LDAP-Benutzerverifizierung: Unterschied zwischen den Versionen

Aktuelle Version vom 19. Januar 2023, 15:21 Uhr

Die LDAP-Benutzerverifizierung ist eine Programmfunktion die es ermöglicht, den Benutzernamen und das Passwort eines Alex^®-Benutzers über einen vorhandenen LDAP-Server auf Korrektheit zu überprüfen.

Funktionsbeschreibung

Um die LDAP-Benutzerverifizierung verwenden zu können

muss ein LDAP-Server zur Verfügung stehen.
müssen die Alex^®-Benutzernamen mit den Benutzern in LDAP ident sein

Die Anmelde-Domain des Benutzers muss weggelassen werden. Wenn sich der Benutzer in Windows mit DomainName\user anmeldet, muss dessen Alex^®-Benutzername user sein.

Falls eine Anpassung der Benutzernamen vonnöten ist, kann sie über einen Eigenschaften-Import erfolgen.

Der SUPERVISOR Benutzer ist von der LDAP-Benutzerverifizierung ausgenommen. Er kann sich immer anmelden.

Testumgebung

Die LDAP-Benutzerverifizierung kann auf einem Alex^®-Testsystem getestet werden, bevor sie in eine Echtumgebung übernommen wird.

Parametrierungsrichtlinien

Übersicht - Einstellungen

Damit die Einstellungen übernommen werden, muss der Alex^®-Dienst neu gestartet werden.

Die LDAP-Benutzerverifizierung wird über Systemeinstellungen: LDAP Einstellungen konfiguriert.

Eigenschaft	Beschreibung
`User über LDAP verifizieren`	Aktivieren und deaktivieren der Programmfunktion
`SSL verwenden (LDAPS)`	Aktivieren und deaktivieren der Verbindung über SSL.
`Domäne`	Anmelde-Domain die dem Benutzer vorangestellt ist.
`Host`	Hostname oder die IP des LDAP-Servers.
`Port`	Port des LDAP-Servers. Der Standard-Port für LDAP ist `389` und für LDAPS `636`.
`Basis-Such-DN`	optional: Basis-Suchpfad im LDAP-Verzeichnis
`MemberOf-Such-DN`	optional: Gruppe der Benutzer in der gesucht werden soll

Filterung auf Benutzergruppen ^[1]

Mit Hilfe der Parameter Basis-Such-DN und MemberOf-Such-DN kann geprüft werden, ob der Benutzer einer definierten Benutzergruppe zugewiesen ist. Falls nicht, darf dieser Benutzer nicht in Alex^® einsteigen.

Mit den beiden Parametern wird eine LDAP-Suche auf dem Basis-Such-DN mit folgenden Suchkriterien durchgeführt:

(&(objectCategory=User)
(sAMAccountName=<Alex-Benutzername>)
(memberOf=<MemberOf-Such-DN>,<Basis-Such-DN>))

Weiterführende Links

Login mit Windows Benutzer

Fußnoten

↑ #7560

[issue7560-1] #7560

[1]

@@ Zeile 1: / Zeile 1: @@
 Die '''LDAP-Benutzerverifizierung''' ist eine [[Programmfunktion]] die es ermöglicht, den Benutzernamen und das Passwort eines {{Alex}}-Benutzers über einen vorhandenen LDAP-Server auf Korrektheit zu überprüfen.
-==Testen der LDAP-Verifizierung==
+== Funktionsbeschreibung ==
-Es wird empfohlen, die Einrichtung von LDAP auf einem {{Alex}}-Testsystem auszuprobieren.<span><span /><span /><br /></span>
-Bei Konfigurationsfehlern kann man sich selbst und alle anderen Benutzer aus {{Alex}} aussperren.
-==Notwendige Voraussetzungen==
+Um die '''LDAP-Benutzerverifizierung''' verwenden zu können
-Die {{Alex}}-Benutzer müssen denselben Namen haben wie die Benutzer in LDAP.<span><span /><span /><br /></span>
+* muss ein LDAP-Server zur Verfügung stehen.
-Wenn sich der Benutzer in Windows mit <code>DomainName\user123</code> anmeldet, muss dessen {{Alex}}-Benutzername <code>user123</code> sein.<span><span /><span /><br /></span>
+* müssen die {{Alex}}-Benutzernamen mit den Benutzern in LDAP ident sein
-Die Anpassung der Benutzernamen kann auch über einen [[Eigenschaften_importieren|Import]] erfolgen.
-==Einrichtung==
+Die Anmelde-Domain des Benutzers muss weggelassen werden.
-{{AlexBild |Übersicht - Einstellungen|[[Datei:LDAP-Einstellungen.png|500px|frame]]|}}
+Wenn sich der Benutzer in Windows mit <code>DomainName\user</code> anmeldet, muss dessen {{Alex}}-Benutzername <code>user</code> sein.
-Die LDAP-Verifizierung kann in ALEX über den Reiter <code>LDAP Einstellungen</code> in den Systemeinstellungen konfiguriert werden.
+Falls eine Anpassung der Benutzernamen vonnöten ist, kann sie über einen [[Eigenschaften_importieren|Eigenschaften-Import]] erfolgen.
+Der <code>SUPERVISOR</code> Benutzer ist von der LDAP-Benutzerverifizierung ausgenommen. Er kann sich immer anmelden.
-<code>User über LDAP verifizieren</code> aktiviert die Verifizierung von Benutzern durch LDAP.
+=== Testumgebung ===
-<code>SSL verwenden (LDAPS)</code> Sollte nach Möglichkeit aktiviert sein, Microsoft stellt den unverschlüsselten Betrieb demnächst ein.
+Die '''LDAP-Benutzerverifizierung''' kann auf einem {{Alex}}-Testsystem getestet werden, bevor sie in eine Echtumgebung übernommen wird.
-<code>Domäne</code> Hier muss der Domänenname eingegeben werden, dies ist der Teil, der vor dem Benutzernamen steht. Für <code>DomainName\user123</code> wäre dies somit <code>DomainName</code>. Hier sollte der Domain-Alias verwendet werden, der "fully qualified domain name" scheint hier nicht zu funktionieren.
+== Parametrierungsrichtlinien ==
-<code>Host</code> Hier muss der Hostname (oder die IP) des LDAP-Servers hinterlegt werden.
+{{AlexBild |Übersicht - Einstellungen|[[Datei:LDAP-Einstellungen.png|500px|frame]]|}}
-<code>Port</code> Hier muss der Port des LDAP-Servers hinterlegt werden. Der Standard-Port für LDAP ist <code>389</code> und für LDAPS <code>636</code>.
+Damit die Einstellungen übernommen werden, muss der {{Alex}}-Dienst neu gestartet werden.
-Damit diese Einstellungen übernommen werden, ist es erforderlich, den {{Alex}}-Dienst neu zu starten.
+Die LDAP-Benutzerverifizierung wird über <code>Systemeinstellungen: LDAP Einstellungen</code> konfiguriert.
-<span><span /><span /><br /></span>
+{| class="wikitable" style=""
-<div align="center" style="border:1px solid black; margin:5px 5px 5px 5px; padding:5 5px 5px 5px; background-color:#FFD317">
+! Eigenschaft !! Beschreibung
-Der <code>SUPERVISOR</code> Benutzer ist von der LDAP-Anmeldung ausgenommen.<span><span /><span /><br /></span>
+|-
-Das Passwort des Supervisors wird ohne aktiver LDAP-Verifizierung großgeschrieben gespeichert.<span><span /><span /><br /></span>
+| <code>User über LDAP verifizieren</code> || Aktivieren und deaktivieren der Programmfunktion
-Wird die LDAP-Verifizierung aktiviert, dann wird für die Passworteingabe die Groß/Kleinschreibung berücksichtigt.<span><span /><span /><br /></span>
+|-
-Damit die Anmeldung dann noch möglich ist, muss das Passwort groß geschrieben werden.<span><span /><span /><br /></span>
+| <code>SSL verwenden (LDAPS)</code> || Aktivieren und deaktivieren der Verbindung über SSL.
-</div>
+|-
+| <code>Domäne</code> || Anmelde-Domain die dem Benutzer vorangestellt ist.
+|-
+| <code>Host</code> || Hostname oder die IP des LDAP-Servers.
+|-
+| <code>Port</code> || Port des LDAP-Servers. Der Standard-Port für LDAP ist <code>389</code> und für LDAPS <code>636</code>.
+|-
+| <code>Basis-Such-DN</code> || optional: Basis-Suchpfad im LDAP-Verzeichnis
+|-
+| <code>MemberOf-Such-DN</code> || optional: Gruppe der Benutzer in der gesucht werden soll
+|}
-=== Filterung auf Benutzergruppen ===
+=== Filterung auf Benutzergruppen <ref name="issue7560">{{githubissue|7560}}</ref>===
-Mit Hilfe der Parameter  "Basis-Such-DN" und "MemberOf-Such-DN" kann optional geprüft werden, ob der Benutzer einer definierten Benutzergruppe zugewiesen ist.
-''<small>Bit Factory interne Zusatzinformationen:</small>''
+Mit Hilfe der Parameter <code>Basis-Such-DN</code> und <code>MemberOf-Such-DN</code> kann geprüft werden, ob der Benutzer einer definierten Benutzergruppe zugewiesen ist. Falls nicht, darf dieser Benutzer nicht in {{Alex}} einsteigen.
-* ''<small>Siehe [https://github.com/bitfactory-software/alex/issues/7560 #7560]</small>''
+Mit den beiden Parametern wird eine LDAP-Suche auf dem <code>Basis-Such-DN</code> mit folgenden Suchkriterien durchgeführt:
+ (&(objectCategory=User)
+ (sAMAccountName=<Alex-Benutzername>)
+ (memberOf=<MemberOf-Such-DN>,<Basis-Such-DN>))
 ==Weiterführende Links==
 [[Login mit Windows Benutzer]]
 [[Kategorie:Funktionsübersicht]]
 [[Kategorie:Benutzerrechte verwalten]]
+== Fußnoten ==