In COYO können verschiedene Benutzerverzeichnisse durch LDAP verbunden werden. Ihr könnt zwischen Active Directory und LDAP wählen, beide benutzen das LDAP Protokoll. Der Unterschied liegt nur in den Werten, welche für die Attribute vorgeschlagen werden und dem Feld "AD Domäne". Für LDAP könnt Ihr euch also trotzdem nach dieser Anleitung richten.
Wir durchlaufen mit euch anhand eines Beispiels den Prozess zur Erstellung und Verbindung von Benutzerverzeichnissen. Für diese Anleitung verwenden wir ein Microsoft Active Directory, da es der bekannteste Verzeichnisdienst ist.
Ein Benutzerverzeichnis erstellen
Loggt euch als Administrator in COYO ein und öffnet die Administration. Klickt auf den Punkt "Benutzerverzeichnisse". Dort werdet ihr, wie im Bildausschnitt zu erkennen, das Benutzerverzeichnis "Applikations-Datenbank" sehen. Das Verzeichnis beinhaltet alle lokalen Nutzer, die in COYO erstellt werden.
Klickt auf "Verzeichnis anlegen", um ein neues Benutzerverzeichnis hinzuzufügen.
Wählt anschließend einen Namen, den Typ "Active Directory" und aktiviert das Verzeichnis, in dem ihr einen Haken in der Checkbox setzt.
Verbindung
Als Nächstes geht es darum die Details in den einzelnen Reitern zu füllen. Wir beginnen mit der Verbindung: Hostname, Port, Basis DN, Benutzername und Passwort sind Pflichtfelder, die ausgefüllt werden müssen.
Als Hostname tragt ihr den Server ein, der euer Benutzerverzeichnis verwaltet.
Der Standard LDAP Port is 389. Der Standard Port für die verschlüsselte SSL Kommunikation ist Port 636. Wenn ihr SSL aktiviert, benötigt euer AD-Server ein offiziell signiertes Zertifikat. Die Verschlüsselung funktioniert dann "out of the box".
Hinweis:
Es ist nicht möglich, in unserer COYO Cloud ein selbst signiertes Zertifikat zu verwenden. Für COYO Enterprise Installationen ist es möglich, ein selbst signiertes Zertifikat im JVM des Backend Containers einzutragen.
Es ist nicht möglich, in unserer COYO Cloud ein selbst signiertes Zertifikat zu verwenden. Für COYO Enterprise Installationen ist es möglich, ein selbst signiertes Zertifikat im JVM des Backend Containers einzutragen.
Ein Eintrag für AD Domäne ist nur notwendig, wenn ihr in eurem AD mehrere Domänen verwaltet. Falls das bei euch der Fall ist, ihr aber nur eine Domäne einbinden möchtet, tragt diese hier ein.
Beispiel:
Melden sich eure Benutzer an einem Computer mit User1@coyo.local, aber auch mit User2@coyo.com und Ihr definiert in diesem Feld "coyo.local", kann sich User2@coyo.com nicht mehr anmelden.
Melden sich eure Benutzer an einem Computer mit User1@coyo.local, aber auch mit User2@coyo.com und Ihr definiert in diesem Feld "coyo.local", kann sich User2@coyo.com nicht mehr anmelden.
Für jede Verbindung muss der Base Distinguished Name ("Basis DN") eingetragen werden. Optional können zusätzliche DNs angegeben werden, um genauer zu definieren, wo nach Benutzerkonten gesucht werden soll.
Als Benutzernamen benötigt LDAP einen Nutzer, welcher ausreichend Leseberechtigung für die Objekte hat, die synchronisiert werden. COYO wird nichts in eurem Benutzerverzeichnis verändern und benötigt daher kein Schreibrecht. Das Passwort dieses Nutzers ist notwendig.
Mit einem Klick auf "Verbindung testen", wird geprüft, ob euer Verzeichnis mit diesen Einstellungen erreichbar ist.
Benutzer
In diesem Reiter wird definiert, welche Nutzer synchronisiert werden. Ohne Einstellungen wird alles durchsucht. Also definiert "Klasse des Benutzer-Objekts", damit nur nach der Klasse "person" gesucht wird.
Für die genauere Selektion von Nutzern, definiert ihr "Zusätzliche Benutzer DN" ("additional user dn").
Zusätzlich zu dieser Auswahl kann über "Filter des Benutzer-Objekts" mit einem LDAP-Filter-Syntax gearbeitet werden. Das ermöglicht nur Nutzer für COYO zu berücksichtigen, welche z. B. Mitglied der Gruppe "COYO-GROUPS-ALL" sind. Ein Beispiel dazu findet Ihr in diesem Artikel.
Hinweis:
Aufgrund der Einschränkungen des LDAP-Protokolls, können Wildcards für DN-Attribute nicht verwendet werden.
Außerdem werden Nutzer, die dieser Gruppe nicht mehr angehören als verwaiste Nutzer behandelt. Mehr dazu erfahrt ihr weiter unten im Artikel. Komplexere Filter sind auch möglich.
Wir empfehlen euch, als Benutzer-ID ausschließlich "objectGUID" zu verwenden, da dieses Attribut einzigartig ist und sich nicht verändert.
Die restlichen Attribute und Profilfelder sind optional wählbar. Wir empfehlen euch, die vorgegebenen Attribute zu verwenden, um Probleme zu vermeiden.
Gruppen
Um Gruppen aus dem Benutzerverzeichnis zu synchronisieren, müsst ihr zuerst die Checkbox "Gruppen synchronisieren" aktivieren.
In diesem Beispiel verwenden wir die vorgeschlagenen Werte und einen zusätzlichen Gruppen DN, welcher den Ort der Gruppen definiert.
Im Feld "Filter für Gruppen-Objekte" geben wir einen LDAP Filter Syntax an, um nur bestimmte Gruppen zu synchronisieren.
COYO prüft "Benutzer Attribut für Gruppen-Mitgliedschaften" und "Gruppen-ID". Wenn beide Werte gleich sind, wird der Nutzer dieser Gruppe zugeordnet. Im Fall unseres Beispiels werden alle Gruppen gefiltert, die mit "COYO-GROUPS-" anfangen.
Hinweis:
Verschachtelte Gruppen werden nicht berücksichtigt.
Verschachtelte Gruppen werden nicht berücksichtigt.
Die restlichen Attribute sind optional wählbar. Wir empfehlen euch die vorgegebenen Werte zu verwenden. Falls ihr OpenLDAP verwendet, muss "Benutzer Attribut für Gruppen-Mitgliedschaften" angegeben werden.
Synchronisation
In diesem Reiter könnt ihr Einstellungen zur Synchronisation vornehmen.
Ein Wert von 100 in "Page Size" definiert, dass COYO pro Abfrage 100 Elemente synchronisiert. Das Limit des LDAP-Protokolls liegt bei 1000. Ihr solltet also keinen höheren Wert wählen.
Nutzer können im Verzeichnis als Verweis zu einer anderen Domäne oder einem Verzeichnis gespeichert werden, mit der Einstellung "Verweisen folgen", werden die Verweise berücksichtigt.
Hinweis:
Wenn euer Sync mit einer Zeitüberschreitung beendet wird ("timeout error"), kann es möglicherweise daran liegen, dass versucht wird, einem Verweis zu folgen, welcher nicht erreichbar ist oder nicht genügend Berechtigungen vorhanden sind.
Wenn euer Sync mit einer Zeitüberschreitung beendet wird ("timeout error"), kann es möglicherweise daran liegen, dass versucht wird, einem Verweis zu folgen, welcher nicht erreichbar ist oder nicht genügend Berechtigungen vorhanden sind.
Die Checkbox "Aktivierung" ermöglicht, dass neue und wiederhergestellte Nutzer bei der Synchronisierung aktiviert werden. Anderenfalls müsstet ihr den Status der Nutzer in der Benutzerverwaltung manuell auf "Aktiv" setzen. Wenn ihr Nutzungsbedingungen in der Administration aktiviert habt, bleiben die neuen und wiederhergestellten Nutzer auf "Versteckt" bis sie diese akzeptiert haben.
Bei "Just-in-time-Synchronisation" werden die Nutzer erst erstellt und die Nutzerdaten synchronisiert, wenn diese sich anmelden. Diese Einstellung ergibt Sinn, wenn nur Benutzer importiert werden sollen, die sich Anmelden. Dafür sollte die automatische Synchronisation deaktiviert werden, damit nicht alle Benutzer bereits in COYO existieren.
"Verwaiste Benutzer" sind Nutzer, welche derzeit in COYO als aktiver Nutzer existieren, aber im LDAP Verzeichnis nicht mehr vorhanden sind. Es besteht die Möglichkeit, die Nutzer zu ignorieren, deaktivieren oder zu löschen.
Der Punkt "Benutzer wiederherstellen" ermöglicht es, deaktivierte oder gelöschte Nutzer wieder zu reaktivieren, wenn diese im Benutzerverzeichnis wieder vorhanden sind.
Hinweis:
Es ist nicht möglich anonymisierte Nutzer wiederherzustellen. Der vorher anonymisierte Nutzer kann dann lediglich als neuer Nutzer erstellt werden. Die Anonymisierung ist standardmäßig deaktiviert und kann in den "Allgemeinen Einstellungen" der Administration aktiviert werden.
Es ist nicht möglich anonymisierte Nutzer wiederherzustellen. Der vorher anonymisierte Nutzer kann dann lediglich als neuer Nutzer erstellt werden. Die Anonymisierung ist standardmäßig deaktiviert und kann in den "Allgemeinen Einstellungen" der Administration aktiviert werden.
Sync-Ausführung
Hier könnt ihr die Regelmäßigkeit der Synchronisierung konfigurieren. Die Konfiguration erfolgt durch ein sogenanntes Cron Pattern.
Beispiele:
- 0 0 * * * * = Jeden Tag um 0 Uhr.
- */10 * * * * * = Alle 10 Sekunden.
- 0 0 8-10 * * * = 8, 9 und 10 Uhr jeden Tag.
- 0 0 6,19 * * * = 6 Uhr und 19 Uhr jeden Tag.
- 0 30 3 * * * = 3:30 Uhr morgens jeden Tag.
- 0 0/30 8-10 * * * = Alle 30 Minuten von 8 Uhr bis 10:30 Uhr jeden Tag.
- 0 0 9-17 * * MON-FRI = stündlich von 9 Uhr bis 17 Uhr von Montag bis Freitag.
- 0 0 0 25 12 ? = 0 Uhr an Weihnachten.
Note:
From version 24 we are limiting the options for sync execution to once per day (at night), several times a day (every four hours) and once per hour
From version 24 we are limiting the options for sync execution to once per day (at night), several times a day (every four hours) and once per hour
