Pesquisar em: Doc:Documentation: Altium On-Prem Enterprise Server
Altium DesignerAltium 365Altium MCAD CoDesignerAltium On-Prem Enterprise ServerAltium CircuitMakerAltium CircuitStudioCompany DashboardAltium Infrastructure ServerAltium Developer Center
Ver: Version: 5.5
8.18.07.27.17.06.05.5
Close
Search Pesquisar na Documentação

Configurar a sincronização LDAP

Updated: August 12, 2022 | Applies to version: 5.5
Now reading version 5.5. For the latest, read: Configurar a sincronização LDAP for version 8.1
 

Parent page: Tópicos Avançados

Para simplificar o processo de ligação e acesso às redes da empresa, o Enterprise Server facilita o suporte a serviços de diretório através da sua interface de browser.

Isto oferece sincronização de utilizadores de domínio com base no Lightweight Directory Access Protocol (LDAP), que consulta o servidor LDAP central da rede para obter informações sobre a pertença dos utilizadores de domínio a grupos e funções. A autenticação de utilizadores de domínio através de serviços de diretório estabelecidos desta forma oferece a possibilidade de um único início de sessão para acesso a todos os sistemas da empresa, incluindo o Enterprise Server.

A sincronização LDAP do Enterprise Server consulta os serviços de rede com base nas funções dos utilizadores, sendo recolhidas informações de pertença a funções para autorização de acesso de utilizadores ao Enterprise Server. A consulta da pertença ao domínio através do serviço LDAP (sincronização) permite ao sistema responder a uma alteração de configuração de um utilizador de domínio dentro de um ciclo de sincronização.

Para mais informações sobre os princípios, capacidades e sintaxe de implementação do LDAP, consulte https://tools.ietf.org/html/rfc4510 e as respetivas páginas de documentação associadas.

Sincronização LDAP

Uma sincronização LDAP permite a um administrador de um Workspace do Enterprise Server tirar partido das credenciais existentes de nome de utilizador e palavra-passe do domínio da rede, para que as credenciais dos utilizadores não tenham de ser criadas manualmente, uma a uma, na Users página da interface de browser do Workspace. Quando configurada corretamente, a Users página será preenchida automaticamente com as credenciais dos utilizadores, permitindo a qualquer utilizador listado aceder ao Workspace com o seu nome de utilizador e palavra-passe habituais da rede corporativa.

Ao aceder ao seu Workspace, para utilizar as suas credenciais de início de sessão do Windows — tirando partido do suporte do Workspace para Autenticação do Windows — ative a opção Use Windows Session (interface de browser), ou a opção Use Windows Session credentials (caixa de diálogo Sign in no Altium Designer).
O Enterprise Server suporta tanto Standard LDAP, como LDAPS (LDAP sobre SSL).

Este artigo descreve uma abordagem comprovada que foi utilizada com sucesso na configuração de uma sincronização LDAP num domínio. Experimente esta abordagem ao configurar uma sincronização LDAP no seu próprio domínio.

O que é necessário?

LDAP Admin pode ser utilizada para identificar as cadeias de consulta exatas de Grupos de Utilizadores e a sintaxe necessária para configurar a página de configuração LDAP do Workspace.

Obter a cadeia de pesquisa LDAP (Distinguished Name)

Ao configurar uma tarefa de sincronização LDAP através da interface baseada em browser do Workspace, é necessário fornecer o Distinguished Name (DN) LDAP. Este é introduzido em formato de cadeia de texto e identifica o objeto base da pesquisa LDAP. Para obter esta cadeia, vamos utilizar o utilitário LDAP Admin, por isso assegure-se primeiro de que o ficheiro zip foi descarregado e extraia o executável LdapAdmin aí contido.

Descarregue e extraia o ficheiro LdapAdmin.exe.
Descarregue e extraia o ficheiro LdapAdmin.exe.

Execute o executável LdapAdmin.exe como Administrador (basta clicar com o botão direito sobre o mesmo e selecionar Run as administrator).

Quando o painel LDAP Admin abrir, escolha Start » Connect para aceder à caixa de diálogo Connections , depois faça duplo clique em New connection para aceder à caixa de diálogo Connection properties.

Criar uma nova ligação no utilitário LDAP Admin.
Criar uma nova ligação no utilitário LDAP Admin.

No separador General da caixa de diálogo Connection properties, configure as informações da ligação em relação ao seu domínio, cujo exemplo poderá ser:

  • Connection name: apenas um nome arbitrário a utilizar para o ícone da ligação.
  • Host: testsite.com
  • Port: 389
Se estiver a configurar para LDAPS (LDAP sobre SSL), então a porta tem de ser 636.
  • Base: DC=testsite, DC=com
  • Ative a opção GSS-API.
Se estiver a configurar para LDAPS (LDAP sobre SSL), então também precisa de ativar a opção SSL .
  • Account: basta deixar a opção Use current user credentials ativada.

Exemplo de uma ligação configurada, ao utilizar LDAP padrão. Se utilizar LDAPS (LDAP sobre SSL), altere a Porta para 636 e ative a opção SSL.
Exemplo de uma ligação configurada, ao utilizar LDAP padrão. Se utilizar LDAPS (LDAP sobre SSL), altere a Porta para 636 e ative a opção SSL.

Com as propriedades da ligação configuradas, prima o botão Test connection. Se tudo estiver corretamente definido, deverá ver a mensagem Connection is successful. Clique em OK para terminar a criação da nova ligação.

Agora precisa de identificar a cadeia que aponta para o objeto base da pesquisa LDAP. Para o fazer:

  1. Selecione a sua ligação recém-criada e clique em OK na caixa de diálogo Connections — serão apresentados o seu domínio de rede e a hierarquia de grupos de utilizadores.
  2. Expanda o caminho de pastas relevante até chegar à pasta que contém os utilizadores necessários.
  3. Clique com o botão direito nessa pasta e escolha o comando Search no menu de contexto. Isto abrirá o painel Search . A informação essencial que procura é a cadeia já preenchida no campo Path . Lida da esquerda para a direita, esta cadeia representa o caminho para esta pasta de utilizadores de baixo para cima, dentro da estrutura do domínio. Para o nosso exemplo, vamos assumir uma pasta de utilizadores específicos — Engineers — que é subordinada da pasta principal — Users. Neste caso, a nossa cadeia é: OU=Engineers,OU=Users,DC=testsite,DC=com.
  4. Copie e cole esta cadeia para um ficheiro de texto para utilização posterior no processo de configuração, ou, em alternativa, deixe simplesmente o painel Search acessível.

Neste ponto, o utilitário LDAP Admin já não é necessário para quaisquer passos adicionais.

Configurar o Workspace para utilizar a sincronização LDAP

Agora inicie sessão no Workspace de destino — através da respetiva interface de browser — como Administrador. Se pretender criar automaticamente credenciais de utilizadores a partir de LDAP, então provavelmente vai querer remover quaisquer utilizadores existentes criados manualmente. Idealmente, comece apenas com o utilizador administrativo predefinido — admin (na página Admin - Users da interface).

Exemplo de um Workspace de destino, apenas com o utilizador administrativo predefinido, admin.
Exemplo de um Workspace de destino, apenas com o utilizador administrativo predefinido, admin.

Se pretender que os utilizadores da sincronização LDAP fiquem associados a uma função específica, pode mudar para a página Roles e criar uma nova função conforme necessário (por exemplo, Electrical Designers, Mechanical Designers, PCB Specialists, etc.), deixando-a sem utilizadores. O exemplo aqui utiliza a função predefinida que fazia parte dos dados de exemplo instalados, chamada Engineers.

Agora mude para a página LDAP Sync e clique no botão (ou, neste caso, na ligação Create a new one) para aceder à janela LDAP Sync Creation.

Adicionar uma nova tarefa de sincronização LDAP através da interface de browser do Workspace.
Adicionar uma nova tarefa de sincronização LDAP através da interface de browser do Workspace.

Preencha as seguintes informações (com base na estrutura de domínio de exemplo utilizada na secção anterior):

Geral

  • Target Role: Engineers

  • Distinguished Name: OU=Engineers,OU=Users,DC=testsite,DC=com

    Esta é a cadeia obtida a partir do campo Path do painel Search , ao utilizar o utilitário LDAP Admin na secção anterior.

  • Url: LDAP://testsite.com:389

    Se estiver a configurar para LDAPS (LDAP sobre SSL), então o valor Url neste exemplo seria: LDAPS://testsite.com:636.

  • Scope: sub

  • Attributes: sAMAccountName

  • Filter: deixe este campo em branco para obter todos os utilizadores do grupo especificado determinado no domínio (no campo DN ). Se a área indicada da estrutura do domínio contivesse agrupamentos adicionais de utilizadores, poderia extrair apenas um subconjunto desses utilizadores utilizando aqui uma cadeia de filtragem apropriada.

    Por exemplo, imagine que existia um conjunto de utilizadores sob o grupo de Engineers, reunidos para ter poderes administrativos (CN=Administrators). Para direcionar apenas este conjunto de utilizadores, e não todos os Engineers (na área OU=Engineers da estrutura do domínio), poderia ser escrita uma cadeia de consulta que apontasse para este ponto da estrutura do domínio:

    (&(objectClass=user)(memberof=CN=Administrators,OU=Engineers,OU=Users,DC=testsite,DC=com))

    Embora o campo Filter possa ser deixado em branco, devolvendo todos os utilizadores ao longo do caminho definido pelo campo DN , isto pode ser bastante perigoso. Esse caminho pode estar a apontar para uma área da estrutura do domínio que contém um número enorme de utilizadores, podendo bloquear toda a organização devido à carga excessiva no Enterprise Server e no Active Directory. É realmente melhor direcionar um ou mais conjuntos de utilizadores específicos, utilizando filtragem dedicada.

Mapeamento de Atributos

  • First Name: givenName
  • Last Name: sn
  • Email: mail
  • User Name: sAMAccountName
  • Overwrite existing users — quando ativado, a sincronização LDAP substituirá os utilizadores criados manualmente pelos devolvidos pela consulta de sincronização, desde que os nomes dos utilizadores sejam exatamente iguais.

Autenticação

  • User Name: domain\<your username> (por exemplo, testsite\jason.howie)
  • Password: <your password>
  • User authentication type: Windows
  • Domain: testsite.com

Exemplo de tarefa de sincronização LDAP, configurada com toda a informação necessária ao utilizar LDAP padrão. Se utilizar LDAPS (LDAP sobre SSL), a entrada Url seria alterada para LDAPS://testsite.com:636.
Exemplo de tarefa de sincronização LDAP, configurada com toda a informação necessária ao utilizar LDAP padrão. Se utilizar LDAPS (LDAP sobre SSL), a entrada Url seria alterada para LDAPS://testsite.com:636.

Quando tiver terminado de introduzir todas as definições, clique em . Isto iniciará o processo de sincronização, o que poderá demorar um ou dois minutos, enquanto processa a informação que acabou de introduzir.

Agora aceda à página Users . Esta lista deverá agora estar preenchida com todos os utilizadores conforme definido pela definição OU=<GroupName> (ver imagem de exemplo abaixo). Agora, qualquer pessoa pode aceder ao Workspace utilizando o seu início de sessão normal do Windows.

Ao aceder ao seu Workspace, para utilizar as suas credenciais de início de sessão do Windows — tirando partido do suporte do Workspace para Autenticação do Windows — ative a opção Use Windows Session (interface de browser), ou a opção Use Windows Session credentials (caixa de diálogo Sign in no Altium Designer).
Tenha em conta que utilizadores adicionais podem ser adicionados manualmente fora do grupo de sincronização LDAP — por isso, pode de facto ter uma mistura de utilizadores criados manualmente e utilizadores especificados por LDAP (criados automaticamente).

Exemplo de preenchimento de utilizadores para um Workspace, através da utilização de uma sincronização LDAP.
Exemplo de preenchimento de utilizadores para um Workspace, através da utilização de uma sincronização LDAP.

AI-LocalizedLocalizado por IA
Caso encontre um problema, selecione o texto/imagem e primaCtrl + Enterpara nos enviar o seu feedback.
Conteúdo