Aktivieren der LDAP-Serverauthentifizierung

LDAP ist ein standardbasiertes, plattformübergreifendes und erweiterbares Protokoll, das direkt über TCP/IP ausgeführt wird. Es wird für den Zugriff auf spezielle Datenbanken (Verzeichnisse) verwendet.

Um zu vermeiden, dass mehrere Anmeldeinformationen verwaltet werden müssen, können Benutzer-IDs und Kennwörter mithilfe des firmeneigenen LDAP-Servers authentifiziert werden.

Voraussetzung dafür ist, dass der LDAP-Server Benutzergruppen enthält, die den erforderlichen Benutzerrollen entsprechen. Weitere Informationen finden Sie unter Informationen zu Benutzerrollen.

1. Klicken Sie in der oberen rechten Ecke der Seite auf .

2. Klicken Sie auf LDAP, und wählen Sie dann LDAP für Authentifizierung aktivieren.

3. Konfigurieren Sie im Abschnitt "Authentifizierungsinformationen" die Einstellungen.

   • Hostname des LDAP-Servers: Die IP-Adresse oder der Hostname des LDAP-Servers, auf dem die Authentifizierung stattfindet. Wenn die Kommunikation zwischen MVE- und LDAP-Server verschlüsselt werden soll, verwenden Sie den vollqualifizierten Domänennamen (FQDN).

   • Serveranschluss: Die Anschlussnummer, die vom lokalen Computer zur Kommunikation mit dem LDAP-Community-Server verwendet wird. Anhand der Anschlussnummer bestimmt MVE, welche Art der Verschlüsselung zu verwenden ist. Die Standardnummer des Anschlusses lautet 389. Wenn die Standardnummer des Anschlusses verwendet wird, beginnt MVE die Verbindung unverschlüsselt. Andernfalls beginnt MVE die Verbindung mit SSL-Verschlüsselung.

   • Definierter Root-Name: Der definierte Name (DN) des Root-Knotens. In der Hierarchie des LDAP-Community-Servers muss dieser Knoten der Vorgänger des Benutzer- und Gruppenknotens sein. Zum Beispiel dc=mvptest,dc=com.

     Hinweis: Wenn Sie einen Root-DN angeben, stellen Sie sicher, dass der Ausdruck nur dc und o enthält. Wenn ou oder cn für den Vorgänger der Benutzer- oder Gruppenknoten angegeben ist, verwenden Sie ou oder cn in den Ausdrücken "Benutzersuchbasis" und "Gruppensuchbasis".

   • Benutzersuchbasis: Der Knoten im LDAP-Community-Server, in dem das Benutzerobjekt enthalten ist. Dieser Knoten befindet sich unterhalb des Root-DNs, in dem alle Knoten aufgeführt sind. Zum Beispiel ou=people.

   • Filter für Benutzersuche: Der Parameter zur Suche nach einem Benutzerobjekt im LDAP-Community-Server. Zum Beispiel (uid={0}).

     Beispiele für zulässige mehrere Bedingungen und komplexe Ausdrücke

     Anmelden mit	Geben Sie im Feld "Benutzersuchfilter" Folgendes ein
     Gemeinsamer Name	(CN={0})
     Anmeldename	(sAMAccountName={0})
     Benutzerprinzipalname	(userPrincipalName={0})
     Telefonnummer	(telephoneNumber={0})
     Anmeldename oder gemeinsamer Name	(|(sAMAccountName={0})(CN={0}))

     
     

     Hinweis: Das einzig gültige Muster lautet {0}. Das bedeutet, dass MVE nach dem Anmeldenamen des MVE-Benutzers sucht.

   • Suche nach geschachtelten Benutzern erlauben: Das System durchsucht alle Knoten unterhalb der Benutzersuchbasis.

   • Gruppensuchbasis— Der Knoten im LDAP-Community-Server, in dem die den MVE-Rollen entsprechenden Benutzergruppen vorhanden sind. Dieser Knoten befindet sich unterhalb des Root-DNs, in dem alle Gruppenknoten aufgeführt sind. Zum Beispiel ou=group.

   • Gruppensuchfilter: Der Parameter für die Suche nach einem Benutzer innerhalb einer Gruppe, die einer Rolle in MVE entspricht.

     Hinweis: Nur die Muster {0} und {1} können verwendet werden. Bei Verwendung von {0} sucht MVE nach dem DN des LDAP-Benutzers. Bei Verwendung von {1} sucht MVE nach dem Anmeldenamen des MVE-Benutzers.

   • Gruppenrollenattribut: Das Attribut, in dem der vollständige Name der Gruppe enthalten ist. Zum Beispiel cn.

   • Suche nach geschachtelten Gruppen erlauben: Das System durchsucht alle Knoten unterhalb der Gruppensuchbasis.

4. Wählen Sie im Abschnitt "Verbindungsinformationen" einen Bindungstyp aus.

   • Anonym: Diese Option ist standardmäßig aktiviert. Dies bedeutet, dass der MVE-Server weder seine Identität, noch Anmeldeinformationen gegenüber dem LDAP-Server offenlegt, um dessen Suchfunktion zu verwenden. Die Kommunikation während der anschließenden Sitzung für die LDAP-Suche ist vollständig unverschlüsselt.

   • Einfach: Der MVE-Server legt die angegebenen Anmeldeinformationen gegenüber dem LDAP-Server offen, um dessen Suchfunktion zu verwenden. Wenn der Serveranschluss auf 389 gesetzt ist, erfolgt die Kommunikation mit dem LDAP-Server unverschlüsselt. Wenn der Anschluss auf einen anderen Wert gesetzt ist, wird die Kommunikation verschlüsselt.

     1. Geben Sie im Feld "Qualifizierter Verbindungsname" den Verbindungs-DN ein.

     2. Geben Sie das Verbindungspasswort ein, und bestätigen Sie dann das Passwort.

   • TLS: Die Kommunikation zwischen MVE-Server und LDAP-Server ist mit Start TLS verschlüsselt. Der MVE-Server muss sich unter Verwendung der MVE-Serveridentität (Verbindungs-DN) und der zugehörigen Anmeldeinformationen (Verbindungspasswort) vollständig gegenüber dem LDAP-Server authentifizieren. TLS funktioniert nur bei Verwendung von Anschluss 389.

     1. Geben Sie im Feld "Qualifizierter Verbindungsname" den Verbindungs-DN ein.

     2. Geben Sie das Verbindungspasswort ein, und bestätigen Sie dann das Passwort.

   • Kerberos: Zur Konfiguration der Einstellungen gehen Sie folgendermaßen vor:

     1. Klicken Sie auf Datei auswählen, und navigieren Sie zur krb5.conf-Datei.

     2. Wählen Sie im Menü "Verschlüsselungsmethode", ob Sie die SSL-Verschlüsselung verwenden möchten.

     3. Wählen Sie den Authentifizierungstyp aus.

        Wenn "Authentifizierungstyp“ auf KDC-Name/Passwort eingestellt ist, konfigurieren Sie die Einstellungen.

        1. Geben Sie den KDC (Key Distribution Center)-Namen ein.

        2. Geben Sie das KDC-Kennwort ein, und bestätigen Sie das Kennwort.

        Hinweis: Wenn sich Kunden mit der Windows-Authentifizierung anmelden sollen, benutzen Sie bitte die Kerberos-Authentifizierung. Ein Dienstprinzipalname (SPN) und eine Schlüsseltabellen-Datei müssen auf dem LDAP-Server erstellt werden. Nachdem die Authentifizierungsmethode eingerichtet ist, haben Kunden, die nicht auf dem Localhost sind, die Berechtigung zur Nutzung von MVE, basierend auf ihrem Kundenkonto. Zur Änderung der LDAP-Einstellungen ohne gültiges Kundenkonto, greifen Sie unter Nutzung eines lokalen Administrator-Kontos vom Localhost aus auf MVE zu. Bei der Kerberos-Authentifizierung überprüft die Test-LDAP-Funktion nicht, ob Dienstprinzipalname (SPN) oder Schlüsseltabellen-Dateien ordnungsgemäß eingerichtet sind, und die Authentifizierung kann möglicherweise fehlschlagen.

   Hinweis: Bei einfachen, TLS- und Kerberos-Verbindungen muss MVE dem LDAP-Serverzertifikat vertrauen. Weitere Informationen finden Sie unter Installieren von LDAP-Serverzertifikaten.

5. Geben Sie im Abschnitt "Zuordnung von LDAP-Gruppen und MVE-Rollen" die Namen der LDAP-Gruppen ein, die den MVE-Rollen entsprechen.

   Hinweise:

   • Weitere Informationen finden Sie unter Informationen zu Benutzerrollen.
   • Sie können eine LDAP-Gruppe mehreren MVE-Rollen zuordnen und können in ein Feld "Rolle" auch mehr als eine LDAP-Gruppe eingeben.
   • Verwenden Sie bei der Eingabe mehrerer LDAP-Gruppen in die Rollenfelder einen senkrechten Strich (|), um mehrere LDAP-Gruppen voneinander zu trennen. Wenn Sie beispielsweise die Gruppen admin und assets in die Admin-Rolle einschließen möchten, geben Sie admin|assets in das Feld "LDAP-Gruppen für Admin-Rolle" ein.
   • Wenn Sie nur eine Admin-Rolle und keine anderen MVE-Rollen verwenden möchten, lassen Sie die Felder leer.

6. Klicken Sie auf Änderungen speichern.