Nachfolgend werden die LDAP-Einstellungsmöglichkeiten zur Anbindung von VIMP an einen Verzeichnisdienst (wie z.B. Active Directory oder OpenLDAP) erläutert.
Die LDAP-Authentifizierung kann in der VIMP-Konfiguration unter „Benutzer“ -> „Authentifizierungsanbieter“ aktiviert werden. Nur wenn aktiviert, finden die nachfolgend beschriebenen Einstellungen Anwendung.
Sofern „LDAP“ in der Konfiguration als Authentifizierungsanbieter gewählt wurde, kann im Rollenmanagement („Rollen & Rechte“) eine LDAP-Rollenzuordnung der vorhandenen VIMP-Rollen vorgenommen und eine Priorität vergeben werden.
Es können insgesamt drei LDAP-Konfigurationen für die Anbindung von bis zu drei LDAP-Servern definiert werden.
Benutzerdaten in der Datenbank aktualisieren
Definiert, ob die Benutzerdaten in der VIMP-Datenbank beim Login ggf. aktualisiert werden sollen.
Erlaube, dass sich die DN von existierenden Einträgen ändert
Dies kann zum Beispiel der Fall sein, wenn der Benutzer in der LDAP-Struktur verschoben wurde.
Lösche Benutzer endgültig, wenn sie nicht mehr im LDAP gefunden werden können
Löscht Benutzer endgültig, wenn diese während des user-sync nicht mehr im LDAP vorkommen.
Verifiziere TLS Zertifikate bei LDAPS-Verbindungen
Aktiviert die Validierung von Zertifikaten bei LDAPS Verbindungen
LDAP Passwort in der Datenbank speichern
Definiert, ob das LDAP-Passwort auch in der VIMP-Datenbank gespeichert werden soll.
Reaktiviere gelöschte Benutzer
Wenn diese Option aktiviert ist, werden in VIMP gelöschte Benutzer bei einem erneuten Login wieder reaktiviert.
LDAP Benutzerprofil standardmäßig sichtbar
Wenn diese Option aktiviert ist, ist das Benutzerprofil standardmäßig für andere Benutzer sichtbar.
Rollenzuordnung bei jeder Anmeldung aktualisieren
Wenn aktiviert, wird die Rollenzuordnung bei jeder Anmeldung aktualisiert.
LDAP-Server URL
Vollständiger Name des Verzeichnisservers (z.B. ldap://serverip:port oder ldaps://serverip:port).
LDAP rekursives Limit für Gruppen
Definiert, in welcher Tiefe LDAP-Gruppen berücksichtigt werden (0 = unlimitiert).
LDAP-Benutzerbasis
FQN (Fully qualified name, http://en.wikipedia.org/wiki/FQN) zum Pfad der Benutzer im Verzeichnisdienst (z.B. dc=domain,dc=com). Es handelt sich bei der Benutzerbasis um den Knoten im LDAP-Baum, unter dem die Benutzer zu finden sind.
LDAP-Gruppenbasis
FQN zum Pfad der Gruppen im Verzeichnisdienst (z.B. dc=domain,dc=com). LDAP-Gruppenbasis ist der Knoten im LDAP-Baum, unter dem die Gruppen zu finden sind.
LDAP-Gruppenfilter
LDAP-Filter für die Gruppen (z.B. (objectClass=posixGroup)). Gruppenfilter ist die Angabe, über die die LDAP-Gruppen zu finden sind. Typischerweise ist das (objectClass=group).
LDAP-Benutzerfilter
LDAP-Filter für die Benutzer (z.B. (objectClass=posixAccount)). Es handelt sich dabei um die Angabe, über die die LDAP-Benutzer zu finden sind.
LDAP-Benutzer mit dem gesucht wird
FQN für den Benutzer mit dem VIMP sich an den LDAP-Server anmeldet und der Verzeichnisdienst durchsucht wird (z.B. cn=admin,dc=domain,dc=com). LDAP Benutzer ist ein Benutzer, der Lesezugriff auf den gesamten Baum ab den jeweiligen Basen hat.
LDAP-Benutzer-Passwort mit dem gesucht wird
Passwort zu dem LDAP-Benutzer, der Lesezugriff auf den gesamten Baum ab den jeweiligen Basen hat.
LDAP-Attribut mit dem die Benutzer gesucht werden
LDAP-Attribut mit dem VIMP im Verzeichnisdienst nach Benutzern sucht (z.B. uid), aus dem also der Benutzername ermittelt wird.
LDAP-Attribut mit dem Mitglieder gesucht werden
LDAP-Attribut mit dem VIMP im Verzeichnisdienst nach Benutzern in Gruppen sucht (z.B. memberUid). Es handelt sich dabei um ein Gruppen-Attribut, aus dem die Mitglieder der jeweiligen Gruppe ermittelt werden. Welcher Benutzer sich in welcher Gruppe befindet, wird nicht über den Benutzer sondern die Gruppe ermittelt.
Vollständigen DN für die Benutzersuche in Gruppen verwenden
Wenn aktiviert, wird anstelle des CN der vollständige DN als Attributfilter für die Benutzergruppenzuordnung verwendet.
LDAP-Timeout
Die Zeit in Sekunden die VIMP für den Verbindungsaufbau zum Verzeichnisserver wartet, bevor ein Fehler gemeldet wird (z.B. 30).
LDAP-Attribut Name für Vorname
LDAP-Attribut für den Vornamen im Verzeichnisdienst (z.B. givenName).
LDAP-Attribut Name für Nachname
LDAP-Attribut für den Nachname im Verzeichnisdienst (z.B. sn).
LDAP-Attribut Name für E-Mail
LDAP-Attribut für die E-Mail-Adresse im Verzeichnisdienst (z.B. mail).
LDAP-Attribut Name für Stadt
LDAP-Attribut für die Stadt im Verzeichnisdienst (z.B. l).
LDAP-Attribut Name für Land
LDAP-Attribut für das Land im Verzeichnisdienst (z.B. c).
Besonderheiten zur Anbindung eines Active Directories (AD) werden in diesem Artikel beschrieben.
Eine Beispielkonfiguration sehen Sie nachfolgend:
