Konfigurowanie synchronizacji LDAP

Created: luty 20, 2025 | Updated: luty 20, 2025 | Applies to versions: 7.2 and 8.0

Aby uprościć proces łączenia się z sieciami firmowymi i uzyskiwania do nich dostępu, Enterprise Server umożliwia obsługę usług katalogowych za pośrednictwem interfejsu przeglądarkowego.

Zapewnia to synchronizację użytkowników domeny w oparciu o Lightweight Directory Access Protocol (LDAP), który odpytuje centralny serwer LDAP w sieci w celu pobrania informacji o przynależności użytkowników domeny do grup i ról. Uwierzytelnianie użytkowników domeny w ten sposób, poprzez istniejące usługi katalogowe, daje możliwość pojedynczego logowania do wszystkich systemów firmowych, w tym do Enterprise Server.

Synchronizacja LDAP w Enterprise Server odpytuje usługi sieciowe na podstawie ról użytkowników, gdzie informacje o przynależności do ról są zbierane na potrzeby autoryzacji dostępu użytkowników do Enterprise Server. Odpytywanie członkostwa w domenie przez usługę LDAP (synchronizacja) pozwala systemowi reagować na zmianę konfiguracji użytkownika domenowego w ramach cyklu synchronizacji.

Aby uzyskać więcej informacji o zasadach LDAP, możliwościach i składni implementacji, zobacz https://tools.ietf.org/html/rfc4510 oraz powiązane strony dokumentacji.

LDAP Sync

LDAP Sync umożliwia administratorowi Workspace w Enterprise Server wykorzystanie istniejących w domenie sieciowej poświadczeń (nazwa użytkownika i hasło), dzięki czemu nie trzeba ręcznie tworzyć poświadczeń użytkowników pojedynczo na Users stronie interfejsu przeglądarkowego Workspace. Po poprawnej konfiguracji Users strona zostanie automatycznie wypełniona poświadczeniami użytkowników, umożliwiając każdej wymienionej osobie dostęp do Workspace przy użyciu standardowej firmowej nazwy użytkownika i hasła.

Podczas uzyskiwania dostępu do Workspace, aby użyć poświadczeń logowania do Windows – korzystając z obsługi uwierzytelniania Windows w Workspace – włącz opcję Use Windows Session (interfejs przeglądarkowy) lub opcję Use Windows Session credentials (okno dialogowe Sign in w Altium Designer).

Enterprise Server obsługuje zarówno Standard LDAP, jak i LDAPS (LDAP przez SSL).

W tym artykule opisano sprawdzone podejście, które z powodzeniem zastosowano przy konfigurowaniu LDAP Sync w domenie. Wypróbuj to podejście podczas konfigurowania LDAP Sync we własnej domenie.

Czego potrzebuję?

Dostępu administracyjnego do Workspace.
Opcjonalnie, niezwykle pomocnym narzędziem jest aplikacja o nazwie LDAP Admin (pobierz LdapAdminExe-<version>.zip z https://sourceforge.net/projects/ldapadmin/ )

LDAP Admin która może zostać użyta do zidentyfikowania dokładnych ciągów zapytań do grup użytkowników oraz składni wymaganej do skonfigurowania strony ustawień LDAP w Workspace.

Uzyskiwanie ciągu wyszukiwania LDAP (Distinguished Name)

Podczas konfigurowania zadania LDAP Sync przez interfejs przeglądarkowy Workspace musisz podać LDAP Distinguished Name (DN). Wprowadza się go w formacie tekstowym i identyfikuje on obiekt bazowy wyszukiwania LDAP. Aby uzyskać ten ciąg, użyjemy narzędzia LDAP Admin, więc najpierw upewnij się, że plik zip został pobrany, a następnie wypakuj znajdujący się w nim plik wykonywalny LdapAdmin.

Pobierz i wypakuj plik LdapAdmin.exe.

Uruchom plik wykonywalny LdapAdmin.exe jako Administrator (wystarczy kliknąć prawym przyciskiem i wybrać Run as administrator).

Gdy otworzy się panel LDAP Admin, wybierz Start » Connect, aby przejść do okna dialogowego Connections , a następnie kliknij dwukrotnie New connection, aby przejść do okna dialogowego Connection properties.

Tworzenie nowego połączenia w narzędziu LDAP Admin.

Na karcie General w oknie dialogowym Connection properties skonfiguruj informacje o połączeniu odpowiednio do swojej domeny, np.:

Connection name: dowolna nazwa, która będzie używana dla ikony połączenia.
Host: testsite.com
Port: 389

Jeśli konfigurujesz LDAPS (LDAP przez SSL), port musi wynosić 636.

Base: DC=testsite, DC=com
Włącz opcję GSS-API.

Jeśli konfigurujesz LDAPS (LDAP przez SSL), musisz również włączyć opcję SSL .

Account: pozostaw włączoną opcję Use current user credentials .

Przykładowe skonfigurowane połączenie przy użyciu standardowego LDAP. Jeśli używasz LDAPS (LDAP przez SSL), zmień Port na 636 i włącz opcję SSL.

Po skonfigurowaniu właściwości połączenia naciśnij przycisk Test connection. Jeśli wszystko jest ustawione poprawnie, powinien pojawić się komunikat Connection is successful. Kliknij OK , aby zakończyć tworzenie nowego połączenia.

Teraz musisz zidentyfikować ciąg wskazujący obiekt bazowy wyszukiwania LDAP. Aby to zrobić:

Wybierz nowo utworzone połączenie i kliknij OK w oknie dialogowym Connections – zostanie wyświetlona domena sieciowa oraz hierarchia grup użytkowników.
Rozwiń odpowiednią ścieżkę folderów, aż dojdziesz do folderu zawierającego wymaganych użytkowników.
Kliknij prawym przyciskiem ten folder i wybierz polecenie Search z menu kontekstowego. Otworzy to panel Search . Kluczową informacją jest ciąg już wypełniony w polu Path . Czytany od lewej do prawej, ciąg ten reprezentuje ścieżkę do tego folderu użytkowników „od dołu do góry” w strukturze domeny. W naszym przykładzie załóżmy folder określonych użytkowników – Engineers – będący elementem podrzędnym folderu nadrzędnego – Users. W tym przypadku nasz ciąg to: OU=Engineers,OU=Users,DC=testsite,DC=com.
Skopiuj i wklej ten ciąg do pliku tekstowego do późniejszego użycia w procesie konfiguracji lub opcjonalnie pozostaw panel Search otwarty.

Na tym etapie narzędzie LDAP Admin nie jest już potrzebne do dalszych kroków.

Konfigurowanie Workspace do użycia LDAP Sync

Teraz zaloguj się do docelowego Workspace – przez interfejs przeglądarkowy – jako Administrator. Jeśli zamierzasz automatycznie tworzyć poświadczenia użytkowników z LDAP, prawdopodobnie zechcesz usunąć wszystkich istniejących użytkowników utworzonych ręcznie. Najlepiej więc zacząć tylko od domyślnego użytkownika administracyjnego – admin (na stronie Admin - Users interfejsu).

Przykładowy docelowy Workspace, zawierający tylko domyślnego użytkownika administracyjnego admin.

Jeśli chcesz, aby użytkownicy z LDAP Sync byli powiązani z konkretną grupą, możesz przejść na stronę Groups i utworzyć nową grupę według potrzeb (np. Electrical Designers, Mechanical Designers, PCB Specialists itd.), pozostawiając ją bez użytkowników. W tym przykładzie użyto domyślnej grupy, która była częścią zainstalowanych danych przykładowych, o nazwie Engineers.

Teraz przejdź na stronę LDAP Sync i kliknij przycisk (lub w tym przypadku łącze Create a new one), aby otworzyć okno LDAP Sync Creation.

Dodawanie nowego zadania LDAP Sync przez interfejs przeglądarkowy Workspace.

Wypełnij następujące informacje (na podstawie przykładowej struktury domeny użytej w poprzedniej sekcji):

Ogólne

Target Role: Engineers
Distinguished Name: OU=Engineers,OU=Users,DC=testsite,DC=com

Jest to ciąg uzyskany z pola Path w panelu Search , podczas używania narzędzia LDAP Admin w poprzedniej sekcji.
Url: LDAP://testsite.com:389

Jeśli konfigurujesz LDAPS (LDAP przez SSL), wówczas Url w tym przykładzie będzie wynosić: LDAPS://testsite.com:636.
Scope: sub
Attributes: sAMAccountName
Filter: pozostaw to pole puste, aby pobrać wszystkich użytkowników z określonej grupy wskazanej w domenie (w polu DN ). Jeśli wskazany obszar struktury domeny zawierałby dalsze podgrupy użytkowników, możesz wyodrębnić tylko podzbiór tych użytkowników, stosując tutaj odpowiedni ciąg filtrujący.

Na przykład, załóżmy, że istniałby zestaw użytkowników w grupie Engineers, zebranych w celu nadania uprawnień administracyjnych (CN=Administrators). Aby wskazać tylko ten zestaw użytkowników, a nie wszystkich Engineers (w obszarze OU=Engineers struktury domeny), można napisać ciąg zapytania, który celuje w ten punkt struktury domeny:

(&(objectClass=user)(memberof=CN=Administrators,OU=Engineers,OU=Users,DC=testsite,DC=com))

Chociaż pole Filter można pozostawić puste, zwracając wszystkich użytkowników wzdłuż ścieżki zdefiniowanej przez pole DN , może to być dość niebezpieczne. Ta ścieżka może wskazywać obszar struktury domeny zawierający ogromną liczbę użytkowników i może zablokować działanie całej organizacji z powodu nadmiernego obciążenia Enterprise Server i Active Directory. Zdecydowanie lepiej jest wskazać jeden lub więcej zestawów konkretnych użytkowników, stosując dedykowane filtrowanie.

Mapowanie atrybutów

First Name: givenName
Last Name: sn
Email: mail
User Name: sAMAccountName
Overwrite existing users – po włączeniu LDAP Sync nadpisze ręcznie utworzonych użytkowników tymi zwróconymi przez zapytanie synchronizacji, o ile nazwy użytkowników będą identycznie zgodne.

Uwierzytelnianie

User Name: domain\<your username> (np. testsite\jason.howie)
Password: <your password>
User authentication type: Windows
Domain: testsite.com

Przykładowe zadanie LDAP Sync skonfigurowane ze wszystkimi wymaganymi informacjami przy użyciu standardowego LDAP. Jeśli używasz LDAPS (LDAP przez SSL), wpis Url zostałby zmieniony na LDAPS://testsite.com:636.

Po zakończeniu wprowadzania wszystkich ustawień kliknij . Spowoduje to rozpoczęcie procesu synchronizacji, który może potrwać minutę lub dwie, ponieważ przetwarza właśnie wprowadzone informacje.

Teraz przejdź do strony Users . Lista powinna być teraz wypełniona wszystkimi użytkownikami zgodnie z ustawieniem OU=<GroupName> (zobacz przykładowy obraz poniżej). Od tej pory każdy może uzyskać dostęp do Workspace, używając swojego standardowego logowania do Windows.

Pamiętaj, że dodatkowych użytkowników można dodawać ręcznie poza grupą LDAP Sync – więc rzeczywiście możesz mieć mieszankę użytkowników utworzonych ręcznie oraz użytkowników określonych przez LDAP (tworzonych automatycznie).

Przykładowe wypełnienie listy użytkowników dla Workspace poprzez użycie synchronizacji LDAP.

Wersja do wydruku

Tłumaczenie SI

Jeśli znajdziesz błąd, zaznacz tekst/obraz i naciśnij Ctrl + Enter aby wysłać nam wiadomość.