Configurar a sincronização LDAP

Parent page: Tópicos Avançados

Para simplificar o processo de ligação e acesso às redes da empresa, o Enterprise Server disponibiliza suporte para serviços de diretório através da sua interface no navegador.

Isto oferece sincronização de utilizadores do domínio com base no Lightweight Directory Access Protocol (LDAP), que consulta o servidor LDAP central da rede para obter informações sobre grupos de utilizadores do domínio e pertença a funções. Autenticar utilizadores do domínio através de serviços de diretório estabelecidos desta forma oferece a possibilidade de um único início de sessão para aceder a todos os sistemas da empresa, incluindo o Enterprise Server.

A sincronização LDAP do Enterprise Server consulta os serviços de rede com base na função do utilizador, sendo recolhidas informações de pertença a funções para a autorização de acesso de utilizadores ao Enterprise Server. A consulta da pertença ao domínio através do serviço LDAP (sincronização) permite ao sistema responder a uma alteração na configuração de um utilizador do domínio dentro de um ciclo de sincronização.

Sincronização LDAP

Uma sincronização LDAP permite a um administrador de um Workspace do Enterprise Server tirar partido das credenciais existentes de nome de utilizador e palavra-passe do domínio da rede, para que as credenciais dos utilizadores não tenham de ser criadas manualmente, uma a uma, na página Users da interface do navegador do Workspace. Quando configurada corretamente, a página Users será preenchida automaticamente com as credenciais dos utilizadores, permitindo que qualquer utilizador listado aceda ao Workspace utilizando o seu nome de utilizador e palavra-passe habituais da rede corporativa.

Este artigo detalha uma abordagem comprovada que foi utilizada com sucesso na configuração de uma sincronização LDAP num domínio. Experimente esta abordagem ao configurar uma sincronização LDAP no seu próprio domínio.

Do que preciso?

• Acesso administrativo ao Workspace.
• Opcionalmente, um utilitário extremamente útil é uma aplicação chamada LDAP Admin (transferir LdapAdminExe-<version>.zip a partir de https://sourceforge.net/projects/ldapadmin/ )

Obter a cadeia de pesquisa LDAP (Nome Distinto)

Ao configurar uma tarefa de sincronização LDAP através da interface baseada em navegador do Workspace, é necessário fornecer o Nome Distinto LDAP (DN). Este é introduzido em formato de cadeia e identifica o objeto base da pesquisa LDAP. Para obter esta cadeia, vamos utilizar o utilitário LDAP Admin, por isso certifique-se primeiro de que o ficheiro zip foi transferido e extraia o executável LdapAdmin aí contido.

Transfira e extraia o ficheiro LdapAdmin.exe.

Execute o ficheiro executável LdapAdmin.exe como Administrador (basta clicar com o botão direito do rato sobre ele e selecionar Run as administrator).

Quando o painel LDAP Admin abrir, escolha Start » Connect para aceder à caixa de diálogo Connections , depois faça duplo clique em New connection para aceder à caixa de diálogo Connection properties.

Criar uma nova ligação dentro do utilitário LDAP Admin.

No separador General da caixa de diálogo Connection properties, configure as informações da ligação em relação ao seu domínio, cujo exemplo poderá ser:

• Connection name: qualquer nome arbitrário a ser utilizado para o ícone da ligação.
• Host: testsite.com
• Port: 389

• Base: DC=testsite, DC=com
• Ative a opção GSS-API.

• Account: basta deixar a opção Use current user credentials ativada.

Exemplo de uma ligação configurada, ao utilizar LDAP padrão. Se utilizar LDAPS (LDAP sobre SSL), altere a Porta para 636 e ative a opção SSL.

Com as propriedades da ligação configuradas, prima o botão Test connection. Se tudo estiver corretamente configurado, deverá ver a mensagem Connection is successful. Clique em OK para concluir a criação da nova ligação.

Agora precisa de identificar a cadeia que aponta para o objeto base da pesquisa LDAP. Para o fazer:

1. Selecione a sua ligação recém-criada e clique em OK na caixa de diálogo Connections — será apresentada a hierarquia do seu domínio de rede e dos grupos de utilizadores.
2. Expanda o caminho da pasta relevante até chegar à pasta que contém os utilizadores necessários.
3. Clique com o botão direito do rato sobre esta pasta e escolha o comando Search no menu de contexto. Isto abrirá o painel Search . A informação-chave que procura é a cadeia já preenchida no campo Path . Lida da esquerda para a direita, esta cadeia representa o caminho para esta pasta de utilizadores de baixo para cima, dentro da estrutura do domínio. Para o nosso exemplo, assumiremos uma pasta de utilizadores específicos — Engineers — que é filha da pasta principal — Users. Neste caso, a nossa cadeia é: OU=Engineers,OU=Users,DC=testsite,DC=com.
4. Copie e cole esta cadeia para um ficheiro de texto para utilização posterior no processo de configuração ou, opcionalmente, deixe simplesmente o painel Search acessível.

Neste ponto, o utilitário LDAP Admin já não é necessário para quaisquer passos adicionais.

Configurar o Workspace para utilizar sincronização LDAP

Agora inicie sessão no Workspace de destino — através da respetiva interface no navegador — como Administrador. Se pretende criar automaticamente credenciais de utilizador a partir do LDAP, então provavelmente vai querer remover quaisquer utilizadores existentes criados manualmente. Por isso, idealmente, comece apenas com o utilizador administrativo predefinido — admin (na página Admin - Users da interface).

Exemplo de um Workspace de destino, apenas com o utilizador administrativo predefinido, admin.

Se quiser que os utilizadores da sincronização LDAP fiquem associados a uma função específica, pode mudar para a página Roles e criar uma nova função conforme necessário (por exemplo Electrical Designers, Mechanical Designers, PCB Specialists, etc.), deixando-a sem utilizadores. O exemplo aqui utiliza a função predefinida que fazia parte dos dados de exemplo instalados, chamada Engineers.

Agora mude para a página LDAP Sync e clique no botão (ou na ligação Create a new one, neste caso) para aceder à janela LDAP Sync Creation.

Adicionar uma nova tarefa de sincronização LDAP através da interface do navegador do Workspace.

Preencha as seguintes informações (com base na estrutura de domínio de exemplo utilizada na secção anterior):

Geral

• Target Role: Engineers

• Distinguished Name: OU=Engineers,OU=Users,DC=testsite,DC=com

  Esta é a cadeia obtida do campo Path do painel Search , ao utilizar o utilitário LDAP Admin na secção anterior.

• Url: LDAP://testsite.com:389

  Se estiver a configurar para LDAPS (LDAP sobre SSL), então a entrada Url neste exemplo seria: LDAPS://testsite.com:636.

• Scope: sub

• Attributes: sAMAccountName

• Filter: deixe este campo em branco para obter todos os utilizadores do grupo especificado determinado no domínio (no campo DN ). Se a área indicada da estrutura do domínio contivesse outros agrupamentos de utilizadores, poderia extrair apenas um subconjunto desses utilizadores utilizando aqui uma cadeia de filtragem apropriada.

  Por exemplo, considere que existia um conjunto de utilizadores no grupo de Engineers, reunidos para ter poderes administrativos (CN=Administrators). Para apontar apenas para este conjunto de utilizadores, e não para todos os Engineers (na área OU=Engineers da estrutura do domínio), poderia ser escrita uma cadeia de consulta que apontasse para este ponto da estrutura do domínio:

  (&(objectClass=user)(memberof=CN=Administrators,OU=Engineers,OU=Users,DC=testsite,DC=com))

  Embora o campo Filter possa ser deixado em branco, devolvendo todos os utilizadores ao longo do caminho definido pelo campo DN , isto pode ser bastante perigoso. Esse caminho pode estar a apontar para uma área da estrutura do domínio que contém um grande número de utilizadores, e poderá bloquear toda a organização devido à carga excessiva no Enterprise Server e no Active Directory. É realmente preferível apontar para um ou mais conjuntos de utilizadores específicos, utilizando filtragem dedicada.

Mapeamento de Atributos

• First Name: givenName
• Last Name: sn
• Email: mail
• User Name: sAMAccountName
• Overwrite existing users – quando ativado, a sincronização LDAP substituirá os utilizadores criados manualmente pelos devolvidos pela consulta de sincronização, desde que os nomes dos utilizadores correspondam exatamente.

Autenticação

• User Name: domain\<your username> (por exemplo testsite\jason.howie)
• Password: <your password>
• User authentication type: Windows
• Domain: testsite.com

Exemplo de tarefa de sincronização LDAP, configurada com todas as informações necessárias ao utilizar LDAP padrão. Se utilizar LDAPS (LDAP sobre SSL), a entrada Url seria alterada para LDAPS://testsite.com:636.

Quando tiver concluído a introdução de todas as definições, clique em . Isto iniciará o processo de sincronização, que poderá demorar um ou dois minutos, enquanto processa a informação que acabou de introduzir.

Agora aceda à página Users . Esta lista deverá agora estar preenchida com todos os utilizadores, conforme definido pela configuração OU=<GroupName> (consulte a imagem de exemplo abaixo). Agora qualquer pessoa pode aceder ao Workspace utilizando o seu início de sessão normal do Windows.

Exemplo de preenchimento de utilizadores para um Workspace, através da utilização de uma sincronização LDAP.