Aktivieren der LDAP-Serverauthentifizierung

LDAP ist ein standardbasiertes, plattformübergreifendes und erweiterbares Protokoll, das direkt über TCP/IP ausgeführt wird. Es wird für den Zugriff auf spezielle Datenbanken (Verzeichnisse) verwendet.

Um zu vermeiden, dass mehrere Anmeldeinformationen verwaltet werden müssen, können Benutzer-IDs und Kennwörter mithilfe des firmeneigenen LDAP-Servers authentifiziert werden.

Voraussetzung dafür ist, dass der LDAP-Server Benutzergruppen enthält, die den erforderlichen Benutzerrollen entsprechen. Weitere Informationen finden Sie unter Informationen zu Benutzerrollen.

1. Klicken Sie in der oberen rechten Ecke der Seite auf .

2. Klicken Sie auf LDAP, und wählen Sie dann LDAP für Authentifizierung aktivieren.

3. In dem Feld Hostname des LDAP-Servers wird die IP-Adresse oder der Hostname des LDAP-Servers, auf dem die Authentifizierung stattfindet, angezeigt.

   Hinweis: Wenn die Kommunikation zwischen MVE- und LDAP-Server verschlüsselt werden soll, verwenden Sie den vollqualifizierten Domänennamen (FQDN).

4. Geben Sie die Server-Anschlussnummer entsprechend dem ausgewählten Verschlüsselungsprotokoll an.

5. Wählen Sie das Verschlüsselungsprotokoll aus.

   • Keine

   • TLS: Ein Sicherheitsprotokoll, das die Kommunikation zwischen einem Server und einem Client mittels Datenverschlüsselung und Zertifikatauthentifizierung schützt.

   • SSL/TLS: Ein Sicherheitsprotokoll, das die Kommunikation zwischen einem Server und einem Client mithilfe von Kryptografie mit öffentlichem Schlüssel authentifiziert.

6. Wählen Sie den Bindungstyp aus.

   • Anonym: Diese Option ist standardmäßig aktiviert. Dies bedeutet, dass der MVE-Server weder seine Identität, noch Anmeldeinformationen gegenüber dem LDAP-Server offenlegt, um dessen Suchfunktion zu verwenden.

   • Einfach: Der MVE-Server legt die angegebenen Anmeldeinformationen gegenüber dem LDAP-Server offen, um dessen Suchfunktion zu verwenden.

     1. Geben Sie den Verbindungsbenutzernamen ein.

     2. Geben Sie das Verbindungskennwort ein, und bestätigen Sie dann das Kennwort.

   • Kerberos: Zur Konfiguration der Einstellungen gehen Sie folgendermaßen vor:

     1. Geben Sie den Verbindungsbenutzernamen ein.

     2. Geben Sie das Verbindungskennwort ein, und bestätigen Sie dann das Kennwort.

     3. Klicken Sie auf Datei auswählen, und navigieren Sie zur Datei "krb5.conf".

   • SPNEGO: Zur Konfiguration der Einstellungen gehen Sie folgendermaßen vor:

     1. Geben Sie den Dienstprinzipalnamen ein.

     2. Klicken Sie auf Datei auswählen, und navigieren Sie zur Datei "krb5.conf".

     3. Klicken Sie auf Datei auswählen, und navigieren Sie zur Kerberos-Schlüsseltabellendatei.

7. Konfigurieren Sie im Abschnitt Erweiterte Optionen Folgendes:

   • Suchbasis: Der definierte Name (DN) des Root-Knotens. In der Hierarchie des LDAP-Community-Servers muss dieser Knoten der Vorgänger des Benutzer- und Gruppenknotens sein. Zum Beispiel dc=mvptest,dc=com.

     Hinweis: Wenn Sie einen Root-DN angeben, stellen Sie sicher, dass der Ausdruck nur dc und o enthält. Wenn ou oder cn für den Vorgänger der Benutzer- oder Gruppenknoten angegeben ist, verwenden Sie ou oder cn in den Ausdrücken "Benutzersuchbasis" und "Gruppensuchbasis".

   • Benutzer-Suchbasis: Der Knoten im LDAP-Community-Server, in dem das Benutzerobjekt enthalten ist. Dieser Knoten befindet sich unterhalb des Root-DNs, in dem alle Benutzerknoten aufgeführt sind. Zum Beispiel ou=people.

   • Filter für Benutzersuche: Der Parameter zur Suche nach einem Benutzerobjekt im LDAP-Community-Server. Zum Beispiel (uid={0}).

     Beispiele für zulässige mehrere Bedingungen und komplexe Ausdrücke

     Anmelden mit	Geben Sie im Feld "Filter für Benutzersuche" Folgendes ein
     Gemeinsamer Name	(CN={0})
     Anmeldename	(sAMAccountName={0})
     Benutzerprinzipalname	(userPrincipalName={0})
     Telefonnummer	(telephoneNumber={0})
     Anmeldename oder gemeinsamer Name	(|(sAMAccountName={0})(CN={0}))

     
     

     Hinweis: Das einzig gültige Muster lautet {0}. Das bedeutet, dass MVE nach dem Anmeldenamen des MVE-Benutzers sucht.

   • Verschachtelte Benutzersuche zulassen: Das System durchsucht alle Knoten unterhalb der Benutzersuchbasis.

   • Gruppen-Suchbasis: Der Knoten im LDAP-Community-Server, der die den MVE-Rollen entsprechenden Benutzergruppen enthält. Dieser Knoten befindet sich unterhalb des Root-DNs, in dem alle Gruppenknoten aufgeführt sind. Zum Beispiel ou=group.

   • Gruppensuchfilter: Der Parameter für die Suche nach einem Benutzer innerhalb einer Gruppe, die einer Rolle in MVE entspricht.

     Hinweis: Nur die Muster {0} und {1} können verwendet werden. Bei Verwendung von {0} sucht MVE nach dem DN des LDAP-Benutzers. Bei Verwendung von {1} sucht MVE nach dem Anmeldenamen des MVE-Benutzers.

   • Gruppen-Rollenattribut: Das Attribut, in dem der vollständige Name der Gruppe enthalten ist. Zum Beispiel cn.

   • Verschachtelte Gruppensuche freigeben: Das System durchsucht alle Knoten unterhalb der Gruppensuchbasis.

8. Geben Sie im Abschnitt Zuordnung von LDAP-Gruppen und MVE-Rollen die Namen der LDAP-Gruppen ein, die den MVE-Rollen entsprechen.

   Hinweise:

   • Weitere Informationen finden Sie unter Informationen zu Benutzerrollen.
   • Sie können eine LDAP-Gruppe mehreren MVE-Rollen zuweisen. Sie können auch mehr als eine LDAP-Gruppe in ein Rollenfeld eingeben, indem Sie das vertikale Balkenzeichen (|) verwenden, um mehrere Gruppen voneinander zu trennen. Wenn Sie beispielsweise die Gruppen admin und assets in die Admin-Rolle einschließen möchten, geben Sie admin|assets in das Feld "LDAP-Gruppen für Admin-Rolle" ein.
   • Wenn Sie nur eine Admin-Rolle und keine anderen MVE-Rollen verwenden möchten, lassen Sie die Felder leer.

9. Klicken Sie auf Änderungen speichern.