LDAP-Konfiguration

LDAP-Konfiguration#

sysman sysadmin

Sie verbinden Allegra mit einem Verzeichnisserver (LDAP, Active Directory), um Kennwörter zentral zu verwalten. Von Allegra aus können Sie auch Nutzer im LDAP-Verzeichnis eintragen und Kennwörter ändern. Damit erhalten Sie ein komplettes System zur Selbstregistrierung und Kennwortverwaltung.

Um Allegra mit einem oder mehreren Verzeichnisservern zu verbinden, wechseln Sie als Systemadministrator nach Verwaltung > Serververwaltung > LDAP & SSO.

LDAP-Konfiguration

LDAP-Konfiguration#

Aktivieren Sie das Kontrollkästchen für LDAP (B) und klicken Sie auf die Schaltfläche (C), um eine Verbindung hinzuzufügen. Sie können mehrere Verbindungen konfigurieren — etwa, um in einem großen Unternehmen Mitarbeiter unterschiedlicher Regionen einzubinden, ohne den kompletten Verzeichnisbaum zu öffnen. Sie können auch eine Basis-DN auf die Liste der Nutzer richten und eine zweite auf Gruppen und Organisationseinheiten.

LDAP-Verbindungseinstellungen#

LDAP-Verbindung konfigurieren

LDAP-Verbindung konfigurieren#

Der „Bind“-Benutzername und das „Bind“-Kennwort sind nötig, damit Allegra überhaupt in den Verzeichnisserver hineinschauen darf. Für „anonymous bind“ lassen Sie diese Felder leer.

LDAP-Schema-Position#

LDAP-Schema konfigurieren

LDAP-Schema konfigurieren#

Die nötigen Einträge ermitteln Sie am einfachsten mit einem LDAP-Browser, etwa Apache Directory Studio.

LDAP-Browser

LDAP-Browser#

LDAP-Synchronisation#

LDAP-Synchronisation

LDAP-Synchronisation#

Hier stellen Sie ein, wie Allegra Benutzer mit dem Verzeichnisserver synchronisiert. Synchronisierbar sind Benutzer oder Gruppen. Bei ausschließlich lesendem Zugriff legt Allegra Benutzer aus dem Verzeichnisserver an, nicht umgekehrt. Bei Lese- und Schreibberechtigung legt Allegra Benutzer und Gruppen auch im Verzeichnisserver an.

LDAP-Benutzer- und -Gruppen-Schema#

Benutzer- und Gruppen Schema-Einstellung

Benutzer- und Gruppen Schema-Einstellung#

Das Kontrollkästchen (A) legt fest, ob Benutzer, die nicht im Verzeichnisserver gefunden werden, in Allegra deaktiviert werden. Die Benutzer „admin“ und „guest“ sind davon ausgenommen. Wählen Sie weiter oben den passenden Servertyp (Open LDAP, Active Directory …), übernimmt Allegra hier sinnvolle Vorgaben.

LDAP-Verhalten schreibgeschützt#

Die folgende Tabelle zeigt, wie sich Allegra bei der Synchronisation verhält, wenn nur Leseberechtigung für das Verzeichnis besteht.

LDAP-Verhalten schreibgeschützt#

Fall

Verhalten

Neue LDAP-Verbindung mit bestehenden Benutzern in Allegra

Alle neuen Benutzer (unbekannte UID) werden erstellt

Benutzer wird in Allegra deaktiviert und neue Synchronisierung gestartet

Benutzer bleibt deaktiviert

Ein Attribut des Benutzers (E-Mail, Nachname, Vorname) wird geändert und die Synchronisierung gestartet

Allegra-Attribute werden durch LDAP-Attribute überschrieben

Ein in Allegra synchronisierter LDAP-Benutzer wird in LDAP gelöscht

Er bleibt in Allegra erhalten, keine Änderung

Gruppen werden synchronisiert

Neue Benutzer und Gruppen werden erstellt, Benutzer werden Gruppen zugewiesen

Benutzer wird aus der Gruppe in Allegra entfernt, ist aber noch in der Gruppe in LDAP und die Synchronisierung wird gestartet

Der Benutzer wird der Allegra-Gruppe neu zugewiesen

Gruppenattribute in Allegra werden geändert und eine neue Synchronisierung wird gestartet

Geänderte Gruppenattribute werden beibehalten

Bestehende Allegra-Gruppe wird in LDAP gelöscht

Gruppe bleibt in Allegra erhalten

LDAP-Verhalten schreibend und lesend#

Die folgende Tabelle zeigt, wie sich Allegra bei der Synchronisation verhält, wenn Lese- und Schreibberechtigung für das Verzeichnis besteht.

LDAP-Verhalten schreiben und lesen#

Fall

Verhalten

Benutzer wird in Allegra erstellt

Benutzer wird in LDAP erstellt

Benutzer wird in Allegra gelöscht

Benutzer bleibt in LDAP

UID des Allegra-Benutzers wird geändert

Die UID desselben Benutzers wird auch in LDAP geändert

Die Attribute des Allegra-Benutzers werden geändert

LDAP-Attribute werden geändert

Gruppe wird in Allegra erstellt

Gruppe wird in LDAP erstellt

Gruppenname wird in Allegra geändert

LDAP-Gruppenattribut OU wird geändert

LDAPS mit selbst signierten Zertifikaten#

Allegra unterstützt das sichere LDAPS-Protokoll. Für offizielle Zertifikate genügt es, in der URL des Verzeichnisservers „ldaps“ statt „ldap“ voranzustellen. Für selbst signierte Zertifikate legen Sie zusätzlich eine LDAPS-Keystore-Datei namens Trackplus.ks im Verzeichnis ALLEGRA_HOME/Keystore an. Eine ausführliche Anleitung finden Sie unter SSL- und TLS-Verschlüsselung. Der LDAP-Server muss ebenfalls für LDAPS konfiguriert sein.

Für einen Windows-Server mussten wir die ApacheDS-Konfigurationsdatei wie folgt ergänzen:

<!-- SSL properties -->
<property name="enableLdaps" value="true" />
<property name="ldapsPort" value="10636" />
<property name="ldapsCertificateFile"
        value="C:\jdk1.5.0\bin\zanzibar.ks" />
<property name="ldapsCertificatePassword" value="secret" />
<bean id="configuration"
    class="org.apache.directory.server.\
            configuration.MutableServerStartupConfiguration">

und

<property name="workingDirectory" value="example.com" />
<!-- SSL properties -->
<property name="enableLdaps" value="true" />
<property name="ldapsPort" value="10636" />
<property name="ldapsCertificateFile"
        value="C:\jdk1.6.0\bin\zanzibar.ks" />
<property name="ldapsCertificatePassword" value="secret" />
Inhalt