Search In: Doc:Documentation: Altium On-Prem Enterprise Server
Altium DesignerAltium 365Altium MCAD CoDesignerAltium On-Prem Enterprise ServerAltium CircuitMakerAltium CircuitStudioCompany DashboardAltium Infrastructure Server
Ver: Version: 6.0
8.07.27.17.06.05.5
Close
Szukaj Search on Documentation

Konfigurowanie synchronizacji LDAP

Created: Kwiecień 11, 2023 | Updated: Kwiecień 11, 2023 | Applies to version: 6.0
Now reading version 6.0. For the latest, read: Konfigurowanie synchronizacji LDAP for version 8.0
 

Parent page: Tematy zaawansowane

Aby uprościć proces łączenia się z sieciami firmowymi i uzyskiwania do nich dostępu, Enterprise Server zapewnia obsługę usług katalogowych poprzez interfejs przeglądarkowy.

Umożliwia to synchronizację użytkowników domeny w oparciu o Lightweight Directory Access Protocol (LDAP), który odpytuje centralny serwer LDAP w sieci w celu pobrania informacji o przynależności użytkowników domeny do grup i ról. Uwierzytelnianie użytkowników domenowych za pośrednictwem istniejących usług katalogowych w ten sposób daje możliwość pojedynczego logowania (single sign-on) do wszystkich systemów firmowych, w tym do Enterprise Server.

Synchronizacja LDAP w Enterprise Server odpytuje usługi sieciowe na podstawie ról użytkowników, gdzie informacje o przynależności do ról są zbierane na potrzeby autoryzacji dostępu użytkowników do Enterprise Server. Odpytywanie członkostwa w domenie przez usługę LDAP (synchronizacja) pozwala systemowi reagować na zmianę konfiguracji użytkownika domenowego w ramach cyklu synchronizacji.

Aby uzyskać więcej informacji o zasadach LDAP, możliwościach i składni implementacji, zobacz https://tools.ietf.org/html/rfc4510 oraz powiązane strony dokumentacji.

Synchronizacja LDAP

Synchronizacja LDAP (LDAP Sync) pozwala administratorowi Workspace w Enterprise Server wykorzystać istniejące w domenie sieciowej poświadczenia (nazwę użytkownika i hasło), dzięki czemu nie trzeba ręcznie tworzyć poświadczeń użytkowników pojedynczo na stronie Users w interfejsie przeglądarkowym Workspace. Po poprawnej konfiguracji strona Users zostanie automatycznie wypełniona poświadczeniami użytkowników, umożliwiając każdej osobie z listy dostęp do Workspace przy użyciu standardowej firmowej nazwy użytkownika i hasła.

Podczas uzyskiwania dostępu do Workspace, aby użyć poświadczeń logowania do Windows – korzystając z obsługi uwierzytelniania Windows w Workspace – włącz opcję Use Windows Session (interfejs przeglądarkowy) lub opcję Use Windows Session credentials (okno dialogowe Sign in w Altium Designer).
Enterprise Server obsługuje zarówno Standard LDAP, jak i LDAPS (LDAP przez SSL).

W tym artykule opisano sprawdzone podejście, które zostało z powodzeniem wykorzystane przy konfigurowaniu synchronizacji LDAP w domenie. Wypróbuj to podejście podczas konfigurowania LDAP Sync we własnej domenie.

Czego potrzebuję?

LDAP Admin która może zostać użyta do zidentyfikowania dokładnych ciągów zapytań do grup użytkowników oraz składni wymaganej do skonfigurowania strony ustawień LDAP w Workspace.

Uzyskiwanie ciągu wyszukiwania LDAP (Distinguished Name)

Podczas konfigurowania zadania LDAP Sync w interfejsie przeglądarkowym Workspace musisz podać LDAP Distinguished Name (DN). Wprowadza się go w postaci ciągu znaków i identyfikuje on obiekt bazowy wyszukiwania LDAP. Aby uzyskać ten ciąg, użyjemy narzędzia LDAP Admin, więc najpierw upewnij się, że plik zip został pobrany, a następnie wypakuj znajdujący się w nim plik wykonywalny LdapAdmin.

Pobierz i wypakuj plik LdapAdmin.exe.
Pobierz i wypakuj plik LdapAdmin.exe.

Uruchom plik wykonywalny LdapAdmin.exe jako Administrator (kliknij go prawym przyciskiem i wybierz Run as administrator).

Gdy otworzy się panel LDAP Admin, wybierz Start » Connect, aby przejść do okna dialogowego Connections , a następnie kliknij dwukrotnie New connection, aby przejść do okna dialogowego Connection properties.

Tworzenie nowego połączenia w narzędziu LDAP Admin.
Tworzenie nowego połączenia w narzędziu LDAP Admin.

Na karcie General w oknie dialogowym Connection properties skonfiguruj informacje o połączeniu odpowiednio do swojej domeny, na przykład:

  • Connection name: dowolna nazwa, która będzie użyta dla ikony połączenia.
  • Host: testsite.com
  • Port: 389
Jeśli konfigurujesz LDAPS (LDAP przez SSL), port musi wynosić 636.
  • Base: DC=testsite, DC=com
  • Włącz opcję GSS-API.
Jeśli konfigurujesz LDAPS (LDAP przez SSL), musisz również włączyć opcję SSL .
  • Account: pozostaw włączoną opcję Use current user credentials .

Przykładowe skonfigurowane połączenie przy użyciu standardowego LDAP. Jeśli używasz LDAPS (LDAP przez SSL), zmień Port na 636 i włącz opcję SSL.
Przykładowe skonfigurowane połączenie przy użyciu standardowego LDAP. Jeśli używasz LDAPS (LDAP przez SSL), zmień Port na 636 i włącz opcję SSL.

Po skonfigurowaniu właściwości połączenia naciśnij przycisk Test connection. Jeśli wszystko jest ustawione poprawnie, powinien pojawić się komunikat Connection is successful. Kliknij OK , aby zakończyć tworzenie nowego połączenia.

Teraz musisz zidentyfikować ciąg, który wskazuje obiekt bazowy wyszukiwania LDAP. Aby to zrobić:

  1. Wybierz nowo utworzone połączenie i kliknij OK w oknie dialogowym Connections – zostanie wyświetlona domena sieciowa oraz hierarchia grup użytkowników.
  2. Rozwiń odpowiednią ścieżkę folderów, aż dojdziesz do folderu zawierającego wymaganych użytkowników.
  3. Kliknij prawym przyciskiem ten folder i wybierz polecenie Search z menu kontekstowego. Otworzy to panel Search . Kluczową informacją, której szukasz, jest ciąg już wypełniony w polu Path . Czytany od lewej do prawej, ciąg ten reprezentuje ścieżkę do tego folderu użytkowników „od dołu do góry” w strukturze domeny. W naszym przykładzie załóżmy folder konkretnych użytkowników – Engineers – będący elementem podrzędnym folderu nadrzędnego – Users. W tym przypadku nasz ciąg to: OU=Engineers,OU=Users,DC=testsite,DC=com.
  4. Skopiuj i wklej ten ciąg do pliku tekstowego do późniejszego użycia w procesie konfiguracji lub opcjonalnie pozostaw panel Search otwarty.

Na tym etapie narzędzie LDAP Admin nie jest już potrzebne w kolejnych krokach.

Konfigurowanie Workspace do użycia LDAP Sync

Zaloguj się teraz do docelowego Workspace – przez interfejs przeglądarkowy – jako Administrator. Jeśli zamierzasz automatycznie tworzyć poświadczenia użytkowników z LDAP, prawdopodobnie zechcesz usunąć wszystkich istniejących użytkowników utworzonych ręcznie. Najlepiej więc zacząć tylko z domyślnym użytkownikiem administracyjnym – admin (na stronie Admin - Users interfejsu).

Przykładowy docelowy Workspace, zawierający tylko domyślnego użytkownika administracyjnego, admin.
Przykładowy docelowy Workspace, zawierający tylko domyślnego użytkownika administracyjnego, admin.

Jeśli chcesz, aby użytkownicy z LDAP Sync byli powiązani z określoną rolą, możesz przejść na stronę Roles i utworzyć nową rolę według potrzeb (np. Electrical Designers, Mechanical Designers, PCB Specialists itd.), pozostawiając ją bez użytkowników. W tym przykładzie użyto domyślnej roli, która była częścią zainstalowanych danych przykładowych, o nazwie Engineers.

Następnie przejdź na stronę LDAP Sync i kliknij przycisk (lub w tym przypadku łącze Create a new one), aby otworzyć okno LDAP Sync Creation.

Dodawanie nowego zadania LDAP Sync przez interfejs przeglądarkowy Workspace.
Dodawanie nowego zadania LDAP Sync przez interfejs przeglądarkowy Workspace.

Wypełnij następujące informacje (na podstawie przykładowej struktury domeny użytej w poprzedniej sekcji):

Ogólne

  • Target Role: Engineers

  • Distinguished Name: OU=Engineers,OU=Users,DC=testsite,DC=com

    Jest to ciąg uzyskany z pola Path w panelu Search , podczas używania narzędzia LDAP Admin w poprzedniej sekcji.

  • Url: LDAP://testsite.com:389

    Jeśli konfigurujesz LDAPS (LDAP przez SSL), wówczas Url w tym przykładzie będzie wynosić: LDAPS://testsite.com:636.

  • Scope: sub

  • Attributes: sAMAccountName

  • Filter: pozostaw to pole puste, aby pobrać wszystkich użytkowników z określonej grupy zdefiniowanej w domenie (w polu DN ). Jeśli wskazany obszar struktury domeny zawierałby dalsze podgrupy użytkowników, możesz wyodrębnić tylko podzbiór tych użytkowników, stosując tutaj odpowiedni ciąg filtrujący.

    Na przykład, załóżmy, że istniałby zestaw użytkowników w grupie Inżynierowie, zebranych w celu nadania uprawnień administracyjnych (CN=Administrators). Aby wskazać tylko ten zestaw użytkowników, a nie wszystkich Inżynierów (w obszarze OU=Engineers struktury domeny), można napisać ciąg zapytania, który celuje w ten punkt struktury domeny:

    (&(objectClass=user)(memberof=CN=Administrators,OU=Engineers,OU=Users,DC=testsite,DC=com))

    Chociaż pole Filter można pozostawić puste, zwracając wszystkich użytkowników wzdłuż ścieżki zdefiniowanej przez pole DN , może to być dość niebezpieczne. Ta ścieżka może wskazywać obszar struktury domeny zawierający ogromną liczbę użytkowników i może sparaliżować całą organizację z powodu nadmiernego obciążenia Enterprise Server i Active Directory. Zdecydowanie lepiej jest wskazać jeden lub więcej zestawów konkretnych użytkowników, stosując dedykowane filtrowanie.

Mapowanie atrybutów

  • First Name: givenName
  • Last Name: sn
  • Email: mail
  • User Name: sAMAccountName
  • Overwrite existing users – po włączeniu LDAP Sync nadpisze użytkowników utworzonych ręcznie tymi zwróconymi przez zapytanie synchronizacji, o ile nazwy użytkowników będą identycznie zgodne.

Uwierzytelnianie

  • User Name: domain\<your username> (np. testsite\jason.howie)
  • Password: <your password>
  • User authentication type: Windows
  • Domain: testsite.com

Przykładowe zadanie LDAP Sync skonfigurowane ze wszystkimi wymaganymi informacjami przy użyciu standardowego LDAP. Jeśli używasz LDAPS (LDAP przez SSL), wpis Url zostałby zmieniony na LDAPS://testsite.com:636.
Przykładowe zadanie LDAP Sync skonfigurowane ze wszystkimi wymaganymi informacjami przy użyciu standardowego LDAP. Jeśli używasz LDAPS (LDAP przez SSL), wpis Url zostałby zmieniony na LDAPS://testsite.com:636.

Po zakończeniu wprowadzania wszystkich ustawień kliknij . Spowoduje to rozpoczęcie procesu synchronizacji, który może potrwać minutę lub dwie, ponieważ przetwarza wprowadzone informacje.

Teraz przejdź do strony Users . Lista powinna zostać wypełniona wszystkimi użytkownikami zgodnie z ustawieniem OU=<GroupName> (zobacz przykładowy obraz poniżej). Od tej pory każdy może uzyskać dostęp do Workspace, używając swojego standardowego logowania do Windows.

Podczas uzyskiwania dostępu do Workspace, aby użyć poświadczeń logowania do Windows – korzystając z obsługi uwierzytelniania Windows w Workspace – włącz opcję Use Windows Session (interfejs przeglądarkowy) lub opcję Use Windows Session credentials (okno dialogowe Sign in w Altium Designer).
Pamiętaj, że dodatkowych użytkowników można dodawać ręcznie poza grupą LDAP Sync – więc rzeczywiście możesz mieć mieszankę użytkowników utworzonych ręcznie oraz użytkowników określonych przez LDAP (utworzonych automatycznie).

Przykładowe wypełnienie listy użytkowników dla Workspace poprzez użycie synchronizacji LDAP.
Przykładowe wypełnienie listy użytkowników dla Workspace poprzez użycie synchronizacji LDAP.

AI-LocalizedTłumaczenie SI
Jeśli znajdziesz błąd, zaznacz tekst/obraz i naciśnij Ctrl + Enter aby wysłać nam wiadomość.
Content