Konfigurationsdatei
Die Einstellungen werden in der Konfigurationsdatei auth-ldap-rfc4515.conf gespeichert.
Ihnen stehen auch folgende Konfigurationsdateien mit den Mustereinstellungen zur Verfügung:
•auth-ldap-rfc4515-check-group.conf. Diese Datei ist ein Muster der Konfigurationsdatei für vereinfachte externe LDAP-Autorisierung von Administratoren, bei der überprüft wird, in welchen Active Directory-Gruppen sie Mitglied sind. •auth-ldap-rfc4515-check-group-novar.conf. Diese Datei ist ein Muster der Konfigurationsdatei für vereinfachte externe LDAP-Autorisierung von Administratoren, bei der reguläre Ausdrücke verwendet werden und überprüft wird, in welchen Active Directory-Gruppen sie Mitglied sind. •auth-ldap-rfc4515-simple-login.conf. Diese Datei ist ein Muster der Konfigurationsdatei für vereinfachte externe LDAP-Autorisierung von Administratoren. Die wichtigsten Tags der Konfigurationsdatei auth-ldap-rfc4515.conf:
•<server /> – Definition des LDAP-Servers.
Attribut
|
Erläuterung
|
Standardwert
|
base-dn
|
DN des Objekts, relativ zu dem die Suche stattfindet.
|
Der Wert des Attributs rootDomainNamingContext des Objekts Root DSE
|
cacertfile
|
Stammzertifikatdatei (nur unter UNIX-artigen Betriebssystemen).
|
–
|
host
|
Adresse des LDAP-Servers.
|
•Domänencontroller für den Server unter Windows. •127.0.0.1 für den Server unter UNIX-basierten Betriebssystemen. |
scope
|
Suchbereich. Zulässige Werte:
•sub-tree – gesamten Bereich unterhalb des Basis-DN •one-level – direkt dem Basis-DN untergeordnete Einträge •base – Basis-DN |
sub-tree
|
tls
|
TLS zur Verbindung mit LDAP verwenden.
|
no
|
ssl
|
LDAPS-Protokoll beim Herstellen der Verbindung mit LDAP verwenden.
|
no
|
•<set /> – Variablen durch die LDAP-Suche festlegen.
Attribut
|
Erläuterung
|
Standardwert
|
attribute
|
Attributname, dessen Wert der Variablen zugewiesen wird. Das Attribut darf nicht weggelassen werden.
|
–
|
filter
|
Suchfilter in LDAP nach RFC 4515.
|
–
|
scope
|
Suchbereich. Zulässige Werte:
•sub-tree – gesamten Bereich unterhalb des Basis-DN •one-level – direkt dem Basis-DN untergeordnete Einträge •base – Basis-DN |
sub-tree
|
search
|
DN des Objekts, relativ zu dem die Suche stattfindet.
|
Wenn fehlt, wird der base-dn des Tags <server /> verwendet
|
variable
|
Variablenname. Der Variablenname muss mit einem Buchstaben beginnen und darf nur Buchstaben und Zahlen enthalten. Das Attribut darf nicht weggelassen werden.
|
–
|
Variablen können in Werten der Attribute add der Tags <mask /> und <expr />, im Wert des Attributs value des Tags <filter /> als \varname und im Wert des Attributs search des Tags <set />. Die zulässige Rekursionstiefe für Variablen beträgt 16.
Wenn die Suche mehrere Ergebnisse zurückgibt, wird nur das erste Ergebnis verwendet.
•<mask /> – Benutzernamenvorlagen.
Attribut
|
Erläuterung
|
add
|
Zum Suchfilter hinzuzufügende Zeile, wenn die Suche mit dem UND-Operatoren und Ersetzen der Elemente erfolgt.
|
user
|
Mit DOS-kompatiblen Metazeichen * und # angegebene Benutzernamenmaske. Das Attribut kann nicht weggelassen werden.
|
Beispiel:
<mask user="*@#" add="sAMAccountName=\1" />
<mask user="*\*" add="sAMAccountName=\2" />
|
\1 und \2 sind Links auf die übereinstimmenden Masken im Attribut user.
•<expr /> – auf regulären Ausdrücken basierende Benutzernamenvorlagen (die Attribute sind identisch mit den Attributen des Tags <mask />). Beispiel:
<expr user="^(.*)@([^.,=@\s\\]+)$" add="sAMAccountName=\1" />
<expr user="^(.*)\\(.*)" add="sAMAccountName=\2" />
|
Übereinstimmung der Masken mit den regulären Ausdrücken:
Maske
|
Regulärer Ausdruck
|
*
|
.*
|
#
|
[^.,=@\s\\]+
|
•<filter /> – LDAP-Suchfilter.
Attribut
|
Erläuterung
|
value
|
Zum Suchfilter hinzuzufügende Zeile, wenn die Suche mit dem UND-Operatoren und Ersetzen der Elemente erfolgt.
|
Konkatenation von Filtern
<set variable="admingrp" filter="&(objectclass=group)(cn=ESuite Admin)" attribute="dn" />
<mask user="*\*" add="sAMAccountName=\2" />
<filter value="&(objectClass=user)(memberOf=\admingrp)" />
|
Falls admingrp nach der Suche den Wert "CN=ESuite Admins,OU=some name,DC=example,DC=com" erhält, und der Benutzer domain\user eingegeben hat, ist der resultierende Filter:
"(&(sAMAccountName=user)(&(objectClass=user)(memberOf=CN=ESuite Admins,OU=some name,DC=example,DC=com)))"
|
Exemplarische Konfiguration der LDAP/AD-Authentifizierung
Nachfolgend sind exemplarische Einstellungen für die LDAP-Authentifizierung aufgeführt. Diese Einstellungen werden im Verwaltungscenter unter Administration → Authentifizierung → LDAP/AD-Authentifizierung (für die Variante Einfache Einstellungen) festgelegt.
Die Ausgangsparameter der Administratoren, die sich authentifizieren müssen:
•Domäne: dc.test.local •Gruppe in Active Directory: DrWeb_Admins Einstellungen des Verwaltungscenters:
Name der Einstellung
|
Wert
|
Servertyp
|
Microsoft Active Directory
|
Serveradresse
|
dc.test.local
|
Benutzernamenvorlagen für die Autorisierungsbestätigung
|
Kontenmaske
|
test\* oder *@test.local
|
Benutzername
|
\1
|
Benutzermitgliedschaft für die Autorisierungsbestätigung
|
Name
|
DrWeb_Admins
|
Typ
|
Gruppe
|
|