LDAP-Benutzerverifizierung: Unterschied zwischen den Versionen

K (Orthografie- und Grammatik-Korrekturen durch Praktikant MichaelH (22 July 2022))
 
(7 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
Diese Beschreibung erklärt die Einrichtung der LDAP-Benutzerverifizierung für {{Alex}}.
Die '''LDAP-Benutzerverifizierung''' ist eine [[Programmfunktion]] die es ermöglicht, den Benutzernamen und das Passwort eines {{Alex}}-Benutzers über einen vorhandenen LDAP-Server auf Korrektheit zu überprüfen.


==Testen der LDAP-Verifizierung==
== Funktionsbeschreibung ==
Es wird empfohlen, die Einrichtung von LDAP auf einem {{Alex}}-Testsystem auszuprobieren.<br>
Bei Konfigurationsfehlern kann man sich selbst und alle anderen Benutzer aus {{Alex}} aussperren.


==Notwendige Voraussetzungen==
Um die '''LDAP-Benutzerverifizierung''' verwenden zu können
Die {{Alex}}-Benutzer müssen denselben Namen haben wie die Benutzer in LDAP.<br>
* muss ein LDAP-Server zur Verfügung stehen.
Wenn sich der Benutzer in Windows mit <code>DomainName\user123</code> anmeldet, muss dessen {{Alex}}-Benutzername <code>user123</code> sein.<br>
* müssen die {{Alex}}-Benutzernamen mit den Benutzern in LDAP ident sein
Die Anpassung der Benutzernamen kann auch über einen [[Eigenschaften_importieren|Import]] erfolgen.


==Einrichtung==
Die Anmelde-Domain des Benutzers muss weggelassen werden.
{{AlexBild |Übersicht - Einstellungen|[[Datei:LDAP-Einstellungen.png|500px|frame]]|}}
Wenn sich der Benutzer in Windows mit <code>DomainName\user</code> anmeldet, muss dessen {{Alex}}-Benutzername <code>user</code> sein.
Die LDAP-Verifizierung kann in ALEX über den Reiter <code>LDAP Einstellungen</code> in den Systemeinstellungen konfiguriert werden.
 
Falls eine Anpassung der Benutzernamen vonnöten ist, kann sie über einen [[Eigenschaften_importieren|Eigenschaften-Import]] erfolgen.
 
Der <code>SUPERVISOR</code> Benutzer ist von der LDAP-Benutzerverifizierung ausgenommen. Er kann sich immer anmelden.
 
=== Testumgebung ===
 
Die '''LDAP-Benutzerverifizierung''' kann auf einem {{Alex}}-Testsystem getestet werden, bevor sie in eine Echtumgebung übernommen wird.


<code>User über LDAP verifizieren</code> aktiviert die Verifizierung von Benutzern durch LDAP.
== Parametrierungsrichtlinien ==


<code>SSL verwenden (LDAPS)</code> Sollte nach Möglichkeit aktiviert sein, Microsoft stellt den unverschlüsselten Betrieb demnächst ein.
{{AlexBild |Übersicht - Einstellungen|[[Datei:LDAP-Einstellungen.png|500px|frame]]|}}


<code>Domäne</code> Hier muss der Domänenname eingegeben werden, dies ist der Teil, der vor dem Benutzernamen steht. Für <code>DomainName\user123</code> wäre dies somit <code>DomainName</code>. Hier sollte der Domain-Alias verwendet werden, der "fully qualified domain name" scheint hier nicht zu funktionieren.
Damit die Einstellungen übernommen werden, muss der {{Alex}}-Dienst neu gestartet werden.


<code>Host</code> Hier muss der Hostname (oder die IP) des LDAP-Servers hinterlegt werden.
Die LDAP-Benutzerverifizierung wird über <code>Systemeinstellungen: LDAP Einstellungen</code> konfiguriert.


<code>Port</code> Hier muss der Port des LDAP-Servers hinterlegt werden. Der Standard-Port für LDAP ist <code>389</code> und für LDAPS <code>636</code>.
{| class="wikitable" style=""
! Eigenschaft !! Beschreibung
|-
| <code>User über LDAP verifizieren</code> || Aktivieren und deaktivieren der Programmfunktion
|-
| <code>SSL verwenden (LDAPS)</code> || Aktivieren und deaktivieren der Verbindung über SSL.
|-
| <code>Domäne</code> || Anmelde-Domain die dem Benutzer vorangestellt ist.
|-
| <code>Host</code> || Hostname oder die IP des LDAP-Servers.
|-
| <code>Port</code> || Port des LDAP-Servers. Der Standard-Port für LDAP ist <code>389</code> und für LDAPS <code>636</code>.
|-
| <code>Basis-Such-DN</code> || optional: Basis-Suchpfad im LDAP-Verzeichnis
|-
| <code>MemberOf-Such-DN</code> || optional: Gruppe der Benutzer in der gesucht werden soll
|}


Damit diese Einstellungen übernommen werden, ist es erforderlich, den {{Alex}}-Dienst neu zu starten.
=== Filterung auf Benutzergruppen <ref name="issue7560">{{githubissue|7560}}</ref>===


Mit Hilfe der Parameter <code>Basis-Such-DN</code> und <code>MemberOf-Such-DN</code> kann geprüft werden, ob der Benutzer einer definierten Benutzergruppe zugewiesen ist. Falls nicht, darf dieser Benutzer nicht in {{Alex}} einsteigen.


<div align="center" style="border:1px solid black; margin:5px 5px 5px 5px; padding:5 5px 5px 5px; background-color:#FFD317">
Mit den beiden Parametern wird eine LDAP-Suche auf dem <code>Basis-Such-DN</code> mit folgenden Suchkriterien durchgeführt:
Der <code>SUPERVISOR</code> Benutzer ist von der LDAP-Anmeldung ausgenommen.<br>
(&(objectCategory=User)
Das Passwort des Supervisors wird ohne aktiver LDAP-Verifizierung großgeschrieben gespeichert.<br>
(sAMAccountName=<Alex-Benutzername>)
Wird die LDAP-Verifizierung aktiviert, dann wird für die Passworteingabe die Groß/Kleinschreibung berücksichtigt.<br>
(memberOf=<MemberOf-Such-DN>,<Basis-Such-DN>))
Damit die Anmeldung dann noch möglich ist, muss das Passwort groß geschrieben werden.<br>
</div>


==Weiterführende Links==
==Weiterführende Links==
[[Login mit Windows Benutzer]]
[[Login mit Windows Benutzer]]


[[Kategorie:Funktionsübersicht]]
[[Kategorie:Funktionsübersicht]]
[[Kategorie:Benutzerrechte verwalten]]
[[Kategorie:Benutzerrechte verwalten]]
== Fußnoten ==

Aktuelle Version vom 19. Januar 2023, 15:21 Uhr

Die LDAP-Benutzerverifizierung ist eine Programmfunktion die es ermöglicht, den Benutzernamen und das Passwort eines Alex®-Benutzers über einen vorhandenen LDAP-Server auf Korrektheit zu überprüfen.

Funktionsbeschreibung

Um die LDAP-Benutzerverifizierung verwenden zu können

  • muss ein LDAP-Server zur Verfügung stehen.
  • müssen die Alex®-Benutzernamen mit den Benutzern in LDAP ident sein

Die Anmelde-Domain des Benutzers muss weggelassen werden. Wenn sich der Benutzer in Windows mit DomainName\user anmeldet, muss dessen Alex®-Benutzername user sein.

Falls eine Anpassung der Benutzernamen vonnöten ist, kann sie über einen Eigenschaften-Import erfolgen.

Der SUPERVISOR Benutzer ist von der LDAP-Benutzerverifizierung ausgenommen. Er kann sich immer anmelden.

Testumgebung

Die LDAP-Benutzerverifizierung kann auf einem Alex®-Testsystem getestet werden, bevor sie in eine Echtumgebung übernommen wird.

Parametrierungsrichtlinien

Übersicht - Einstellungen
LDAP-Einstellungen.png

Damit die Einstellungen übernommen werden, muss der Alex®-Dienst neu gestartet werden.

Die LDAP-Benutzerverifizierung wird über Systemeinstellungen: LDAP Einstellungen konfiguriert.

Eigenschaft Beschreibung
User über LDAP verifizieren Aktivieren und deaktivieren der Programmfunktion
SSL verwenden (LDAPS) Aktivieren und deaktivieren der Verbindung über SSL.
Domäne Anmelde-Domain die dem Benutzer vorangestellt ist.
Host Hostname oder die IP des LDAP-Servers.
Port Port des LDAP-Servers. Der Standard-Port für LDAP ist 389 und für LDAPS 636.
Basis-Such-DN optional: Basis-Suchpfad im LDAP-Verzeichnis
MemberOf-Such-DN optional: Gruppe der Benutzer in der gesucht werden soll

Filterung auf Benutzergruppen [1]

Mit Hilfe der Parameter Basis-Such-DN und MemberOf-Such-DN kann geprüft werden, ob der Benutzer einer definierten Benutzergruppe zugewiesen ist. Falls nicht, darf dieser Benutzer nicht in Alex® einsteigen.

Mit den beiden Parametern wird eine LDAP-Suche auf dem Basis-Such-DN mit folgenden Suchkriterien durchgeführt:

(&(objectCategory=User)
(sAMAccountName=<Alex-Benutzername>)
(memberOf=<MemberOf-Such-DN>,<Basis-Such-DN>))

Weiterführende Links

Login mit Windows Benutzer

Fußnoten