Benutzerverzeichnis: Active Directory & LDAP

Du kannst deine Benutzer und Gruppen aus einem Active Directory- oder LDAP-Benutzerverzeichnis synchronisieren.

Bei der Synchronisierung eines Benutzerverzeichnisses werden Nutzer und Gruppen separat synchronisiert. Zuerst werden Gruppen synchronisiert, gefolgt von den Nutzern. Nutzer können nur zu den Gruppen hinzugefügt werden, die im ersten Schritt synchronisiert wurden. Alle Nutzer, die den Nutzerfiltern entsprechen, werden jedoch synchronisiert, unabhängig davon, ob sie zu den Gruppen gehören, die in der Gruppensynchronisierung synchronisiert wurden.

Das Video ist nur in Englisch verfügbar.

  1. Gehe zu Administration > Benutzerverzeichnisse
  2. Wähle Verzeichnis anlegen, um ein neues Benutzerverzeichnis hinzuzufügen
  3. Gebe einen Namen ein
  4. Wähle einen Typ aus: Active Directory oder LDAP
  5. Fülle die Felder auf den einzelnen Registerkarten wie unten beschrieben aus

Verbindung-Registerkarte

  1. Hostname: Gib den Server an, der dein Benutzerverzeichnis verwaltet. Verzeichnis verwaltet.
  2. Port: Gib einen Port ein. Der Standard LDAP Port ist 389. Der Standard-Port für verschlüsselte SSL Kommunikation ist 636.
  3. SSL: Wenn du SSL ankreuzt, benötigt dein AD-Server ein offiziell signiertes Zertifikat. Es ist nicht möglich, ein selbstsigniertes Zertifikat für die Haiilo-Cloud zu verwenden.
  4. AD Domäne (nur wenn Active Directory als Typ in Schritt 4 ausgewählt wurde): Gib eine Domäne ein, wenn du den Zugriff auf auf deine Plattform auf Benutzer mit E-Mails von einer bestimmten Domäne beschränken willst, z. B. wie haiilo.com.
  5. Basis DN: Gib den Basis-DN ein. Dieser gibt an, welchen spezifischen Bereich deines Benutzerverzeichnisses du bereitstellen willst. Optional können weitere DNs unter dem Benutzer und Gruppen angegeben werden, um genauer zu zu definieren, welche Benutzer oder Gruppen bereitgestellt werden sollen.
  6. Benutzername: Gib den Benutzernamen eines Benutzers im Benutzer Verzeichnis mit ausreichender Leseberechtigung für die Objekte, die synchronisiert werden (Bind DN).
  7. Passwort: Das Passwort für den oben genannten Benutzernamen.
  8. Wähle Verbindung testen, um zu prüfen, ob dein Verzeichnis mit den eingegebenen Einstellungen zugänglich ist.

Benutzer-Registerkarte

Diese Einstellungen legen fest welche Benutzer synchronisiert werden. Ohne diese Einstellungen wird jeder im Verzeichnis durchsucht werden.

  1. Zusätzliche Benutzer DN: Gib zusätzliche DNs ein, um die gesuchten Benutzer einzuschränken. Diese werden zu der zuvor konfigurierten Basis-DN hinzugefügt.

  2. Klasse des Benutzer-Objekts: Gib die Klasse der Benutzer ein nach denen gesucht werden soll, vorzugsweise so, dass nur nach "Person" gesucht wird.

  3. Filter des Benutzer-Objekts: Gib eine LDAP-Filtersyntax an um nur Benutzer bestimmter Gruppen zu synchronisieren. Benutzer, die nicht nicht mehr Mitglied dieser Gruppe sind, werden als verwaiste Benutzer behandelt. Mehr sind auch komplexere Filter möglich. Durch die Beschränkungen des LDAP-Protokolls können Wildcards nicht für DN-Attribute verwendet werden.

  4. Lokale Gruppen entfernen: Überprüfe, ob du die synchronisierten Nutzer aus allen lokalen Gruppen entfernen möchtest, zu denen sie manuell hinzugefügt wurden.
  5. Andere Verzeichnisgruppen entfernen: Überprüfe, ob du die synchronisierten Nutzer aus allen anderen Benutzerverzeichnisgruppen entfernen möchtest, zu denen sie manuell hinzugefügt wurden.
  6. Benutzer-ID: Wir empfehlen, nur "objectGUID" zu verwenden zu verwenden, da dieses Attribut eindeutig ist und sich nicht ändert.

  7. Die übrigen Felder sind optional. Wenn du sie zuordnen möchtest, empfehlen wir dir, die Platzhalter oder die empfohlenen Werte zu verwenden. Außerdem kannst du die Profilfelder der Nutzer aus deinem Verzeichnis synchronisieren.

Gruppen-Registerkarte

  1. Um Gruppen aus einem Benutzerverzeichnis zu synchronisieren, markiere Gruppen synchronisieren.
  2. Zusätzliche Gruppen DN: Gib den Ort ein, der die die Gruppen.
  3. Klasse der Gruppen-Objekte: Gib die Klasse der Gruppen ein, nach denen gesucht werden soll.
  4. Filter für Gruppen-Objekte: Gib eine LDAP-Filtersyntax an um nur bestimmte Gruppen zu synchronisieren.
  5. Gruppen-ID und Gruppen Name: Haiilo prüft diese auf Gruppenmitgliedschaften. Wenn beide Werte gleich sind, wird der Benutzer dieser Gruppe zugewiesen. Verschachtelte Gruppen werden nicht berücksichtigt.
  6. Benutzer Attribut für Gruppen-Mitgliedschaften: Wenn du OpenLDAP verwendest, muss dieses Feld muss dieses Feld angegeben werden.
  7. Gruppen beibehalten: Wenn Gruppen synchronisieren deaktiviert ist, kannst du dieses Feld ankreuzen, um alle zuvor synchronisierten Gruppen für dieses Benutzerverzeichnis zu erhalten. Auf diese Weise kannst du die zuvor synchronisierten Gruppen einfrieren. Wenn du das Feld nicht markierst, werden alle zuvor synchronisierten Gruppen und ihre Mitgliedschaften bei der nächsten Synchronisierung entfernt.

Synchronisation-Registerkarte

  1. Page size: Legt fest, wie viele Elemente synchronisiert werden pro Abfrage. Das Limit des LDAP-Protokolls liegt bei 1000, wähle also keinen höheren Wert wählen.

  2. Verweisen folgen: Benutzer können im Verzeichnis als Verweis auf eine andere Domäne oder ein anderes Verzeichnis gespeichert werden und durch diese Option aktiviert ist, werden die Verweise berücksichtigt. Diese Referenzen ermöglichen es zum Beispiel, einen Verzeichnisbaum zu partitionieren Baum zu partitionieren und auf mehrere LDAP-Server zu verteilen. Das bedeutet, dass LDAP-Server möglicherweise nicht den gesamten Verzeichnisinformationsbaum speichern, sondern stattdessen Verweise auf andere LDAP-Server enthalten, die die gewünschten Informationen bereitstellen.

    • Beispiel:Wenn Haiilo Home also mit einem Verzeichnis synchronisiert, kann ein LDAP-Server euch auf einen anderen Server verweisen, indem er Verweise (Referrals) zurückgibt. Ein Referral ist ein Eintrag mit dem Referral-ObjektClass, der mindestens ein Attribut namens ref enthält, das eine LDAP-URL des referierten Eintrags auf einem anderen LDAP-Server als Wert hat.

    • Wenn euer Sync mit einer Zeitüberschreitung beendet wird ("timeout error"), kann es möglicherweise daran liegen, dass versucht wird, einem Verweis zu folgen, welcher nicht erreichbar ist oder nicht genügend Berechtigungen vorhanden sind.

  3. Aktivierung: Wenn angekreuzt, werden neue und wiederhergestellte Benutzer während der Synchronisierung aktiviert. Andernfalls musst du den Status der Benutzer manuell auf Aktiv setzen in der Benutzerverwaltung setzen.

  4. Just-in-time-Synchronisation: Wenn diese Option aktiviert ist, werden die Benutzer nur erstellt und ihre Daten synchronisiert, wenn sie sich anmelden. Diese Einstellung ist sinnvoll, wenn nur eingeloggte Benutzer importiert werden sollen. In diesem Fall sollte die automatische Synchronisierung deaktiviert werden, damit nicht alle Benutzer bereits in Haiilo existieren.
  5. Verwaiste Benutzer: Wähle aus, was mit Benutzern passiert die derzeit als aktive Benutzer auf Haiilo existieren, aber nicht mehr im Benutzerverzeichnis existieren. Wenn du Ignorieren wählst, bleiben sie unverändert.

  6. Benutzer wiederherstellen: Wenn diese Option aktiviert ist, wird ein Benutzer, der deaktiviert oder aus Haiilo gelöscht wurde, aber während der Synchronisierung wieder im Benutzerverzeichnis vorhanden ist, wird während der Synchronisierung reaktiviert. Es ist nicht möglich, anonymisierte Benutzer wiederherzustellen. Ein zuvor anonymisierter Benutzer kann nur als neuer Benutzer angelegt werden.

Ausführung-Registerkarte

  1. Wähle die Häufigkeit der Synchronisierung aus. Wenn du Deaktiviert wählst, führst du die Synchronisierung manuell durch.

War dieser Beitrag hilfreich?