C2. Authentifizierung über LDAP

 Zum Anfang  Zurück  Weiter

Erforderliche Einstellungen sind in der Konfigurationsdatei auth-ldap.xml enthalten.

Die wichtigsten Tags der Konfigurationsdatei:

<enabled/> und <order/> sind identisch mit den oben beschriebenen Active Directory-Einstellungen.

<server/> legt die Adresse des LDAP-Servers fest.

<user-dn/> definiert die Regeln für die Übersetzung von Namen in DN (Distinguished Name) mithilfe von DOS-artigen Masken.

Im Tag <user-dn/> können einige Platzhalterzeichen verwendet werden:

* ersetzt die Reihenfolge beliebiger Zeichen außer . , = @ \ und Leerzeichen.

# ersetzt eine Folge beliebiger Zeichen.

<user-dn-expr/> definiert die Regeln für die Übersetzung von Namen in DN mithilfe von regulären Ausdrücken.

So sieht eine und dieselbe Regel in unterschiedlichen Varianten aus:

<user-dn user="*@example.com" dn="CN=\1,DC=example,DC=com"/>
<user-dn-expr user="(.*)@example.com" dn="CN=\1,DC=example,DC=com"/>

\1 .. \9 definieren, wo die Werte *, # oder Ausdrücke in Klammern in der Vorlage ersetzt werden sollen.

Wenn der Benutzername als login@example.com angegeben wurde, so sieht der DN nach der Übersetzung wie folgt aus: "CN=login,DC=example,DC=com".

<user-dn-extension-enabled/> erlaubt die Ausführung des LUA-Skripts ldap-user-dn-translate.ds (aus dem Verzeichnis extensions) zur Übersetzung des Benutzernamens in DN. Dieses Skript wird erst dann ausgeführt, wenn in den Regeln user-dn, user-dn-expr keine passende Regel gefunden wurde. Das Script hat nur einen Parameter – den angegebenen Benutzernamen. Das Script gibt die Zeile zurück, die einen DN oder nichts enthält. Wenn keine Regel gefunden wurde oder das Script deaktiviert ist bzw. nichts zurückgegeben hat, wird der angegebene Benutzername verwendet, wie er ist.

Attribut eines LDAP-Objekts für den konvertierten DN und dessen mögliche Werte können durch das folgende Tag neu definiert werden (die Standardwerte sind angegeben):

<!-- DrWebAdmin attribute equivalent (OID 1.3.6.1.4.1.29690.1.3.1) -->
<admin-attribute-name value="DrWebAdmin" true-value="^TRUE$" false-value="^FALSE$"/>

Als Werte der Parameter true-value/false-value müssen reguläre Ausdrücke festgelegt werden.

Wenn einige Werte der Administrator-Attribute nicht definiert wurden und das Tag <group-reference-attribute-name value="memberOf"/> in der Konfigurationsdatei festgelegt wurde, gilt der Wert des Attributs memberOf als Liste von DN-Gruppen, denen der Administrator angehört. Die Suche nach erforderlichen Attributen in diesen Gruppen erfolgt dabei ebenso wie bei der Verwendung von Active Directory.