Aktivieren der LDAP-Server-Authentifizierung

LDAP ist ein standardbasiertes, plattformübergreifendes und erweiterbares Protokoll, das direkt über TCP/IP ausgeführt wird. Es wird für den Zugriff auf spezielle Datenbanken (Verzeichnisse) verwendet.

Um zu vermeiden, dass mehrere Anmeldeinformationen verwaltet werden müssen, können Benutzer-IDs und Kennwörter mithilfe des firmeneigenen LDAP-Servers authentifiziert werden.

Voraussetzung dafür ist, dass der LDAP-Server Benutzergruppen enthält, die den erforderlichen Benutzerrollen entsprechen. Weitere Informationen finden Sie unter Informationen zu Benutzerrollen .

1. Klicken Sie in der oberen rechten Ecke der Seite auf .

2. Klicken Sie auf LDAP , und wählen Sie anschließend LDAP für Authentifizierung aktivieren aus.

3. In dem Feld Hostname des LDAP-Servers wird die IP-Adresse oder der Hostname des LDAP-Servers angezeigt, auf dem die Authentifizierung stattfindet.

   Hinweis:  Wenn die Kommunikation zwischen MVE- und LDAP-Server verschlüsselt werden soll, verwenden Sie den vollqualifizierten Domänennamen (FQDN).

4. Geben Sie die Server-Anschlussnummer entsprechend dem ausgewählten Verschlüsselungsprotokoll an.

5. Wählen Sie das Verschlüsselungsprotokoll aus.

   • Keine

   • TLS : ein Sicherheitsprotokoll, das die Kommunikation zwischen einem Server und einem Client mittels Datenverschlüsselung und Zertifikatauthentifizierung schützt. Wenn diese Option ausgewählt ist, wird ein START_TLS-Befehl an den LDAP-Server gesendet, nachdem die Verbindung hergestellt worden ist. Verwenden Sie diese Einstellung, wenn Sie eine sichere Kommunikation über Port 389 wünschen.

   • SSL/TLS : Ein Sicherheitsprotokoll, das die Kommunikation zwischen einem Server und einem Client mithilfe von Kryptografie mit öffentlichem Schlüssel authentifiziert. Verwenden Sie diese Option, wenn Sie eine gesicherte Kommunikation ab dem Beginn der LDAP-Bindung wünschen. Diese Option wird in der Regel für Port 636 oder andere gesicherte LDAP-Anschlüsse verwendet.

6. Wählen Sie den Bindungstyp aus.

   • Einfach : Der MVE-Server legt die angegebenen Anmeldeinformationen gegenüber dem LDAP-Server offen, um dessen Suchfunktion zu verwenden.

     1. Geben Sie den Verbindungsbenutzernamen ein.

     2. Geben Sie das Verbindungskennwort ein, und bestätigen Sie anschließend das Kennwort.

   • Kerberos : Zur Konfiguration der Einstellungen gehen Sie folgendermaßen vor:

     1. Geben Sie den Verbindungsbenutzernamen ein.

     2. Geben Sie das Verbindungskennwort ein, und bestätigen Sie anschließend das Kennwort.

     3. Klicken Sie auf Datei auswählen , und navigieren Sie zur Datei "krb5.conf".

   • SPNEGO : Zur Konfiguration der Einstellungen gehen Sie folgendermaßen vor:

     1. Geben Sie den Dienstprinzipalnamen ein.

     2. Klicken Sie auf Datei auswählen , und navigieren Sie zur Datei "krb5.conf".

     3. Klicken Sie auf Datei auswählen , und navigieren Sie zur Kerberos-Schlüsseltabellendatei.

     Diese Option wird nur für die Konfiguration des Simple and Protected GSSAPI Negotiation Mechanism (SPNEGO) zur Unterstützung der Single-Sign-On-Funktionalität verwendet.

7. Konfigurieren Sie im Abschnitt Erweiterte Optionen Folgendes:

   • Suchbasis : der definierte Name (DN) des Root-Knotens. In der Hierarchie des LDAP-Community-Servers muss dieser Knoten der Vorgänger des Benutzer- und Gruppenknotens sein. Beispiel: dc=mvetest,dc=com .

     Hinweis:  Wenn Sie einen Root-DN angeben, stellen Sie sicher, dass der Ausdruck nur dc und o enthält. Wenn ou oder cn für den Vorgänger der Benutzer- oder Gruppenknoten angegeben ist, verwenden Sie ou oder cn in den Ausdrücken "Benutzersuchbasis" und "Gruppensuchbasis".

   • Benutzersuchbasis : der Knoten im LDAP-Community-Server, in dem das Benutzerobjekt enthalten ist. Dieser Knoten befindet sich unterhalb des Root-DNs, in dem alle Benutzerknoten aufgeführt sind. Beispiel: ou=people .

   • Filter für Benutzersuche : der Parameter zur Suche nach einem Benutzerobjekt im LDAP-Community-Server. Beispiel: (uid={0}) .

     Beispiele für zulässige mehrere Bedingungen und komplexe Ausdrücke

     Anmelden mit	Geben Sie im Feld Filter für Benutzersuche Folgendes ein:
     Gemeinsamer Name	(CN={0})
     Anmeldename	(sAMAccountName={0})
     Benutzerprinzipalname	(userPrincipalName={0})
     Telefonnummer	(telephoneNumber={0})
     Anmeldename oder gemeinsamer Name	(|(sAMAccountName={0})(CN={0}))

     
     
     Hinweis:  Nur die Muster {0} und {1} können verwendet werden. Bei Verwendung von {0} sucht MVE nach dem DN des LDAP-Benutzers. Bei Verwendung von {1} sucht MVE nach dem Anmeldenamen des MVE-Benutzers.

   • Benutzerbasisobjekt und gesamten SubTree durchsuchen : Das System durchsucht alle Knoten unter der Benutzersuchbasis.

   • Gruppensuchbasis : Der Knoten im LDAP-Community-Server, der die den MVE-Rollen entsprechenden Benutzergruppen enthält. Dieser Knoten befindet sich unterhalb des Root-DNs, in dem alle Gruppenknoten aufgeführt sind. Beispiel: ou=group .

   • Gruppensuchfilter : Der Parameter für die Suche nach einem Benutzer innerhalb einer Gruppe, die einer Rolle in MVE entspricht.

     Hinweis:  Das einzig gültige Muster lautet {0} . Das bedeutet, dass MVE nach dem Anmeldenamen des MVE-Benutzers sucht.

   • Gruppenrollenattribut : Geben Sie das LDAP-Attribut für den vollständigen Namen der Gruppe ein. Ein LDAP-Attribut hat eine bestimmte Bedeutung und definiert eine Zuordnung zwischen dem Attribut und einem Feldnamen. Das LDAP-Attribut cn ist beispielsweise dem Feld Vollständiger Name zugeordnet. Das LDAP-Attribut commonname ist auch dem Feld Vollständiger Name zugeordnet. Im Allgemeinen sollte dieses Attribut auf dem Standardwert cn belassen werden.

   • Benutzerbasisobjekt und gesamten SubTree durchsuchen : Das System durchsucht alle Knoten unter der Gruppensuchbasis.

8. Geben Sie im Abschnitt Zuordnung von LDAP-Gruppen und MVE-Rollen die Namen der LDAP-Gruppen ein, die den MVE-Rollen entsprechen.

   Hinweise:

   • Weitere Informationen finden Sie unter Informationen zu Benutzerrollen .
   • Sie können eine LDAP-Gruppe mehreren MVE-Rollen zuweisen. Sie können auch mehr als eine LDAP-Gruppe in ein Rollenfeld eingeben, indem Sie das Senkrechtstrich-Zeichen ( | ) verwenden, um mehrere Gruppen voneinander zu trennen. Um beispielsweise die Gruppen admin und assets in die Admin-Rolle einzuschließen, geben Sie admin|assets in das Rollenfeld LDAP-Gruppen für Admin ein.
   • Wenn Sie nur eine Admin-Rolle und keine anderen MVE-Rollen verwenden möchten, lassen Sie die Felder leer.

9. Klicken Sie auf Änderungen speichern .