Buscar en: Doc:Documentación: Altium On-Prem Enterprise Server
Altium DesignerAltium 365Altium MCAD CoDesignerAltium On-Prem Enterprise ServerAltium CircuitMakerAltium CircuitStudioCompany DashboardAltium Infrastructure ServerAltium Developer Center
Ver: Version: 6.0
8.18.07.27.17.06.05.5
Close
Buscar Buscar en la documentación

Configuración de la sincronización LDAP

Updated: April 11, 2023 | Applies to version: 6.0
Now reading version 6.0. For the latest, read: Configuración de la sincronización LDAP for version 8.1
 

Parent page: Temas avanzados

Para simplificar el proceso de conexión y acceso a las redes de la empresa, el Enterprise Server facilita la compatibilidad con servicios de directorio a través de su interfaz de navegador.

Esto ofrece sincronización de usuarios del dominio basada en Lightweight Directory Access Protocol (LDAP), que consulta el servidor LDAP central de la red para recuperar información sobre la pertenencia de los usuarios del dominio a grupos y roles. Autenticar a los usuarios del dominio mediante servicios de directorio establecidos de esta forma ofrece la posibilidad de un inicio de sesión único para acceder a todos los sistemas de la empresa, incluido el Enterprise Server.

La sincronización LDAP del Enterprise Server consulta los servicios de red en función de los roles de usuario, donde se recopila la información de pertenencia a roles para la autorización de acceso de usuarios al Enterprise Server. Sondear la pertenencia al dominio a través del servicio LDAP (sincronización) permite que el sistema responda a un cambio en la configuración de un usuario del dominio dentro de un ciclo de sincronización.

Para obtener más información sobre los principios, capacidades y sintaxis de implementación de LDAP, consulte https://tools.ietf.org/html/rfc4510 y sus páginas de documentación asociadas.

Sincronización LDAP

Una sincronización LDAP permite a un administrador de un Workspace de Enterprise Server aprovechar las credenciales existentes de nombre de usuario y contraseña del dominio de red, de modo que no sea necesario crear las credenciales de usuario manualmente, una por una, en la Users página de la interfaz de navegador del Workspace. Cuando se configura correctamente, la Users página se completará automáticamente con las credenciales de usuario, lo que permitirá que cualquier usuario incluido acceda al Workspace usando su nombre de usuario y contraseña habituales de la red corporativa.

Al acceder a su Workspace, para usar sus credenciales de inicio de sesión de Windows —aprovechando la compatibilidad del Workspace con la autenticación de Windows— habilite la opción Use Windows Session (interfaz de navegador), o la opción Use Windows Session credentials (cuadro de diálogo Sign in en Altium Designer).
El Enterprise Server admite tanto Standard LDAP como LDAPS (LDAP sobre SSL).

Este artículo detalla un enfoque comprobado que se ha utilizado con éxito para configurar una sincronización LDAP en un dominio. Pruebe este enfoque al configurar una sincronización LDAP en su propio dominio.

¿Qué necesito?

LDAP Admin puede utilizarse para identificar las cadenas de consulta exactas de Grupo de usuarios y la sintaxis necesarias para configurar la página de configuración LDAP del Workspace.

Obtención de la cadena de búsqueda LDAP (Nombre distinguido)

Al configurar una tarea de sincronización LDAP a través de la interfaz basada en navegador del Workspace, debe proporcionar el Nombre distinguido LDAP (DN). Este se introduce en formato de cadena e identifica el objeto base de la búsqueda LDAP. Para obtener esta cadena, vamos a utilizar la utilidad LDAP Admin, así que primero asegúrese de descargar el archivo zip y extraer el ejecutable LdapAdmin que contiene.

Descargue y extraiga el archivo LdapAdmin.exe.
Descargue y extraiga el archivo LdapAdmin.exe.

Ejecute el ejecutable LdapAdmin.exe como administrador (simplemente haga clic derecho sobre él y seleccione Run as administrator).

Cuando se abra el panel LDAP Admin, elija Start » Connect para acceder al cuadro de diálogo Connections , luego haga doble clic en New connection para acceder al cuadro de diálogo Connection properties.

Creación de una nueva conexión dentro de la utilidad LDAP Admin.
Creación de una nueva conexión dentro de la utilidad LDAP Admin.

En la pestaña General del cuadro de diálogo Connection properties, configure la información de la conexión en relación con su dominio; un ejemplo podría ser:

  • Connection name: cualquier nombre arbitrario que se usará para el icono de la conexión.
  • Host: testsite.com
  • Port: 389
Si está configurando LDAPS (LDAP sobre SSL), entonces el puerto debe ser 636.
  • Base: DC=testsite, DC=com
  • Habilite la opción GSS-API.
Si está configurando LDAPS (LDAP sobre SSL), entonces también debe habilitar la opción SSL .
  • Account: simplemente deje habilitada la opción Use current user credentials .

Ejemplo de una conexión configurada al usar LDAP estándar. Si utiliza LDAPS (LDAP sobre SSL), cambie el puerto a 636 y habilite la opción SSL.
Ejemplo de una conexión configurada al usar LDAP estándar. Si utiliza LDAPS (LDAP sobre SSL), cambie el puerto a 636 y habilite la opción SSL.

Con las propiedades de la conexión configuradas, pulse el botón Test connection. Si todo está configurado correctamente, debería ver el mensaje Connection is successful. Haga clic en OK para terminar de crear la nueva conexión.

Ahora debe identificar la cadena que apunta al objeto base de la búsqueda LDAP. Para ello:

  1. Seleccione su conexión recién creada y haga clic en OK en el cuadro de diálogo Connections ; se mostrará la jerarquía de su dominio de red y de grupos de usuarios.
  2. Expanda la ruta de carpeta correspondiente hasta llegar a la carpeta que contiene los usuarios requeridos.
  3. Haga clic derecho sobre esta carpeta y elija el comando Search en el menú contextual. Esto abrirá el panel Search . La información clave que busca es la cadena ya completada en el campo Path . Leída de izquierda a derecha, esta cadena representa la ruta a esta carpeta de usuarios desde abajo hacia arriba, dentro de la estructura del dominio. Para nuestro ejemplo, supondremos una carpeta de usuarios específicos —Engineers— que es hija de la carpeta principal —Users. En este caso, nuestra cadena es: OU=Engineers,OU=Users,DC=testsite,DC=com.
  4. Copie y pegue esta cadena en un archivo de texto para usarla posteriormente en el proceso de configuración o, si lo prefiere, simplemente deje accesible el panel Search .

En este punto, la utilidad LDAP Admin ya no es necesaria para ningún paso adicional.

Configuración del Workspace para usar la sincronización LDAP

Ahora inicie sesión en el Workspace de destino —a través de su interfaz de navegador— como administrador. Si pretende crear automáticamente credenciales de usuario desde LDAP, probablemente querrá eliminar cualquier usuario existente creado manualmente. Así que, idealmente, comience solo con el usuario administrativo predeterminado —admin (en la página Admin - Users de la interfaz).

Ejemplo de un Workspace de destino con solo el usuario administrativo predeterminado, admin.
Ejemplo de un Workspace de destino con solo el usuario administrativo predeterminado, admin.

Si desea que los usuarios de la sincronización LDAP estén asociados a un rol específico, puede cambiar a la página Roles y crear un nuevo rol según sea necesario (por ejemplo, Electrical Designers, Mechanical Designers, PCB Specialists, etc.), dejándolo sin usuarios. El ejemplo aquí utiliza el rol predeterminado que formaba parte de los datos de ejemplo instalados, llamado Engineers.

Ahora cambie a la página LDAP Sync y haga clic en el botón (o en el enlace Create a new one en este caso) para acceder a la ventana LDAP Sync Creation.

Adición de una nueva tarea de sincronización LDAP a través de la interfaz de navegador del Workspace.
Adición de una nueva tarea de sincronización LDAP a través de la interfaz de navegador del Workspace.

Complete la siguiente información (basada en la estructura de dominio de ejemplo utilizada en la sección anterior):

General

  • Target Role: Engineers

  • Distinguished Name: OU=Engineers,OU=Users,DC=testsite,DC=com

    Esta es la cadena obtenida del campo Path del panel Search , al utilizar la utilidad LDAP Admin en la sección anterior.

  • Url: LDAP://testsite.com:389

    Si está configurando LDAPS (LDAP sobre SSL), entonces la Url en este ejemplo sería: LDAPS://testsite.com:636.

  • Scope: sub

  • Attributes: sAMAccountName

  • Filter: deje este campo en blanco para obtener todos los usuarios del grupo especificado determinado en el dominio (en el campo DN ). Si el área designada de la estructura del dominio contuviera otras agrupaciones de usuarios, podría extraer solo un subconjunto de esos usuarios usando aquí una cadena de filtrado adecuada.

    Por ejemplo, considere que hubiera un conjunto de usuarios dentro del grupo de ingenieros, reunidos para tener privilegios administrativos (CN=Administrators). Para apuntar solo a este conjunto de usuarios, y no a todos los ingenieros (dentro del área OU=Engineers de la estructura del dominio), podría escribirse una cadena de consulta que apunte a este punto de la estructura del dominio:

    (&(objectClass=user)(memberof=CN=Administrators,OU=Engineers,OU=Users,DC=testsite,DC=com))

    Aunque el campo Filter puede dejarse en blanco, devolviendo todos los usuarios a lo largo de la ruta definida por el campo DN , esto puede ser bastante peligroso. Esa ruta podría estar apuntando a un área de la estructura del dominio que contiene una enorme cantidad de usuarios y podría bloquear a toda la organización debido a la carga excesiva sobre el Enterprise Server y Active Directory. Realmente es mejor apuntar a uno o más conjuntos de usuarios específicos utilizando filtrado dedicado.

Asignación de atributos

  • First Name: givenName
  • Last Name: sn
  • Email: mail
  • User Name: sAMAccountName
  • Overwrite existing users – cuando está habilitado, la sincronización LDAP sobrescribirá los usuarios creados manualmente con los devueltos por la consulta de sincronización, siempre que los nombres de los usuarios coincidan exactamente.

Autenticación

  • User Name: domain\<your username> (p. ej. testsite\jason.howie)
  • Password: <your password>
  • User authentication type: Windows
  • Domain: testsite.com

Ejemplo de una tarea de sincronización LDAP, configurada con toda la información requerida al usar LDAP estándar. Si utiliza LDAPS (LDAP sobre SSL), la entrada Url se cambiaría a LDAPS://testsite.com:636.
Ejemplo de una tarea de sincronización LDAP, configurada con toda la información requerida al usar LDAP estándar. Si utiliza LDAPS (LDAP sobre SSL), la entrada Url se cambiaría a LDAPS://testsite.com:636.

Cuando haya terminado de introducir todos los ajustes, haga clic en . Esto iniciará el proceso de sincronización, que puede tardar uno o dos minutos mientras procesa la información que acaba de introducir.

Ahora acceda a la página Users . Esta lista ahora debería completarse con todos los usuarios según lo definido por la configuración OU=<GroupName> (consulte la imagen de ejemplo a continuación). Ahora cualquiera puede acceder al Workspace usando su inicio de sesión habitual de Windows.

Al acceder a su Workspace, para usar sus credenciales de inicio de sesión de Windows —aprovechando la compatibilidad del Workspace con la autenticación de Windows— habilite la opción Use Windows Session (interfaz de navegador), o la opción Use Windows Session credentials (cuadro de diálogo Sign in en Altium Designer).
Tenga en cuenta que se pueden agregar manualmente usuarios adicionales fuera del grupo de sincronización LDAP; por lo tanto, puede tener una combinación de usuarios creados manualmente y usuarios especificados por LDAP (creados automáticamente).

Ejemplo de carga de usuarios para un Workspace mediante una sincronización LDAP.
Ejemplo de carga de usuarios para un Workspace mediante una sincronización LDAP.

AI-LocalizedLocalizado por IA
Si encuentra un problema, seleccione el texto/imagen y presioneCtrl + Enterpara enviarnos sus comentarios.
Contenido