LDAP Synchronisation

LDAP Synchronisation#

LDAP ist der De-facto-Industriestandard für Authentifizierung, Autorisierung sowie Adress- und Benutzerverzeichnisse. Wie die meisten Softwareprodukte, die mit Benutzerdaten umgehen müssen und am Markt relevant sind, unterstützt auch der Selectline Server LDAP. Sie können Benutzer automatisch von einem LDAP (Lightweight Directory Access Protocol) Server wie zum Beispiel dem Active Directory in den SelectLine Server übernehmen. Wählen Sie dazu den Menüpunkt Benutzerverwaltung / Einstellungen und begeben sich auf die Seite LDAP Synchronisation – “Konfigurieren”.

Konfigurieren (Ersteinrichtung)#

Wenn noch keine Verbindung eingerichtet ist, erhalten Sie eine Abfrage, ob die Einstellungen automatisch ermittelt werden sollen.

“Nein”: Sie werden aufgefordert, die gültigen Werte für Host, Port, Authentifizierung, User DN, Passwort und Base DN einzugeben. Die Felder Host und Base DN sind hierbei als Pflichtfelder deklariert. Für die Ermittlung des Port-Wertes können Sie dann ggf. den Button “Port-Ermittlung” nutzen.

“Ja”: Es wird im Netzwerk nach einem bestehenden LDAP Server gesucht. Ist die Suche erfolgreich, werden die für diesen Server gültigen Werte in die Servereinstellung übernommen. Über den Button “Testen” erhalten Sie bei erfolgreicher Verbindung die Meldung: Die Verbindung konnte erfolgreich hergestellt werden. In beiden Fällen gelangen Sie über Weiter zum Reiter der Filtereinstellungen. Je nach Einstellungen des LDAP Servers ergeben sich hier vielfältige Möglichkeiten. Im Feld Objekt-Klasse wählen Sie das für Ihre Konfiguration gültige Objekt aus. Der Stern gilt hierbei als Wildcard. Im Feld Gruppe können im LDAP festgelegte Gruppen für die Übernahme gewählt werden. Im Feld Filter kann ausschließlich die LDAP Filter-Syntax verwendet werden. Beispielhaft liefert (&(objectCategory=person)(objectClass=user)(!( cn=andy))) alle Benutzerobjekte außer “andy” zurück. Detaillierte Beschreibungen finden Sie z.B. über die folgenden externen Links:

• https://learn.microsoft.com/de-de/windows/win32/adsi/search-filter-syntax
• https://ldap.com/ldap-filters/
• http://www.selfadsi.de/ldap-filter.htm

Über den Button “Weiter” erfolgt in der Feldzuordnung die Verbindung zwischen den Inhalten aus dem LDAP Server zu den Feldern der Benutzerverwaltung im Selectline Server (z.B. E-Mail = mail; Vollständiger Name = displayname, etc.). Im unteren Bereich werden Ihnen die zugeordneten Dateninhalte dargestellt. Der Button “Einstellungen speichern und weiter” sichert die bisher gemachten Einstellungen und leitet Sie auf die Seite Benutzerauswahl. Auf dieser Seite befinden sich alle Nutzer aus dem LDAP Server, die nicht über die vorhergehenden Einstellungen in der Auswahl eliminiert wurden. Im Standard ist beim Öffnen der Seite der Schalter “Alle Benutzer synchronisieren” aktiv. Daneben können die zukünftige Rolle, oder mehrere zukünftigen Rollen, dem zu übernehmenden Nutzer zugeordnet werden. Mit Änderungen übernehmen werden alle dort aufgeführten Nutzer mit den entsprechenden Rollen-Rechten im Selectline Server angelegt. Wenn Nutzer aus dem LDAP Server gelöscht werden, gilt: Bei der nächsten Synchronisierung wird der Server Benutzer inaktiv gesetzt und die LDAP Verknüpfung wird entfernt. Wird der Schalter für die “Synchronisation aller Benutzer” deaktiviert, können per Checkbox einzelne Benutzer der Datenmenge ausgewählt werden. Auch hier ist die Mehrfachauswahl der Rolle möglich. Über den Auswahlschalter der Zeile legen Sie die auszuführende Aktion (Bei Ersteinrichtung = Keine) für den/die gewählten Nutzer fest. Darüber können Nutzer neu angelegt werden oder Nutzer aus dem LDAP mit bereits bestehenden Selectline Server Nutzern verknüpft werden. Es ist nicht möglich, Benutzer mehrfach auszuwählen. Dies gilt auch über die Spalten mit der Aktion “Benutzer verknüpfen” hinweg. Achtung: Bei einer Verknüpfung werden die Rollenrechte zusätzlich zu den bestehenden Rechten gesetzt.

Konfigurieren (Änderungen nach Ersteinrichtung)#

Die bereits beschriebenen Schritte/ Aktionen können erneut aufgerufen und bearbeitet werden.

Benutzerverwaltung / Einstellungen LDAP Synchronisation#

Nach erfolgter Konfiguration legen Sie an dieser Stelle fest, ob eine zeitlich gesteuerte Synchronisation zwischen LDAP Server und SelectLine stattfinden soll und zu welcher Uhrzeit diese stattfindet. Über den Button “Jetzt Synchronisieren” wird ein sofortiger Abgleich der LDAP Nutzer mit den Nutzern im Selectline Server ausgeführt. Der Status der Synchronisation wird Ihnen unten links angezeigt.

• Grün bedeutet dabei eine erfolgreiche Ausführung.
• Rot würde z.B. auf eine Nichterreichbarkeit des LDAP Servers hinweisen.
• Gelb bedeutet, dass es einzelne Konflikte gibt. Welche Datensätze betroffen sind, können Sie der Seite Benutzerauswahl in der Konfiguration entnehmen.