LDAP-Synchronisierung konfigurieren

Parent page: Erweiterte Themen

Um den Prozess der Verbindung mit Unternehmensnetzwerken und des Zugriffs darauf zu vereinfachen, unterstützt der Enterprise Server Verzeichnisdienste über seine Browser-Oberfläche.

Dies bietet eine Synchronisierung von Domänenbenutzern auf Basis von Lightweight Directory Access Protocol (LDAP), wobei der zentrale LDAP-Server des Netzwerks abgefragt wird, um Informationen zu Benutzergruppen und Rollenzugehörigkeiten der Domäne abzurufen. Die Authentifizierung von Domänenbenutzern über etablierte Verzeichnisdienste auf diese Weise bietet das Potenzial für eine einmalige Anmeldung zum Zugriff auf alle Unternehmenssysteme, einschließlich des Enterprise Server.

Die LDAP-Synchronisierung des Enterprise Server fragt die Netzwerkdienste rollenbasiert ab, wobei Informationen zur Rollenzugehörigkeit für die Autorisierung des Benutzerzugriffs auf den Enterprise Server erfasst werden. Das Abfragen der Domänenmitgliedschaft über den LDAP-Dienst (Synchronisierung) ermöglicht es dem System, innerhalb eines Synchronisierungszyklus auf eine Änderung der Konfiguration eines Domänenbenutzers zu reagieren.

LDAP-Synchronisierung

Eine LDAP-Synchronisierung ermöglicht es einem Administrator eines Enterprise Server Workspace, die vorhandenen Benutzername-/Passwort-Anmeldedaten der Netzwerkdomäne zu nutzen, sodass Benutzeranmeldedaten nicht einzeln manuell auf der Users Seite der Browser-Oberfläche des Workspace erstellt werden müssen. Bei korrekter Einrichtung wird die Users Seite automatisch mit Benutzeranmeldedaten gefüllt, sodass jeder dort aufgeführte Benutzer mit seinem regulären Unternehmens-Benutzernamen und Passwort auf den Workspace zugreifen kann.

Dieser Artikel beschreibt einen bewährten Ansatz, der erfolgreich zum Einrichten einer LDAP-Synchronisierung in einer Domäne verwendet wurde. Probieren Sie diesen Ansatz aus, wenn Sie eine LDAP-Synchronisierung in Ihrer eigenen Domäne einrichten.

Was benötige ich?

• Administrativen Zugriff auf den Workspace.
• Optional ist ein äußerst hilfreiches Dienstprogramm eine Anwendung namens LDAP Admin (Download von LdapAdminExe-<version>.zip unter https://sourceforge.net/projects/ldapadmin/ )

Ermitteln der LDAP-Suchzeichenfolge (Distinguished Name)

Wenn Sie eine LDAP-Synchronisierungsaufgabe über die browserbasierte Oberfläche des Workspace konfigurieren, müssen Sie den LDAP Distinguished Name (DN) angeben. Dieser wird im Zeichenfolgenformat eingegeben und identifiziert das Basisobjekt der LDAP-Suche. Um diese Zeichenfolge zu erhalten, verwenden wir das Dienstprogramm LDAP Admin. Stellen Sie daher zunächst sicher, dass die ZIP-Datei heruntergeladen wurde, und extrahieren Sie die darin enthaltene ausführbare Datei LdapAdmin.

Laden Sie die Datei LdapAdmin.exe herunter und entpacken Sie sie.

Führen Sie die ausführbare Datei LdapAdmin.exe als Administrator aus (einfach mit der rechten Maustaste darauf klicken und Run as administrator auswählen).

Wenn das Fenster LDAP Admin geöffnet wird, wählen Sie Start » Connect, um auf den Dialog Connections zuzugreifen, und doppelklicken Sie dann auf New connection, um den Dialog Connection properties zu öffnen.

Erstellen einer neuen Verbindung im Dienstprogramm LDAP Admin.

Konfigurieren Sie auf der Registerkarte General des Dialogs Connection properties die Verbindungsinformationen in Bezug auf Ihre Domäne. Ein Beispiel könnte wie folgt aussehen:

• Connection name: einfach ein beliebiger Name für das Verbindungssymbol.
• Host: testsite.com
• Port: 389

• Base: DC=testsite, DC=com
• Aktivieren Sie die Option GSS-API.

• Account: Lassen Sie einfach die Option Use current user credentials aktiviert.

Beispiel einer konfigurierten Verbindung bei Verwendung von Standard-LDAP. Wenn Sie LDAPS (LDAP über SSL) verwenden, ändern Sie den Port auf 636 und aktivieren Sie die Option SSL.

Nachdem die Verbindungseigenschaften konfiguriert wurden, klicken Sie auf die Schaltfläche Test connection. Wenn alles korrekt eingerichtet ist, sollte die Meldung Connection is successful angezeigt werden. Klicken Sie auf OK , um das Erstellen der neuen Verbindung abzuschließen.

Nun müssen Sie die Zeichenfolge ermitteln, die auf das Basisobjekt der LDAP-Suche verweist. Gehen Sie dazu wie folgt vor:

1. Wählen Sie Ihre neu erstellte Verbindung aus und klicken Sie im Dialog Connections auf OK – Ihre Netzwerkdomäne und die Hierarchie der Benutzergruppen werden angezeigt.
2. Erweitern Sie den relevanten Ordnerpfad, bis Sie zu dem Ordner gelangen, der die benötigten Benutzer enthält.
3. Klicken Sie mit der rechten Maustaste auf diesen Ordner und wählen Sie im Kontextmenü den Befehl Search . Dadurch wird das Fenster Search geöffnet. Die entscheidende Information ist die Zeichenfolge, die bereits im Feld Path eingetragen ist. Von links nach rechts gelesen stellt diese Zeichenfolge den Pfad zu diesem Benutzerordner innerhalb der Domänenstruktur von unten nach oben dar. Für unser Beispiel nehmen wir einen Ordner mit bestimmten Benutzern an – Engineers –, der ein Unterordner des übergeordneten Ordners – Users – ist. In diesem Fall lautet unsere Zeichenfolge: OU=Engineers,OU=Users,DC=testsite,DC=com.
4. Kopieren Sie diese Zeichenfolge und fügen Sie sie zur späteren Verwendung im Konfigurationsprozess in eine Textdatei ein, oder lassen Sie das Fenster Search optional einfach geöffnet.

An diesem Punkt wird das Dienstprogramm LDAP Admin für die weiteren Schritte nicht mehr benötigt.

Konfigurieren des Workspace für die Verwendung der LDAP-Synchronisierung

Melden Sie sich nun über die Browser-Oberfläche als Administrator beim Ziel-Workspace an. Wenn Sie Benutzeranmeldedaten automatisch aus LDAP erstellen möchten, sollten Sie wahrscheinlich alle vorhandenen manuell erstellten Benutzer entfernen. Idealerweise beginnen Sie also nur mit dem standardmäßigen administrativen Benutzer – admin (auf der Seite Admin - Users der Oberfläche).

Beispiel eines Ziel-Workspace mit nur dem standardmäßigen administrativen Benutzer admin.

Wenn Sie möchten, dass die Benutzer aus der LDAP-Synchronisierung einer bestimmten Rolle zugeordnet werden, können Sie zur Seite Roles wechseln und nach Bedarf eine neue Rolle erstellen (z. B. Electrical Designers, Mechanical Designers, PCB Specialists usw.), wobei diese zunächst keine Benutzer enthält. Das Beispiel hier verwendet die Standardrolle aus den installierten Beispieldaten mit dem Namen Engineers.

Wechseln Sie nun zur Seite LDAP Sync und klicken Sie auf die Schaltfläche (oder in diesem Fall auf den Link Create a new one), um das Fenster LDAP Sync Creation zu öffnen.

Hinzufügen einer neuen LDAP-Synchronisierungsaufgabe über die Browser-Oberfläche des Workspace.

Füllen Sie die folgenden Informationen aus (basierend auf der im vorherigen Abschnitt verwendeten Beispiel-Domänenstruktur):

Allgemein

• Target Role: Engineers

• Distinguished Name: OU=Engineers,OU=Users,DC=testsite,DC=com

  Dies ist die Zeichenfolge, die aus dem Feld Path des Fensters Search stammt, wenn im vorherigen Abschnitt das Dienstprogramm LDAP Admin verwendet wurde.

• Url: LDAP://testsite.com:389

  Wenn Sie für LDAPS (LDAP über SSL) konfigurieren, würde der Eintrag Url in diesem Beispiel wie folgt lauten: LDAPS://testsite.com:636.

• Scope: sub

• Attributes: sAMAccountName

• Filter: Lassen Sie dieses Feld leer, um alle Benutzer aus der angegebenen Gruppe abzurufen, die in der Domäne bestimmt wurde (im Feld DN ). Wenn der angegebene Bereich der Domänenstruktur weitere Benutzergruppierungen enthalten würde, könnten Sie hier mithilfe einer geeigneten Filterzeichenfolge nur eine Teilmenge dieser Benutzer extrahieren.

  Betrachten Sie beispielsweise den Fall, dass es unter der Gruppe der Engineers eine Gruppe von Benutzern mit administrativen Rechten gegeben hätte (CN=Administrators). Um nur diese Benutzergruppe und nicht alle Engineers (unter dem Bereich OU=Engineers der Domänenstruktur) anzusprechen, könnte eine Abfragezeichenfolge geschrieben werden, die genau auf diesen Punkt in der Domänenstruktur abzielt:

  (&(objectClass=user)(memberof=CN=Administrators,OU=Engineers,OU=Users,DC=testsite,DC=com))

  Obwohl das Feld Filter leer gelassen werden kann und dann alle Benutzer entlang des durch das Feld DN definierten Pfads zurückgegeben werden, kann dies ziemlich gefährlich sein. Dieser Pfad könnte auf einen Bereich der Domänenstruktur verweisen, der eine sehr große Anzahl von Benutzern enthält, und aufgrund der übermäßigen Last auf dem Enterprise Server und Active Directory die gesamte Organisation blockieren. Es ist wirklich besser, eine oder mehrere Gruppen spezifischer Benutzer mithilfe gezielter Filterung anzusprechen.

Attributzuordnung

• First Name: givenName
• Last Name: sn
• Email: mail
• User Name: sAMAccountName
• Overwrite existing users – wenn diese Option aktiviert ist, überschreibt die LDAP-Synchronisierung manuell erstellte Benutzer mit den durch die Synchronisierungsabfrage zurückgegebenen Benutzern, sofern die Benutzernamen exakt übereinstimmen.

Authentifizierung

• User Name: domain\<your username> (z. B. testsite\jason.howie)
• Password: <your password>
• User authentication type: Windows
• Domain: testsite.com

Beispiel einer LDAP-Synchronisierungsaufgabe, die bei Verwendung von Standard-LDAP mit allen erforderlichen Informationen konfiguriert ist. Wenn Sie LDAPS (LDAP über SSL) verwenden, würde der Eintrag Url in LDAPS://testsite.com:636 geändert.

Nachdem Sie alle Einstellungen eingegeben haben, klicken Sie auf . Dadurch wird der Synchronisierungsvorgang gestartet, der ein oder zwei Minuten dauern kann, während die soeben eingegebenen Informationen verarbeitet werden.

Öffnen Sie nun die Seite Users . Diese Liste sollte jetzt mit allen Benutzern gefüllt sein, wie durch die Einstellung OU=<GroupName> definiert (siehe Beispielbild unten). Nun kann jeder mit seinem regulären Windows-Login auf den Workspace zugreifen.

Beispiel für die Befüllung eines Workspace mit Benutzern durch Verwendung einer LDAP-Synchronisierung.