LDAP-Benutzerverifizierung: Unterschied zwischen den Versionen

 
(26 dazwischenliegende Versionen von 7 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
Diese Beschreibung erklärt die Einrichtung der LDAP Benutzerverfizierung für ALEX.
Die '''LDAP-Benutzerverifizierung''' ist eine [[Programmfunktion]] die es ermöglicht, den Benutzernamen und das Passwort eines {{Alex}}-Benutzers über einen vorhandenen LDAP-Server auf Korrektheit zu überprüfen.


== Testen der LDAP-Verifizerung ==
== Funktionsbeschreibung ==
Es wird empfohlen die Einrichtung von LDAP auf einem ALEX Testsystem auszuprobieren.<br>
Bei Konfigurationsfehlern kann man sich selbst und alle anderen Benutzer aus ALEX aussperren.


== Notwendige Voraussetzungen ==
Um die '''LDAP-Benutzerverifizierung''' verwenden zu können
Die ALEX-Benutzer müssen den selben Namen haben wie die Benutzer in LDAP.<br>
* muss ein LDAP-Server zur Verfügung stehen.
Wenn sich der Benutzer in Windows mit <code>DomainName\user123</code> anmeldet muss dessen ALEX-Benutzername <code>user123</code> sein.<br>
* müssen die {{Alex}}-Benutzernamen mit den Benutzern in LDAP ident sein
Die Anpassung der Benutzernamen kann auch über einen [[Eigenschaften_importieren|Import]] erfolgen.


== Einrichtung ==
Die Anmelde-Domain des Benutzers muss weggelassen werden.
[[Datei:LDAP-Einstellungen.png|500px|frame]]
Wenn sich der Benutzer in Windows mit <code>DomainName\user</code> anmeldet, muss dessen {{Alex}}-Benutzername <code>user</code> sein.
Die LDAP-Verifizierung kann in ALEX über den Reiter <code>LDAP Einstellungen</code> in den Systemeinstellungen konfiguriert werden.


<code>User über LDAP verifizieren</code> aktiviert die Verifizierung von Benutzern durch LDAP.
Falls eine Anpassung der Benutzernamen vonnöten ist, kann sie über einen [[Eigenschaften_importieren|Eigenschaften-Import]] erfolgen.


<code>Domäne</code> hier muss der Domänenname eingegeben werden, dies ist der Teil der vor dem Benutzernamen steht. Für <code>DomainName\user123</code> wäre dies somit <code>DomainName</code>.
Der <code>SUPERVISOR</code> Benutzer ist von der LDAP-Benutzerverifizierung ausgenommen. Er kann sich immer anmelden.


<code>Host</code> hier muss der Hostname(oder die IP) des LDAP-Servers hinterlegt werden.
=== Testumgebung ===


<code>Port</code> hier muss der Port des LDAP-Servers hinterlegt werden. Der Standard-Port ist <code>389</code>.
Die '''LDAP-Benutzerverifizierung''' kann auf einem {{Alex}}-Testsystem getestet werden, bevor sie in eine Echtumgebung übernommen wird.


Damit diese Einstellungen übernommen werden ist es erforderlich den ALEX-Dienst neuzustarten.
== Parametrierungsrichtlinien ==


{{AlexBild |Übersicht - Einstellungen|[[Datei:LDAP-Einstellungen.png|500px|frame]]|}}


<div align="center" style="border:1px solid black; margin:5px 5px 5px 5px; padding:5 5px 5px 5px; background-color:#F3F781">
Damit die Einstellungen übernommen werden, muss der {{Alex}}-Dienst neu gestartet werden.
Der <code>SUPERVISOR</code> Benutzer ist von der LDAP-Anmeldung ausgenommen.<br>
 
Das Passwort des Supervisors wird ohne aktiver LDAP-Verifizierung großgeschrieben gespeichert.<br>
Die LDAP-Benutzerverifizierung wird über <code>Systemeinstellungen: LDAP Einstellungen</code> konfiguriert.
Wird die LDAP-Verifizierung aktiviert dann wird für die Passworteingabe die Groß/Kleinschreibung berücksichtigt.<br>
 
Damit die Anmeldung dann noch möglich ist muss das Passwort groß geschrieben werden.<br>
{| class="wikitable" style=""
</div>
! Eigenschaft !! Beschreibung
|-
| <code>User über LDAP verifizieren</code> || Aktivieren und deaktivieren der Programmfunktion
|-
| <code>SSL verwenden (LDAPS)</code> || Aktivieren und deaktivieren der Verbindung über SSL.
|-
| <code>Domäne</code> || Anmelde-Domain die dem Benutzer vorangestellt ist.
|-
| <code>Host</code> || Hostname oder die IP des LDAP-Servers.
|-
| <code>Port</code> || Port des LDAP-Servers. Der Standard-Port für LDAP ist <code>389</code> und für LDAPS <code>636</code>.
|-
| <code>Basis-Such-DN</code> || optional: Basis-Suchpfad im LDAP-Verzeichnis
|-
| <code>MemberOf-Such-DN</code> || optional: Gruppe der Benutzer in der gesucht werden soll
|}
 
=== Filterung auf Benutzergruppen <ref name="issue7560">{{githubissue|7560}}</ref>===
 
Mit Hilfe der Parameter <code>Basis-Such-DN</code> und <code>MemberOf-Such-DN</code> kann geprüft werden, ob der Benutzer einer definierten Benutzergruppe zugewiesen ist. Falls nicht, darf dieser Benutzer nicht in {{Alex}} einsteigen.
 
Mit den beiden Parametern wird eine LDAP-Suche auf dem <code>Basis-Such-DN</code> mit folgenden Suchkriterien durchgeführt:
(&(objectCategory=User)
(sAMAccountName=<Alex-Benutzername>)
(memberOf=<MemberOf-Such-DN>,<Basis-Such-DN>))
 
==Weiterführende Links==
 
[[Login mit Windows Benutzer]]
 
[[Kategorie:Funktionsübersicht]]
[[Kategorie:Benutzerrechte verwalten]]
 
== Fußnoten ==

Aktuelle Version vom 19. Januar 2023, 15:21 Uhr

Die LDAP-Benutzerverifizierung ist eine Programmfunktion die es ermöglicht, den Benutzernamen und das Passwort eines Alex®-Benutzers über einen vorhandenen LDAP-Server auf Korrektheit zu überprüfen.

Funktionsbeschreibung

Um die LDAP-Benutzerverifizierung verwenden zu können

  • muss ein LDAP-Server zur Verfügung stehen.
  • müssen die Alex®-Benutzernamen mit den Benutzern in LDAP ident sein

Die Anmelde-Domain des Benutzers muss weggelassen werden. Wenn sich der Benutzer in Windows mit DomainName\user anmeldet, muss dessen Alex®-Benutzername user sein.

Falls eine Anpassung der Benutzernamen vonnöten ist, kann sie über einen Eigenschaften-Import erfolgen.

Der SUPERVISOR Benutzer ist von der LDAP-Benutzerverifizierung ausgenommen. Er kann sich immer anmelden.

Testumgebung

Die LDAP-Benutzerverifizierung kann auf einem Alex®-Testsystem getestet werden, bevor sie in eine Echtumgebung übernommen wird.

Parametrierungsrichtlinien

Übersicht - Einstellungen
LDAP-Einstellungen.png

Damit die Einstellungen übernommen werden, muss der Alex®-Dienst neu gestartet werden.

Die LDAP-Benutzerverifizierung wird über Systemeinstellungen: LDAP Einstellungen konfiguriert.

Eigenschaft Beschreibung
User über LDAP verifizieren Aktivieren und deaktivieren der Programmfunktion
SSL verwenden (LDAPS) Aktivieren und deaktivieren der Verbindung über SSL.
Domäne Anmelde-Domain die dem Benutzer vorangestellt ist.
Host Hostname oder die IP des LDAP-Servers.
Port Port des LDAP-Servers. Der Standard-Port für LDAP ist 389 und für LDAPS 636.
Basis-Such-DN optional: Basis-Suchpfad im LDAP-Verzeichnis
MemberOf-Such-DN optional: Gruppe der Benutzer in der gesucht werden soll

Filterung auf Benutzergruppen [1]

Mit Hilfe der Parameter Basis-Such-DN und MemberOf-Such-DN kann geprüft werden, ob der Benutzer einer definierten Benutzergruppe zugewiesen ist. Falls nicht, darf dieser Benutzer nicht in Alex® einsteigen.

Mit den beiden Parametern wird eine LDAP-Suche auf dem Basis-Such-DN mit folgenden Suchkriterien durchgeführt:

(&(objectCategory=User)
(sAMAccountName=<Alex-Benutzername>)
(memberOf=<MemberOf-Such-DN>,<Basis-Such-DN>))

Weiterführende Links

Login mit Windows Benutzer

Fußnoten