Benutzerverwaltung - LDAP
Zurück
Zur Erläuterung der einzelnen Konfigurationsvariablen
LDAP ist die Abkürzung für das Lightweight Directory Access Protocol.
LDAP stellt einen Verzeichnisdienst zur Verfügung, der zur Speicherung und zum Wiederabruf von Informationen über einzelne Personen (z.B. Mitarbeiter) einer Organisation genutzt werden kann. Die Bandbreite der Informationen, die auf diese Weise verfügbar gemacht werden können ist recht groß:
Traditionelle Telefon- oder andere institutionelle Verzeichnisse (Lage von Büros, Telefonnummern usw.), Daten von Unix-Benutzer-Accounts, persönlichere Daten, wie private Telefonnummern und Fotografien, zusammen mit weiteren spezifischen Daten.
Das Windows Active Directory kann über LDAP angesprochen und auch verwaltet werden.
Die IFAS Benutzerverwaltung bietet über das Menü Dienste die Möglichkeit, Benutzerinformationen aus dem LDAP zu übernehmen.
Dabei werden die Benutzerinformationen für alle Benutzer, die Mitglied einer bestimmten Gruppe sind, aus dem LDAP übernommen und in der IFAS Benutzerverwaltung gesetzt.
Änderungen in der IFAS Benutzerverwaltung werden beim Abgleich durch die Werte aus dem LDAP überschrieben.
Benutzer die noch nicht in der IFAS Benutzerverwaltung vorhanden sind, werden neu angelegt. Benutzer die nicht mehr im LDAP vorhanden sind werden beibehalten; es werden keine Benutzer automatisch gelöscht.
Die Zuordnung der Felder in LDAP und IFAS erfolgt über den Katalog BV_LDAP.
Die Spalte BV-Spalte enthält den Namen des Feldes in der IFAS Benutzerverwaltung (Tabelle bwverw). Die Spalte LDAP-Spalte enthält den zugehörigen Namen im LDAP.
Für das Active Directory zwingend erforderlich ist die Verknüpfung des Feldes benid mit dem Feld sAMAcountName im ActiveDirectory (Benutzeranmeldename Prä-Windows 2000).
Die folgende Tabelle beschreibt die Konfigurationsvariablen die für die Anpassung an die jeweilige Installation verwendet werden. Die Variablen BV_NT_LOGIN, BV_LDAP_KDC und BV_LDAP_REALM sind zwingend erforderlich; sind diese Variablen nicht gesetzt wird die Synchronisation mit LDAP in der Benutzerverwaltung nicht angeboten.
Variable Beschreibung Default Beispiel BV_NT_LOGIN Voraussetzung für ein Gelingen des Ablgeiches IfasLogin BV_LDAP_KDC Domänen Controller; Server für die Kerberos Anmeldung kis-dc-dui-01.duisburg.kisters.de BV_LDAP_REALM Domäne DUISBURG.KISTERS.DE
siehe BeispielabbildungenBV_LDAP_GROUP Gruppe im LDAP Verzeichnis die mit der Benutzerverwaltung synchronisiert werden soll BVGROUP CN=BVGROUP,CN=Users,(CN={3},CN={2})
siehe BeispielabbildungenBV_LDAP_DOMAIN Domäne für die LDAP Abfrage BV_LDAP_REALM duisburg.kisters.de oder DC=duisburg,DC=kisters,DC=de
siehe BeispielabbildungenBV_LDAP_SERVER Server auf dem der LDAP Server läuft, meist Domänen Controller BV_LDAP_KDC ldap.kisters.de BV_LDAP_PORT Port auf dem der LDAP Server horcht 389 1389
Die Gruppe aus der die Benutzer aus dem LDAP übernommen werden sollen, wird aus den Variablen BV_LDAP_DOMAIN und BV_LDAP_GROUP zusammengesetzt.
Diese müssen in der entsprechenden Notation für LDAP angegeben werden (siehe obere Tabelle).
Die übrigen Variablen sind optional, in den meisten Fällen sollten die Default-Werte genügen.
Die Anmeldung an das LDAP erfolgt unter der (Windows-)Benutzerkennung unter der IFAS bzw. die Benutzerverwaltung ausgeführt wird.
Damit die Informationen aus dem LDAP gelesen werden können, muss der angemeldete Benutzer Leserechte für die Gruppe BV_LDAP_GROUP haben.
Gestartet wird der Abgleich mit dem LDAP in der Benutzerverwaltung über das Menü Dienste, Abgleich mit Active Directory. Nach dem Abgleich kann im Modul Administration mit Hilfe der Funktion Log-/Konfigurationsdateien anzeigen geprüft werden, ob die Änderungen durchgeführt wurden.
Zur Verdeutlichung einige Beispiele:
zu 1: Domäne Duisburg = duisburg.kisters.de oder alternativ dazu CN=duisburg,CN=kisters,CN=de
zu 2: Gruppe in der Domäne Duisburg = Users
zu 3: Untergruppe in Users = BVGROUP
Diese dort vorhanden Einträge werden per LDAP-Abfrage zu:
CN=BVGROUP,CN=Users,DC=duisburg,DC=kisters,DC=de.
Dies entspricht dem distinguishedName in ASDI Edit (falls vorhanden):
