LDAP-Synchronisierung konfigurieren

Updated: January 18, 2018

Um den Prozess der Verbindung mit Unternehmensnetzwerken und des Zugriffs darauf zu vereinfachen, unterstützt der Altium Infrastructure Server Verzeichnisdienste über seine Browser-Oberfläche.

Dies bietet eine Synchronisierung von Domänenbenutzern auf Basis von Lightweight Directory Access Protocol (LDAP), wobei der zentrale LDAP-Server des Netzwerks abgefragt wird, um Informationen zu Domänen-Benutzergruppen und Rollenzugehörigkeiten abzurufen. Die Authentifizierung von Domänenbenutzern über etablierte Verzeichnisdienste auf diese Weise bietet das Potenzial für eine einmalige Anmeldung zum Zugriff auf alle Unternehmenssysteme, einschließlich des Altium Infrastructure Server.

Die LDAP-Synchronisierung des Infrastructure Server fragt die Netzwerkdienste rollenbasiert ab, wobei Informationen zur Rollenzugehörigkeit für die Autorisierung des Benutzerzugriffs auf den Infrastructure Server erfasst werden. Das Abfragen der Domänenmitgliedschaft über den LDAP-Dienst (Synchronisierung) ermöglicht es dem System, innerhalb eines Synchronisierungszyklus auf Änderungen an der Konfiguration eines Domänenbenutzers zu reagieren.

Für weitere Informationen zu den LDAP-Prinzipien, -Funktionen und der Implementierungssyntax siehe https://tools.ietf.org/html/rfc4510 und die dazugehörigen Dokumentationsseiten.

LDAP-Synchronisierung

Eine LDAP-Synchronisierung ermöglicht es dem Administrator eines Altium Infrastructure Server, die vorhandenen Benutzername-/Passwort-Anmeldedaten der Netzwerkdomäne zu nutzen, sodass Benutzeranmeldedaten nicht manuell einzeln auf der USERS Seite der browserbasierten Oberfläche des Infrastructure Server erstellt werden müssen. Bei korrekter Einrichtung wird die USERS Seite automatisch mit Benutzeranmeldedaten gefüllt, sodass sich jeder dort aufgeführte Benutzer mit seinem regulären Benutzernamen und Passwort des Unternehmensnetzwerks am Altium Infrastructure Server anmelden kann.

Um sich mit Ihren Windows-Anmeldedaten beim Infrastructure Server anzumelden und dabei die Unterstützung des Infrastructure Server für die Windows-Authentifizierung zu nutzen, aktivieren Sie die Option Use Windows Session credentials.

Der Altium Infrastructure Server unterstützt sowohl Standard LDAP als auch LDAPS (LDAP über SSL).

Dieser Artikel beschreibt einen bewährten Ansatz, der erfolgreich bei der Einrichtung einer LDAP-Synchronisierung in einer Domäne verwendet wurde. Probieren Sie diesen Ansatz aus, wenn Sie eine LDAP-Synchronisierung in Ihrer eigenen Domäne einrichten.

Was benötige ich?

Administrativen Zugriff auf den Altium Infrastructure Server.
Optional ist ein äußerst hilfreiches Dienstprogramm eine Anwendung namens LDAP Admin (Download von LdapAdminExe-<version>.zip unter http://www.ldapadmin.org/)

LDAP AdminLDAP Admin kann verwendet werden, um die exakten Abfragezeichenfolgen und die Syntax für Benutzergruppen zu ermitteln, die zur Konfiguration der LDAP-Einrichtungsseite des Altium Infrastructure Server erforderlich sind.

Ermitteln der LDAP-Suchzeichenfolge (Distinguished Name)

Wenn Sie eine LDAP-Synchronisierungsaufgabe über die browserbasierte Oberfläche des Altium Infrastructure Server konfigurieren, müssen Sie den LDAP Distinguished Name (DN) angeben. Dieser wird im Zeichenfolgenformat eingegeben und identifiziert das Basisobjekt der LDAP-Suche. Um diese Zeichenfolge zu erhalten, verwenden wir das Dienstprogramm LDAP Admin, stellen Sie also zunächst sicher, dass die ZIP-Datei heruntergeladen wurde, und extrahieren Sie die darin enthaltene ausführbare Datei LdapAdmin.

Laden Sie die Datei LdapAdmin.exe herunter und entpacken Sie sie.

Führen Sie die ausführbare Datei LdapAdmin.exe als Administrator aus (einfach mit der rechten Maustaste darauf klicken und Run as administrator auswählen).

Wenn das Fenster LDAP Admin geöffnet wird, wählen Sie Start » Connect, um auf den Dialog Connections zuzugreifen, und doppelklicken Sie dann auf New connection, um den Dialog Connection properties zu öffnen.

Erstellen einer neuen Verbindung im Dienstprogramm LDAP Admin.

Konfigurieren Sie auf der Registerkarte General des Dialogs Connection properties die Verbindungsinformationen für Ihre Domäne. Ein Beispiel könnte wie folgt aussehen:

Connection name: einfach ein beliebiger Name, der für das Verbindungssymbol verwendet wird.
Host: testsite.com
Port: 389

Wenn Sie LDAPS (LDAP über SSL) konfigurieren, muss der Port 636 sein.

Base: DC=testsite, DC=com
Aktivieren Sie die Option GSS-API.

Wenn Sie LDAPS (LDAP über SSL) konfigurieren, müssen Sie außerdem die Option SSL aktivieren.

Account: Lassen Sie einfach die Option Use current user credentials aktiviert.

Ein Beispiel für eine konfigurierte Verbindung bei Verwendung von Standard-LDAP. Wenn Sie LDAPS (LDAP über SSL) verwenden,
ändern Sie den Port auf 636 und aktivieren Sie die Option SSL.

Wenn die Verbindungseigenschaften konfiguriert sind, drücken Sie die Schaltfläche Test connection. Wenn alles korrekt eingerichtet ist, sollten Sie die Meldung Connection is successful sehen. Klicken Sie auf OK , um das Erstellen der neuen Verbindung abzuschließen.

Nun müssen Sie die Zeichenfolge ermitteln, die auf das Basisobjekt der LDAP-Suche verweist. Gehen Sie dazu wie folgt vor:

Wählen Sie Ihre neu erstellte Verbindung aus und klicken Sie im Dialog Connections auf OK – Ihre Netzwerkdomäne und die Hierarchie der Benutzergruppen werden angezeigt.
Erweitern Sie den relevanten Ordnerpfad, bis Sie zu dem Ordner gelangen, der die benötigten Benutzer enthält.
Klicken Sie mit der rechten Maustaste auf diesen Ordner und wählen Sie im Kontextmenü den Befehl Search . Dadurch wird das Fenster Search geöffnet. Die entscheidende Information ist die Zeichenfolge, die bereits im Feld Path eingetragen ist. Von links nach rechts gelesen stellt diese Zeichenfolge den Pfad zu diesem Benutzerordner innerhalb der Domänenstruktur von unten nach oben dar. Für unser Beispiel nehmen wir einen Ordner mit bestimmten Benutzern an – Managers –, der ein Unterordner des übergeordneten Ordners Users ist. In diesem Fall lautet unsere Zeichenfolge: OU=Managers,OU=Users,DC=testsite,DC=com.
Kopieren Sie diese Zeichenfolge und fügen Sie sie zur späteren Verwendung im Konfigurationsprozess in eine Textdatei ein, oder lassen Sie das Fenster Search optional einfach geöffnet.

An diesem Punkt wird das Dienstprogramm LDAP Admin für die weiteren Schritte nicht mehr benötigt.

Konfigurieren eines Altium Infrastructure Server für die Verwendung der LDAP-Synchronisierung

Konzentrieren wir uns nun auf den Altium Infrastructure Server. Melden Sie sich über seine browserbasierte Oberfläche als Administrator am Ziel-Altium Infrastructure Server an. Wenn Sie Benutzeranmeldedaten automatisch aus LDAP erstellen möchten, sollten Sie wahrscheinlich alle vorhandenen manuell erstellten Benutzer entfernen. Idealerweise beginnen Sie also nur mit den Standardbenutzern der Administratorrolle – admin und System.

Ein Beispiel für einen Ziel-Altium Infrastructure Server mit nur den beiden standardmäßigen administrativen Benutzern admin und System.

Wenn Sie möchten, dass die Benutzer aus der LDAP-Synchronisierung einer bestimmten Rolle zugeordnet werden, können Sie zur Registerkarte Roles wechseln und nach Bedarf eine neue Rolle erstellen, die zunächst keine Benutzer enthält. Für unser Beispiel erstellen wir eine Rolle namens Managers.

Wechseln Sie nun zur Registerkarte LDAP Sync und klicken Sie auf die Schaltfläche , um den Dialog Add LDAP Sync Task zu öffnen.

Hinzufügen einer neuen LDAP-Synchronisierungsaufgabe über die browserbasierte Oberfläche des Infrastructure Server.

Füllen Sie die folgenden Informationen aus (basierend auf unserer Beispiel-Domänenstruktur aus dem vorherigen Abschnitt):

Allgemein

Target Role: Managers
Url: LDAP://testsite.com:389

Wenn Sie LDAPS (LDAP über SSL) konfigurieren, wäre der Url in diesem Beispiel: LDAPS://testsite.com:636.

DN: OU=Managers,OU=Users,DC=testsite,DC=com

Dies ist die Zeichenfolge, die aus dem Feld Path des Fensters Search stammt, wenn das Dienstprogramm LDAP Admin im vorherigen Abschnitt verwendet wurde.

Filter: Lassen Sie dieses Feld leer, um alle Benutzer aus der angegebenen Gruppe zu übernehmen, die in der Domäne bestimmt wurde (im Feld DN ). Wenn der angegebene Bereich der Domänenstruktur weitere Benutzergruppierungen enthält, könnten Sie hier mithilfe einer geeigneten Filterzeichenfolge nur eine Teilmenge dieser Benutzer extrahieren.

Betrachten Sie beispielsweise den Fall, dass es unter der Gruppe der Manager eine Gruppe von Benutzern mit administrativen Rechten gäbe (CN=Administrators). Um nur diese Benutzergruppe und nicht alle Manager (unter dem Bereich OU=Managers der Domänenstruktur) anzusprechen, könnte eine Abfragezeichenfolge geschrieben werden, die genau auf diesen Punkt in der Domänenstruktur abzielt:

(&(objectClass=user)(memberof=CN=Administrators,OU=Managers,OU=Users,DC=testsite,DC=com))

Obwohl das Feld Filter leer bleiben kann und dann alle Benutzer entlang des durch das Feld DN definierten Pfads zurückgegeben werden, kann dies ziemlich gefährlich sein. Dieser Pfad könnte auf einen Bereich der Domänenstruktur verweisen, der eine sehr große Anzahl von Benutzern enthält, und aufgrund der übermäßigen Last auf dem Altium Infrastructure Server und Active Directory die gesamte Organisation blockieren. Es ist wirklich besser, eine oder mehrere Gruppen bestimmter Benutzer mithilfe gezielter Filterung anzusprechen. Weitere Informationen zu LDAP-Abfragen, mit denen bestimmte Benutzergruppen angesprochen werden können, finden Sie unter den folgenden Links:

Häufige LDAP-Abfragen – insbesondere die Abfragen, die sich auf Benutzer beziehen. Diese Seite ist tatsächlich Teil eines detaillierten Handbuchs von Google zu Google Apps Directory Sync, ist aber für LDAP-bezogene Themenbereiche nützlich.
Grundlagen von LDAP-Abfragen

Scope: sub
Attributes: sAMAccountName

Authentifizierung

User Name: domain\<your username> (z. B. testsite\jason.howie)
Password: <your password>

Attributzuordnung

First Name: givenName
Last Name: sn
Email: mail
User Name: sAMAccountName

Benutzerauthentifizierungstyp

Radio button: Windows
Domain: testsite.com

Beispiel einer LDAP-Synchronisierungsaufgabe, konfiguriert mit allen erforderlichen Informationen bei Verwendung von Standard-LDAP. Bei Verwendung von LDAPS (LDAP über SSL) würde der Eintrag Url
in LDAPS://testsite.com:636 geändert.

Wenn Sie alle Einstellungen eingegeben haben, klicken Sie auf . Dadurch wird der Synchronisierungsvorgang gestartet, der ein oder zwei Minuten dauern kann, während die soeben eingegebenen Informationen verarbeitet werden. Beobachten Sie die Statusmeldungen der Synchronisierung oben auf der Seite LDAP Sync, um zu sehen, wann der Vorgang abgeschlossen ist.

Klicken Sie nun auf die Registerkarte Users . Diese Liste sollte jetzt mit allen Benutzern gefüllt sein, wie durch die Einstellung OU=<GroupName> definiert (siehe Beispielbild unten). Nun kann sich jeder mit seinem regulären Windows-Login am Altium Infrastructure Server anmelden.

Um sich mit Ihren Windows-Anmeldedaten am Infrastructure Server anzumelden und dabei die Unterstützung des Infrastructure Server für die Windows-Authentifizierung zu nutzen, aktivieren Sie die Option Use Windows Session credentials.

Bitte beachten Sie, dass zusätzliche Benutzer auch manuell außerhalb der LDAP-Synchronisierungsgruppe hinzugefügt werden können – Sie können also durchaus eine Mischung aus manuell erstellten Benutzern und LDAP-spezifizierten (automatisch erstellten) Benutzern haben.

Beispiel für die Benutzerbefüllung eines Altium Infrastructure Server durch die Verwendung einer LDAP-Synchronisierung.