LDAP

1 Grundkonfiguration LDAP
2 LDAP-Verbindung testen
3 Einrichten einer LDAP-Suche
4 LDAP-Synchronisierung

Ziel des LDAP-Synchronisationsmoduls ist es, eine nahezu zufällige Gruppen- und Benutzerstruktur aus einem LDAP-Dienst anzuwenden und mit den notwendigen Informationen zu füttern, um diese als Grundlage für die Gruppen-/Benutzerstruktur des Systems zu verwenden. Die Grundlage für dieses Modul bildet die TimedService-Komponente, über die die Synchronisation zeitgesteuert ausgeführt wird.

Das Modul besteht aus zwei wesentlichen Teilen, die zusammen die Synchronisation nahezu zufälliger LDAP-Strukturen ermöglichen. Um ein LDAP-Modul einzurichten, sind mehrere Schritte notwendig, die in diesem Beitrag erläutert werden.

AUFMERKSAMKEIT! Diese Einstellungen und Methoden sollten nur von erfahrenen Benutzern angewendet werden.

Grundkonfiguration LDAP

Damit das System auf einen LDAP-Server zugreifen kann, muss folgende Datei angepasst werden:

jboss\standalon\configuration\tim-ldap.properties

Diese Einstellungen gelten für alle Mandanten! Für eine detaillierte Beschreibung der einzelnen Linien erhalten Sie hier weitere Informationen:

#Here, the BaseDN is given, onto which the system builds the connection. This "index" is not changeable 
basedn=DC=system,DC=local
#The host name or the IP of the LDAP server
host=salvator
#Denotes the port of the LDAP server
port=389
#Denotes the use, with which the connection should be made. This requires only reading rights in LDAP
username=ldapsync
#The appropriate user password
password=secret
#Here, the type of authorization may be denoted
authentication=simple
#The number of milliseconds elapsed until the connection should be broken  
timeout=60000
#### Entries for the LDAP-Sync ####
# === Group entries ===
#Here the user may define the appearance of the groups that the system works through in the LSAP sync. Example: (member=TEST-*) searches for all groups beginning with "TEST-"
group.search=(member=*)
#Denotes which attribute of the acticedirectory group should be used for the group name 
group.name=cn
#This should remain "member" because this attribute is interpreted as the user in the system
group.member=member
 
# === User-Entries ===
#Denotes which class of objects (contacts, global groups, etc.) should be searched for by the system in LDAP. Generally remains as "user" 
user.search=(objectClass=user)
#Here the LDAP attribute, which is to be used for the E-mail address, may be selected
user.mail=mail
#Here the LDAP attribute, which is to be used for the first name, may be selected
user.firstname=givenName
#Here the LDAP attribute, which is to be used for the surname, may be selected
user.lastname=sn
#Here the LDAP attribute, which is to be used for the user name, may be selected
user.name=samaccountname
#Here the LDAP attribute, which is to be used for the manager, may be selected
user.supervisor=manager
#OPTIONAL: Here the LDAP attribute, which is to be used for the password, may be selected 
#user.password=cn
 
# ===Technical entries ===
#Must be set, may NOT be changed!
contextfactory=com.sun.jndi.ldap.LdapCtxFactory

LDAP-Verbindung testen

Um elementare LDAP-Verbindungen zu testen, müssen einige Einstellungen im Mandantenprofil vorgenommen werden. Dazu sind folgende Verdienste erforderlich:

Attribut	Beschreibung

Attribut	Beschreibung
Authentifizierung	Kann leer bleiben
LDAP-Host	Host oder IP des LDAP-Servers
LDAP-Port	Port, auf den der LDAP-Server antwortet (Standard 389)
Factory Initial	Muss den folgenden Wert enthalten "com.sun.jndi.ldap.LdapCtxFactory"
Art der Authentifizierung	Kann "simple" oder "digest-md5" sein (Standard "simple")
DNS-Präfix	Kann leer bleiben
DNS-Suffix	Hier muss das DNS-Suffix der Firma hinterlegt werden

Anschließend kann über den Button "LDAP-Verbindung testen" ein LDAP-Lookup initiiert werden. Dazu geben Sie einfach einen LDAP-Benutzer und ein Passwort ein.

Das Passwort wird im Klartext angezeigt!

Einrichten einer LDAP-Suche

LDAP-Lookup bedeutet, dass das System Authentifizierungsanfragen an den LDAP-Server weiterleitet und fragt, ob der Benutzer berechtigt ist, sich selbst zu registrieren.

Da die Rechteverwaltung aktuell im System hinterlegt ist, muss der Benutzer im System registriert sein! Die Rechte des Benutzers werden im System verwaltet.

Ein E-Mail-Adresse muss im Nutzerprofil hinterlegt werden.

Die Anmeldung ist nicht zulässig, solange der Benutzer sein Passwort im AD ändern muss.

LDAP-Synchronisierung

Der LDAP Sync bietet die Möglichkeit, Benutzer im System anzulegen und Attribute aus dem LDAP anzuwenden. Wie LDAP-Attribute mit Systemattributen verknüpft sind, erfahren Sie auf der folgenden Seite.
Um den LDAP-Sync zu aktivieren, wird folgender Timer benötigt: https://tim-doc.atlassian.net/wiki/spaces/DE/pages/228262339.