# LDAP-Schnittstellenkonfiguration
In der ELO Administration Console bearbeiten Sie über den Menüpunkt LDAP-Schnittstellenkonfiguration die Konfigurationsdatei ldap.json bezüglich der Verbindungsdaten, der Auswahl der Benutzer und der Attributzuweisung. Die Datei ldap.json wird im Repository unter folgendem Pfad gespeichert:
Administration // IndexServer Scripting Base // _ALL // ldap.json
Information
Pfadänderungen sind in folgenden Fällen möglich:
- Möchten Sie für einen ELO Indexserver eine spezielle Konfiguration vornehmen, kopieren Sie die Datei in das Verzeichnis des jeweiligen ELO Indexservers und passen Sie die Datei dort an.
- Möchten Sie unterschiedliche Konfigurationen für verschiedene ELO Indexserver vornehmen, benötigen Sie für jeden ELO Indexserver eine eigene Datei.
Die Konfiguration bezieht sich auf ein einzelnes Repository. Wird die Konfiguration über die ELO Administration Console bearbeitet, muss der ELO Indexserver des Repositorys neu gestartet werden. Falls es mehrere ELO Indexserver gibt, müssen alle neu gestartet werden.
Beachten Sie
Das Konto ELO Service (oder das jeweils verwendete Dienstkonto) sollte nicht über LDAP authentifiziert werden. Dadurch sind die serverseitigen ELO Anwendungen unabhängig von der LDAP-Konfiguration. Ansonsten kann das Deaktivieren der LDAP-Verbindung dazu führen, dass die ELO Anwendungen nicht mehr starten. Eine Aktivierung der LDAP-Anbindung ist dann nicht mehr über die ELO Administration Console möglich.
Auch administrative Konten sollten nicht über LDAP authentifiziert werden.
Sie können Einstellungen für mehrere Domänen vornehmen.
Im Bereich Domainauswahl sehen Sie die vorhandenen Domänen.
Hinzufügen (grünes Plussymbol): Einstellungen für eine Domäne hinzufügen
Löschen (rotes X-Symbol): Einstellungen für eine Domäne löschen
Daten erneut vom Server abrufen (gelbes Kreispfeilsymbol): Bereich Domainauswahl aktualisieren
Information
Bei Verbindungsproblemen kann die Log-Datei des ELO Indexservers auf debug umgestellt werden. Dies vereinfacht die Fehlersuche.
# Verbindungseinstellungen
Domänenname: Geben Sie in dieser Option den DNS-Namen oder die IP-Adresse der Domäne an. Die Einstellung wird verwendet, wenn aus dem sAMAccountName der userPrincipalName gebildet wird.
Information
Es sind nur Buchstaben (ohne Umlaute und Sonderzeichen), Ziffern und Punkte erlaubt.
LDAP-URL: Über die Eingaben im Feld LDAP-URL wird die Verbindung zum LDAP-Server über TCP bestimmt.
LDAP-Anmeldekonto: Für SSO wird ein technisches Konto benötigt, unter dessen Anmeldung der vom SSO-Mechanismus übergebene Kontoname (in der Regel sAMAccountName) im LDAP gesucht werden kann. Geben Sie einen userPrincipalName an.
Beachten Sie
Das Konto muss ausreichende Rechte haben, um die Benutzerattribute und Gruppenzugehörigkeiten zu lesen.
Beachten Sie
Bei der Verwendung von Kerberos: Trennen Sie das Kerberos-Konto und das LDAP-Anmeldekonto. Das Kerberos-Konto muss nicht in ELO existieren.
LDAP-Passwort: In das Feld LDAP-Passwort kann das unverschlüsselte Kennwort des LDAP-Anmeldekontos eingetragen werden. Der ELO Indexserver speichert es beim Neustart verschlüsselt.
Verbindungs-Timout in Sek.: Die LDAP-Schnittstelle bricht nach dieser Anzahl von Sekunden einen Verbindungsaufbau zum LDAP-Server ab. Anschließend wird der nächste Server in der Liste probiert.
Such-Timeout in Sek.: Bei einer Suche nach Benutzern oder Gruppen wird dieser Timeout-Wert an den LDAP-Server übergeben.
# Übernahme von Benutzern
DN für Personensuche: Über dieses Feld geben Sie an, in welchen Zweigen des LDAP-Verzeichnisses nach Benutzern gesucht werden soll.
Beachten Sie
Die Liste darf nicht leer sein.
Geben Sie auch nicht zu viele Zweige an. Je mehr Zweige Sie angeben, desto ungenauer wird die Suche.
Suchfilter für Personen: Die Suche nach Benutzern kann mit diesem Filter eingegrenzt werden.
Suchfilter für E-Mails: Bei einer ersten Anmeldung mit E-Mail-Adresse wird der Benutzer über diesen Filter im LDAP-Verzeichnis gesucht.
Erforderliche Gruppenmitgliedschaft: Über dieses Feld kann die Anmeldung auf die Benutzer beschränkt werden, die Mitglied einer bestimmten Gruppe im LDAP-Verzeichnis sind. Die Angabe ist als Common Name vorzunehmen.
DN für Gruppensuche: Über dieses Feld geben Sie an, in welchen Zweigen des LDAP-Verzeichnisses die Gruppen liegen müssen, die für den Gruppenabgleich infrage kommen. Ist die Liste leer, gehen alle Gruppen des Benutzers in den Gruppenabgleich ein.
Suchfilter für Gruppen: Die Suche nach den Gruppen eines Benutzers kann mit diesem Filter eingegrenzt werden.
Maximale Verschachtelung: Über dieses Feld kann die Tiefe der Gruppe-in-Gruppe-Beziehung angeben werden. Dies bezieht sich auf das Sammeln von Benutzergruppen für den Gruppenabgleich.
# Attributzuweisung
Domänenpräfix: Das Domänenpräfix ist erforderlich, wenn mehrere Domänen konfiguriert werden und zum ELO Benutzer der sAMAccountName als Windows-Benutzer geführt wird.
Das Domänenpräfix muss mit einem Trennzeichen abgeschlossen werden. Dadurch wird das Präfix vom Benutzernamen separiert. Es sollte vorzugsweise ein Backslash verwendet werden.
Information
Wenn SSO genutzt werden soll, muss das Domänenpräfix mit dem „kurzen“ (NetBIOS) Domänennamen übereinstimmen.
Das für SSO passende Domänenpräfix finden Sie (auf dem Client-Computer) in der Umgebungsvariablen USERDOMAIN.
Für SSO mit Domänenpräfix muss in der Datei config.xml des ELO Indexservers die Option "ntlm.domainUserFormat" gesetzt werden.
Wird im Feld Benutzeranmeldung über die Option sAMAccountName gewählt und ein Domänenpräfix definiert, enthält der Windows-Benutzer den Account-Namen mit vorangestelltem Domänenpräfix.
Beispiel:
sAMAccountName= fritzfrei- Domänenpräfix = ELO\
- Windows-Benutzer = ELO\fritzfrei
Platzhalter für ELO Benutzernamen: Aus verschiedenen LDAP-Attributen des Benutzers kann der Benutzername für ELO zusammengestellt werden. Hierfür kann ein Formatausdruck mit Platzhaltern angegeben werden. Die Platzhalter sind in $-Zeichen eingerahmt und entsprechen den LDAP-Attributnamen.
Benutzeranmeldung über: Über das Drop-down-Menü Benutzeranmeldung über wählen Sie aus, ob für die Eigenschaft Windows-Benutzer (siehe ELO Benutzerverwaltung) der sAMAccountName, der userPrincipalName oder die UID verwendet werden soll.
Beachten Sie
Die im Feld Benutzeranmeldung über gewählte Einstellung muss zu den Einstellungen im Feld Suchfilter für Personen (Tab Übernahme von Benutzern) passen. Achten Sie auf korrekte Groß-/Kleinschreibung.
Auch die Schreibung von Umlauten sollte identisch zwischen Active Directory und ELO Benutzernamen sein.
Dabei ist zu beachten, dass die ELO Administration Console auf die nachfolgenden vier Attribute auf der LDAP-Seite prüft. Die ELO Administration Console verwendet das erste gesetzte Attribut für den Namen.
LdapServerFactory.CONST.USERINFO.DISPLAY_NAME,
LdapServerFactory.CONST.USERINFO.CN,
LdapServerFactory.CONST.USERINFO.SAM_ACCOUNT_NAME
LdapServerFactory.CONST.USERINFO.DISTINGUISHED_NAME
Information
Für manche Umgebungen ist eine individuelle Konfiguration notwendig. Das Feld lässt eine freie Eingabe von Werten zu.
Attributname Vorgesetzter: Über dieses Feld legen Sie fest, aus welchem Attribut der Vorgesetzte des ELO Benutzers ermittelt wird. Üblicherweise wird das Attribut $manager$ verwendet.
Beachten Sie
Der Vorgesetzte muss bereits in ELO angelegt sein.
ELO Administrator für diesen Benutzer: Für Benutzer, die über die LDAP-Schnittstelle erstellt werden, kann über das Feld ELO Administrator für diesen Benutzer festgelegt werden, welcher ELO Benutzer als Administrator zugewiesen wird. Die Angabe kann als ID, GUID oder ELO Benutzername erfolgen.
Attribute in ELO speichern: Über dieses Feld legen Sie fest, welche Attribute aus dem LDAP in ELO übertragen werden sollen.
Um ein Attribut hinzuzufügen, tragen Sie den Namen des Attributs in das Feld ein. Klicken Sie anschließend auf Hinzufügen (grünes Plussymbol).
Um ein Attribut zu entfernen, klicken Sie auf das jeweilige X-Symbol in der Liste der Attribute.
Information
Pflichtattribute können nicht gelöscht werden. Das X-Symbol ist in diesem Fall ausgegraut.