguriert sind, und gehen Sie wie folgt vor:
• Melden Sie sich am AWI mit einem Nicht-LDAP-Benutzer an.
• Öffnen oder erstellen Sie ein Benutzerobjekt, das einem LDAP-Benutzer entspricht.
• Stellen Sie sicher, dass die Option zur LDAP-Verbindung aktiviert ist.
• Klicken Sie auf Daten jetzt mit LDAP synchronisieren.
• Wenn alles korrekt eingerichtet ist, wird der eindeutige Name (Distinguished Name) des Benutzers automatisch vom LDAP-Server abgerufen.

Wenn der Schlüssel SYNC_LOGIN nicht in der Variablen angegeben ist oder das Login-Objekt nicht existiert, gelten die Benutzerdaten des aktuellen Benutzers.

Ablauf bei Active Directory

Verbindungsdaten angeben

1. Melden Sie sich am Systemmandanten 0000 an.
2. Wechseln Sie zum Ordner "DIV_VARIABLES", und duplizieren Sie die Variable UC_LDAP_EXAMPLE.
3. Geben Sie der Kopie den Namen "UC_LDAP_Domain". Wenn der Domänenname "SMITH" ist, wird die Variable zu "UC_LDAP_SMITH".
4. Öffnen Sie die Variable und geben Sie Ihre Verbindungsdaten ein. Weitere Informationen finden Sie unter UC_LDAP_EXAMPLE - LDAP-Verbindungsvariable.
5. Speichern und schließen Sie die Variable.

So richten Sie die LDAP-Verbindung in Benutzerobjekten ein

1. Das Benutzerobjekt muss den gleichen Namen wie der Benutzer im Active Directory haben, falls der eindeutige Namen (Distinguished Name (DN)) nicht verwendet wird. Der Name setzt sich aus dem Benutzernamen und der Domäne zusammen. Beispielsweise verwendet Herr Smith die Domäne "AE". Er benötigt das Benutzerobjekt "SMITH/AE". Erstellen Sie ein neues Benutzerobjekt für sich selbst oder benennen Sie Ihr bestehendes um.
2. Öffnen Sie das Benutzerobjekt, siehe Benutzer (USER).
3. Aktivieren Sie das Kontrollkästchen "LDAP-Verbindung". Die Eingabefelder "Vorname", "Nachname" und "E-Mail1" sind gesperrt, da ihr Inhalt durch die LDAP-Daten im Active Directory oder auf dem Oracle Directory Server gefüllt werden soll. Die gesperrten Felder werden beim Start der Synchronisation mit Daten vom jeweiligen Server gefüllt.
4. Testen Sie dies mithilfe der Schaltfläche Daten jetzt mit LDAP synchronisieren. Der Synchronisierungsprozess funktioniert nur, wenn der Betriebsbenutzer bereits über die LDAP-Verbindung synchronisiert wurde. Dazu müssen Sie das Automic Web Interface schließen und sich erneut anmelden.

Die im Benutzerobjekt gespeicherten Informationen werden nur bei der Anmeldung oder bei Verwendung der Schaltfläche Daten jetzt mit LDAP synchronisieren aktualisiert. Es gibt keine automatische Synchronisation.

Ein Aus- und Wiedereinloggen zur Datensynchronisation ist nicht erforderlich, wenn die Lösung mit einem technischen Benutzer im speziellen Login-Objekt (Registrierung über SYNC_LOGIN in der Variablen UC_LDAP_Domain) verwendet wird, wie vorstehend im Abschnitt "Allgemein" beschrieben.

Wichtig! Die Person, die die Daten eines Benutzerobjekts mit LDAP synchronisiert, müsste auch ein LDAP-Benutzer sein, wenn die oben beschriebene Login-Objektlösung und der technische Benutzer nicht verwendet werden.

Das Active Directory verwendet nicht die zweite E-Mail-Adresse. Sie kann bei Bedarf verwendet werden.

5. Speichern und schließen Sie das Benutzerobjekt.
6. Wiederholen Sie alle Schritte für weitere Benutzer.

Ablauf bei Oracle Directory Server

Verbindungsdaten angeben

1. Melden Sie sich am Systemmandanten 0000 an.
2. Wechseln Sie zum Ordner "DIV_VARIABLES", und duplizieren Sie die Variable UC_LDAP_EXAMPLE.
3. Die Namen der Benutzerobjekte setzen sich aus Name und Abteilung zusammen. Die Kopie der Variable kann in "UC_LDAP_Abteilung" umbenannt werden. Für jede Abteilung wird eine zusätzliche Variable benötigt. Bei dieser Methode muss die Domäne im Schlüssel DOMAIN_ALIAS angegeben werden.
4. Öffnen Sie die Variable und geben Sie Ihre Verbindungsdaten ein. Weitere Informationen finden Sie unter UC_LDAP_EXAMPLE - LDAP-Verbindungsvariable.
5. Speichern und schließen Sie die Variable.

So richten Sie die LDAP-Verbindung in Benutzerobjekten ein

1. Der Name des Benutzerobjekts muss gleich dem eindeutigen Namen (Distinguished Name) des Benutzers sein.  Erstellen Sie ein neues Benutzerobjekt für sich selbst oder benennen Sie Ihr bestehendes um.

Die Synchronisation von Daten funktioniert nur, wenn die "uid" und der Name des Benutzerobjekts identisch sind. Beispiel: uid=nga, ou=people, dc=example,dc=com. Daher müsste das Benutzerobjekt NGA/ABTEILUNG heißen

2. Öffnen Sie das Benutzerobjekt, siehe Benutzer (USER).
3. Aktivieren Sie das Kontrollkästchen "LDAP-Verbindung". Die Eingabefelder "Vorname", "Nachname", "E-Mail1" und "E-Mail2" sind gesperrt, da ihr Inhalt durch die LDAP-Daten im jeweiligen Serververzeichnis gefüllt werden soll. Die gesperrten Felder werden beim Start der Synchronisation mit Daten vom Oracle Directory Server gefüllt.
4. Testen Sie dies mit der Schaltfläche Daten jetzt mit LDAP synchronisieren. Der Synchronisationsprozess funktioniert nur, wenn der ausführende Benutzer bereits über die LDAP-Verbindung synchronisiert wurde. Dazu müssen Sie das Automic Web Interface schließen und sich erneut anmelden.

Die im Benutzerobjekt gespeicherten Informationen werden nur bei der Anmeldung oder bei Verwendung der Schaltfläche Daten jetzt mit LDAP synchronisieren aktualisiert. Es gibt keine automatische Synchronisation.

Ein Aus- und Wiedereinloggen zur Datensynchronisation ist nicht erforderlich, wenn die Lösung mit einem technischen Benutzer im speziellen Login-Objekt (Registrierung über SYNC_LOGIN in der Variablen UC_LDAP_Domain) verwendet wird, wie vorstehend im Abschnitt "Allgemein" beschrieben.

Wichtig! Die Person, die die Daten eines Benutzerobjekts mit LDAP synchronisiert, müsste auch ein LDAP-Benutzer sein, wenn die oben beschriebene Login-Objektlösung und der technische Benutzer nicht verwendet werden.

5. Speichern und schließen Sie das Benutzerobjekt.
6. Wiederholen Sie alle Schritte für weitere Benutzer.

Hinweise:

• Externe Passwortprüfungen, die über AE Program Exit durchgeführt werden, werden vor der LDAP-Verbindung aufgerufen.

• Benutzerdaten werden während der Synchronisation mit dem LDAP-Serververzeichnis im Objekt gespeichert.