Konfigurowanie synchronizacji LDAP

Created: Sierpień 10, 2022 | Updated: Sierpień 12, 2022 | Applies to version: 5.5

Now reading version 5.5. For the latest, read: Konfigurowanie synchronizacji LDAP for version 8.0

Aby uprościć proces łączenia się z sieciami firmowymi i uzyskiwania do nich dostępu, Enterprise Server umożliwia obsługę usług katalogowych za pośrednictwem interfejsu przeglądarkowego.

Zapewnia to synchronizację użytkowników domeny w oparciu o Lightweight Directory Access Protocol (LDAP), który odpytuje centralny serwer LDAP w sieci w celu pobrania informacji o przynależności użytkowników domeny do grup i ról. Uwierzytelnianie użytkowników domenowych poprzez istniejące w ten sposób usługi katalogowe daje możliwość pojedynczego logowania (single sign-on) do wszystkich systemów firmowych, w tym do Enterprise Server. Synchronizacja LDAP w Enterprise Server odpytuje usługi sieciowe na podstawie ról użytkowników, gdzie informacje o przynależności do ról są zbierane na potrzeby autoryzacji dostępu użytkowników do Enterprise Server. Odpytywanie członkostwa w domenie poprzez usługę LDAP (synchronizacja) pozwala systemowi reagować na zmianę konfiguracji użytkownika domenowego w ramach cyklu synchronizacji.

Aby uzyskać więcej informacji o zasadach LDAP, możliwościach i składni implementacji, zobacz https://tools.ietf.org/html/rfc4510 oraz powiązane strony dokumentacji.

Synchronizacja LDAP

Synchronizacja LDAP (LDAP Sync) pozwala administratorowi Workspace w Enterprise Server wykorzystać istniejące w domenie sieciowej poświadczenia nazwy użytkownika i hasła, dzięki czemu nie trzeba ręcznie tworzyć poświadczeń użytkowników pojedynczo na stronie Users w interfejsie przeglądarkowym Workspace. Po poprawnej konfiguracji strona Users zostanie automatycznie wypełniona poświadczeniami użytkowników, umożliwiając każdej osobie z listy dostęp do Workspace przy użyciu standardowej firmowej nazwy użytkownika i hasła.

Podczas uzyskiwania dostępu do Workspace, aby użyć poświadczeń logowania Windows – korzystając z obsługi uwierzytelniania Windows w Workspace – włącz opcję Use Windows Session (interfejs przeglądarkowy) lub opcję Use Windows Session credentials (okno dialogowe Sign in w Altium Designer).

Enterprise Server obsługuje zarówno Standard LDAP, jak i LDAPS (LDAP przez SSL).

W tym artykule opisano sprawdzone podejście, które z powodzeniem zastosowano przy konfigurowaniu synchronizacji LDAP w domenie. Wypróbuj to podejście podczas konfigurowania LDAP Sync we własnej domenie.

Czego potrzebuję?

Dostępu administracyjnego do Workspace.
Opcjonalnie, niezwykle pomocnym narzędziem jest aplikacja o nazwie LDAP Admin (pobierz LdapAdminExe-<version>.zip z https://sourceforge.net/projects/ldapadmin/ )

LDAP Admin która może zostać użyta do zidentyfikowania dokładnych ciągów zapytań do grup użytkowników oraz składni wymaganej do skonfigurowania strony ustawień LDAP w Workspace.

Uzyskiwanie ciągu wyszukiwania LDAP (Distinguished Name)

Podczas konfigurowania zadania LDAP Sync w interfejsie przeglądarkowym Workspace musisz podać LDAP Distinguished Name (DN). Wprowadza się go w postaci ciągu znaków i identyfikuje on obiekt bazowy wyszukiwania LDAP. Aby uzyskać ten ciąg, użyjemy narzędzia LDAP Admin, więc najpierw upewnij się, że plik zip został pobrany, a następnie wypakuj znajdujący się w nim plik wykonywalny LdapAdmin.

Pobierz i wypakuj plik LdapAdmin.exe.

Uruchom plik wykonywalny LdapAdmin.exe jako Administrator (kliknij go prawym przyciskiem i wybierz Run as administrator).

Gdy otworzy się panel LDAP Admin, wybierz Start » Connect, aby przejść do okna dialogowego Connections , a następnie kliknij dwukrotnie New connection, aby przejść do okna dialogowego Connection properties.

Tworzenie nowego połączenia w narzędziu LDAP Admin.

Na karcie General w oknie dialogowym Connection properties skonfiguruj informacje o połączeniu w odniesieniu do swojej domeny; przykładowo może to wyglądać tak:

Connection name: dowolna nazwa, która będzie użyta dla ikony połączenia.
Host: testsite.com
Port: 389

Jeśli konfigurujesz LDAPS (LDAP przez SSL), port musi wynosić 636.

Base: DC=testsite, DC=com
Włącz opcję GSS-API.

Jeśli konfigurujesz LDAPS (LDAP przez SSL), musisz także włączyć opcję SSL .

Account: po prostu pozostaw włączoną opcję Use current user credentials .

Przykładowo skonfigurowane połączenie przy użyciu standardowego LDAP. Jeśli używasz LDAPS (LDAP przez SSL), zmień Port na 636 i włącz opcję SSL.

Po skonfigurowaniu właściwości połączenia naciśnij przycisk Test connection. Jeśli wszystko jest ustawione poprawnie, powinien pojawić się komunikat Connection is successful. Kliknij OK , aby zakończyć tworzenie nowego połączenia.

Teraz musisz zidentyfikować ciąg wskazujący obiekt bazowy wyszukiwania LDAP. Aby to zrobić:

Wybierz nowo utworzone połączenie i kliknij OK w oknie dialogowym Connections – zostanie wyświetlona hierarchia domeny sieciowej i grup użytkowników.
Rozwiń odpowiednią ścieżkę folderów, aż dojdziesz do folderu zawierającego wymaganych użytkowników.
Kliknij prawym przyciskiem ten folder i wybierz polecenie Search z menu kontekstowego. Otworzy to panel Search . Kluczową informacją jest ciąg już wypełniony w polu Path . Czytany od lewej do prawej, ciąg ten reprezentuje ścieżkę do tego folderu użytkowników „od dołu do góry” w strukturze domeny. W naszym przykładzie załóżmy folder określonych użytkowników – Engineers – będący elementem podrzędnym folderu nadrzędnego – Users. W tym przypadku nasz ciąg to: OU=Engineers,OU=Users,DC=testsite,DC=com.
Skopiuj i wklej ten ciąg do pliku tekstowego do późniejszego użycia w procesie konfiguracji lub opcjonalnie pozostaw panel Search otwarty.

Na tym etapie narzędzie LDAP Admin nie jest już potrzebne w kolejnych krokach.

Konfigurowanie Workspace do użycia LDAP Sync

Zaloguj się teraz do docelowego Workspace – przez jego interfejs przeglądarkowy – jako Administrator. Jeśli zamierzasz automatycznie tworzyć poświadczenia użytkowników z LDAP, prawdopodobnie zechcesz usunąć wszystkich istniejących użytkowników utworzonych ręcznie. Najlepiej więc zacząć tylko od domyślnego użytkownika administracyjnego – admin (na stronie Admin - Users interfejsu).

Przykładowy docelowy Workspace, zawierający tylko domyślnego użytkownika administracyjnego, admin.

Jeśli chcesz, aby użytkownicy z LDAP Sync byli powiązani z określoną rolą, możesz przejść na stronę Roles i utworzyć nową rolę według potrzeb (np. Electrical Designers, Mechanical Designers, PCB Specialists itd.), pozostawiając ją bez przypisanych użytkowników. W tym przykładzie użyto domyślnej roli, która była częścią zainstalowanych danych przykładowych, o nazwie Engineers.

Teraz przejdź na stronę LDAP Sync i kliknij przycisk (lub w tym przypadku link Create a new one), aby otworzyć okno LDAP Sync Creation.

Dodawanie nowego zadania LDAP Sync przez interfejs przeglądarkowy Workspace.

Wypełnij następujące informacje (na podstawie przykładowej struktury domeny użytej w poprzedniej sekcji):

Ogólne

Target Role: Engineers
Distinguished Name: OU=Engineers,OU=Users,DC=testsite,DC=com

Jest to ciąg uzyskany z pola Path w panelu Search , podczas używania narzędzia LDAP Admin w poprzedniej sekcji.
Url: LDAP://testsite.com:389

Jeśli konfigurujesz LDAPS (LDAP przez SSL), wówczas Url w tym przykładzie wynosiłoby: LDAPS://testsite.com:636.
Scope: sub
Attributes: sAMAccountName
Filter: pozostaw to pole puste, aby pobrać wszystkich użytkowników z określonej grupy wskazanej w domenie (w polu DN ). Jeśli wskazany obszar struktury domeny zawierałby dalsze podgrupy użytkowników, możesz wyodrębnić tylko podzbiór tych użytkowników, stosując tutaj odpowiedni ciąg filtrujący.

Na przykład, załóżmy, że istniałby zestaw użytkowników w grupie Engineers, zebranych w celu nadania uprawnień administracyjnych (CN=Administrators). Aby wskazać tylko ten zestaw użytkowników, a nie wszystkich Engineers (w obszarze OU=Engineers struktury domeny), można napisać ciąg zapytania, który celuje w ten punkt struktury domeny:

(&(objectClass=user)(memberof=CN=Administrators,OU=Engineers,OU=Users,DC=testsite,DC=com))

Chociaż pole Filter można pozostawić puste, zwracając wszystkich użytkowników wzdłuż ścieżki zdefiniowanej przez pole DN , może to być dość niebezpieczne. Ta ścieżka może wskazywać obszar struktury domeny zawierający ogromną liczbę użytkowników i może zablokować działanie całej organizacji z powodu nadmiernego obciążenia Enterprise Server i Active Directory. Zdecydowanie lepiej jest wskazać jeden lub więcej zestawów konkretnych użytkowników, stosując dedykowane filtrowanie.

Mapowanie atrybutów

First Name: givenName
Last Name: sn
Email: mail
User Name: sAMAccountName
Overwrite existing users – po włączeniu LDAP Sync nadpisze ręcznie utworzonych użytkowników tymi zwróconymi przez zapytanie synchronizacji, o ile nazwy użytkowników są identyczne.

Uwierzytelnianie

User Name: domain\<your username> (np. testsite\jason.howie)
Password: <your password>
User authentication type: Windows
Domain: testsite.com

Przykładowe zadanie LDAP Sync skonfigurowane ze wszystkimi wymaganymi informacjami przy użyciu standardowego LDAP. Jeśli używasz LDAPS (LDAP przez SSL), wpis Url zostałby zmieniony na LDAPS://testsite.com:636.

Po zakończeniu wprowadzania wszystkich ustawień kliknij . Spowoduje to rozpoczęcie procesu synchronizacji, który może potrwać minutę lub dwie, ponieważ przetwarza wprowadzone informacje.

Teraz przejdź na stronę Users . Ta lista powinna być teraz wypełniona wszystkimi użytkownikami zgodnie z ustawieniem OU=<GroupName> (zobacz przykładowy obraz poniżej). Od tej pory każdy może uzyskać dostęp do Workspace, używając swojego standardowego logowania Windows.

Pamiętaj, że dodatkowych użytkowników można dodawać ręcznie poza grupą LDAP Sync – można więc mieć mieszankę użytkowników utworzonych ręcznie oraz użytkowników określonych przez LDAP (tworzonych automatycznie).

Przykładowe wypełnienie listy użytkowników dla Workspace poprzez użycie synchronizacji LDAP.

Wersja do wydruku

Tłumaczenie SI

Jeśli znajdziesz błąd, zaznacz tekst/obraz i naciśnij Ctrl + Enter aby wysłać nam wiadomość.