LDAP-Benutzerverifizierung: Unterschied zwischen den Versionen

Keine Bearbeitungszusammenfassung
Markierung: 2017-Quelltext-Bearbeitung
Keine Bearbeitungszusammenfassung
Markierung: 2017-Quelltext-Bearbeitung
Zeile 1: Zeile 1:
Die '''LDAP-Benutzerverifizierung''' ist eine [[Programmfunktion]] die es ermöglicht, den Benutzernamen und das Passwort eines {{Alex}}-Benutzers über einen vorhandenen LDAP-Server auf Korrektheit zu überprüfen.
Die '''LDAP-Benutzerverifizierung''' ist eine [[Programmfunktion]] die es ermöglicht, den Benutzernamen und das Passwort eines {{Alex}}-Benutzers über einen vorhandenen LDAP-Server auf Korrektheit zu überprüfen.


==Testen der LDAP-Verifizierung==
== Funktionsbeschreibung ==
Es wird empfohlen, die Einrichtung von LDAP auf einem {{Alex}}-Testsystem auszuprobieren.<span><span /><span /><br /></span>
Bei Konfigurationsfehlern kann man sich selbst und alle anderen Benutzer aus {{Alex}} aussperren.


==Notwendige Voraussetzungen==
Um die '''LDAP-Benutzerverifizierung''' verwenden zu können
Die {{Alex}}-Benutzer müssen denselben Namen haben wie die Benutzer in LDAP.<span><span /><span /><br /></span>
* muss ein LDAP-Server zur Verfügung stehen.
Wenn sich der Benutzer in Windows mit <code>DomainName\user123</code> anmeldet, muss dessen {{Alex}}-Benutzername <code>user123</code> sein.<span><span /><span /><br /></span>
* müssen die {{Alex}}-Benutzer denselben Namen haben wie die Benutzer in LDAP.
Die Anpassung der Benutzernamen kann auch über einen [[Eigenschaften_importieren|Import]] erfolgen.


==Einrichtung==
Die Anmelde-Domain des Benutzers muss weggelassen werden.
{{AlexBild |Übersicht - Einstellungen|[[Datei:LDAP-Einstellungen.png|500px|frame]]|}}
Wenn sich der Benutzer in Windows mit <code>DomainName\user</code> anmeldet, muss dessen {{Alex}}-Benutzername <code>user</code> sein.
Die LDAP-Verifizierung kann in ALEX über den Reiter <code>LDAP Einstellungen</code> in den Systemeinstellungen konfiguriert werden.
 
Falls eine Anpassung der Benutzernamen vonnöten ist, kann sie über einen [[Eigenschaften_importieren|Eigenschaften-Import]] erfolgen.
 
Der <code>SUPERVISOR</code> Benutzer ist von der LDAP-Benutzerverifizierung ausgenommen. Er kann sich immer anmelden.


<code>User über LDAP verifizieren</code> aktiviert die Verifizierung von Benutzern durch LDAP.
=== Testumgebung ===


<code>SSL verwenden (LDAPS)</code> Sollte nach Möglichkeit aktiviert sein, Microsoft stellt den unverschlüsselten Betrieb demnächst ein.
Die '''LDAP-Benutzerverifizierung''' kann auf einem {{Alex}}-Testsystem getestet werden, bevor sie in eine Echtumgebung übernommen wird.


<code>Domäne</code> Hier muss der Domänenname eingegeben werden, dies ist der Teil, der vor dem Benutzernamen steht. Für <code>DomainName\user123</code> wäre dies somit <code>DomainName</code>. Hier sollte der Domain-Alias verwendet werden, der "fully qualified domain name" scheint hier nicht zu funktionieren.
== Parametrierungsrichtlinien ==


<code>Host</code> Hier muss der Hostname (oder die IP) des LDAP-Servers hinterlegt werden.
{{AlexBild |Übersicht - Einstellungen|[[Datei:LDAP-Einstellungen.png|500px|frame]]|}}


<code>Port</code> Hier muss der Port des LDAP-Servers hinterlegt werden. Der Standard-Port für LDAP ist <code>389</code> und für LDAPS <code>636</code>.
Damit die Einstellungen übernommen werden, muss der {{Alex}}-Dienst neu gestartet werden.


Damit diese Einstellungen übernommen werden, ist es erforderlich, den {{Alex}}-Dienst neu zu starten.
Die LDAP-Benutzerverifizierung wird über <code>Systemeinstellungen: LDAP Einstellungen</code> konfiguriert.


<span><span /><span /><br /></span>
{| class="wikitable"
<div align="center" style="border:1px solid black; margin:5px 5px 5px 5px; padding:5 5px 5px 5px; background-color:#FFD317">
! Eigenschaft !! Beschreibung
Der <code>SUPERVISOR</code> Benutzer ist von der LDAP-Anmeldung ausgenommen.<span><span /><span /><br /></span>
|-
Das Passwort des Supervisors wird ohne aktiver LDAP-Verifizierung großgeschrieben gespeichert.<span><span /><span /><br /></span>
| <code>User über LDAP verifizieren</code> || Aktivieren und deaktivieren der Programmfunktion
Wird die LDAP-Verifizierung aktiviert, dann wird für die Passworteingabe die Groß/Kleinschreibung berücksichtigt.<span><span /><span /><br /></span>
|-
Damit die Anmeldung dann noch möglich ist, muss das Passwort groß geschrieben werden.<span><span /><span /><br /></span>
| <code>User über LDAP verifizieren</code> || Aktivieren und deaktivieren der Programmfunktion
</div>
|-
| <code>SSL verwenden (LDAPS)</code> || Aktivieren und deaktivieren der Verbindung über SSL.
|-
| <code>Domäne</code> || Anmelde-Domain die dem Benutzer vorangestellt ist.
|-
| <code>Host</code> || Hostname oder die IP des LDAP-Servers.
|-
| <code>Port</code> || Port des LDAP-Servers. Der Standard-Port für LDAP ist <code>389</code> und für LDAPS <code>636</code>.
|-
| <code>Basis-Such-DN</code> || Basis-Suchpfad im LDAP-Verzeichnis, kann entfallen.
|-
| <code>MemberOf-Such-DN</code> || Gruppe der Benutzer in der gesucht werden soll, kann entfallen.
|}


=== Filterung auf Benutzergruppen ===
=== Filterung auf Benutzergruppen <ref name="issue7560">{{githubissue|7560}}</ref>===
Mit Hilfe der Parameter  "Basis-Such-DN" und "MemberOf-Such-DN" kann optional geprüft werden, ob der Benutzer einer definierten Benutzergruppe zugewiesen ist.


''<small>Bit Factory interne Zusatzinformationen:</small>''
Mit Hilfe der Parameter <code>Basis-Such-DN<code> und <code>MemberOf-Such-DN<code> kann geprüft werden, ob der Benutzer einer definierten Benutzergruppe zugewiesen ist. Falls nicht, darf er nicht einsteigen.


* ''<small>Siehe [https://github.com/bitfactory-software/alex/issues/7560 #7560]</small>''
Mit den beiden Parametern wird eine LDAP-Suche auf dem <code>Basis-Such-DN<code> mit folgenden Suchkriterien durchgeführt:
(&(objectCategory=User)
(sAMAccountName=<Alex-Benutzername>)
(memberOf=<MemberOf-Such-DN>,<Basis-Such-DN>))


==Weiterführende Links==
==Weiterführende Links==
[[Login mit Windows Benutzer]]
[[Login mit Windows Benutzer]]


[[Kategorie:Funktionsübersicht]]
[[Kategorie:Funktionsübersicht]]
[[Kategorie:Benutzerrechte verwalten]]
[[Kategorie:Benutzerrechte verwalten]]
== Fußnoten ==

Version vom 19. Januar 2023, 14:58 Uhr

Die LDAP-Benutzerverifizierung ist eine Programmfunktion die es ermöglicht, den Benutzernamen und das Passwort eines Alex®-Benutzers über einen vorhandenen LDAP-Server auf Korrektheit zu überprüfen.

Funktionsbeschreibung

Um die LDAP-Benutzerverifizierung verwenden zu können

  • muss ein LDAP-Server zur Verfügung stehen.
  • müssen die Alex®-Benutzer denselben Namen haben wie die Benutzer in LDAP.

Die Anmelde-Domain des Benutzers muss weggelassen werden. Wenn sich der Benutzer in Windows mit DomainName\user anmeldet, muss dessen Alex®-Benutzername user sein.

Falls eine Anpassung der Benutzernamen vonnöten ist, kann sie über einen Eigenschaften-Import erfolgen.

Der SUPERVISOR Benutzer ist von der LDAP-Benutzerverifizierung ausgenommen. Er kann sich immer anmelden.

Testumgebung

Die LDAP-Benutzerverifizierung kann auf einem Alex®-Testsystem getestet werden, bevor sie in eine Echtumgebung übernommen wird.

Parametrierungsrichtlinien

Übersicht - Einstellungen
LDAP-Einstellungen.png

Damit die Einstellungen übernommen werden, muss der Alex®-Dienst neu gestartet werden.

Die LDAP-Benutzerverifizierung wird über Systemeinstellungen: LDAP Einstellungen konfiguriert.

Eigenschaft Beschreibung
User über LDAP verifizieren Aktivieren und deaktivieren der Programmfunktion
User über LDAP verifizieren Aktivieren und deaktivieren der Programmfunktion
SSL verwenden (LDAPS) Aktivieren und deaktivieren der Verbindung über SSL.
Domäne Anmelde-Domain die dem Benutzer vorangestellt ist.
Host Hostname oder die IP des LDAP-Servers.
Port Port des LDAP-Servers. Der Standard-Port für LDAP ist 389 und für LDAPS 636.
Basis-Such-DN Basis-Suchpfad im LDAP-Verzeichnis, kann entfallen.
MemberOf-Such-DN Gruppe der Benutzer in der gesucht werden soll, kann entfallen.

Filterung auf Benutzergruppen [1]

Mit Hilfe der Parameter Basis-Such-DN und MemberOf-Such-DN kann geprüft werden, ob der Benutzer einer definierten Benutzergruppe zugewiesen ist. Falls nicht, darf er nicht einsteigen.

Mit den beiden Parametern wird eine LDAP-Suche auf dem Basis-Such-DN mit folgenden Suchkriterien durchgeführt:

(&(objectCategory=User)
(sAMAccountName=<Alex-Benutzername>)
(memberOf=<MemberOf-Such-DN>,<Basis-Such-DN>))

Weiterführende Links

Login mit Windows Benutzer

Fußnoten