C3. Authentifizierung über LDAP/AD

Konfigurationsdatei

Die Einstellungen werden in der Konfigurationsdatei auth-ldap-rfc4515.conf gespeichert.

Ihnen stehen auch folgende Konfigurationsdateien mit den Mustereinstellungen zur Verfügung:

auth-ldap-rfc4515-check-group.conf. Diese Datei ist ein Muster der Konfigurationsdatei für vereinfachte externe LDAP-Autorisierung von Administratoren, bei der überprüft wird, in welchen Active Directory-Gruppen sie Mitglied sind.

auth-ldap-rfc4515-check-group-novar.conf. Diese Datei ist ein Muster der Konfigurationsdatei für vereinfachte externe LDAP-Autorisierung von Administratoren, bei der reguläre Ausdrücke verwendet werden und überprüft wird, in welchen Active Directory-Gruppen sie Mitglied sind.

auth-ldap-rfc4515-simple-login.conf. Diese Datei ist ein Muster der Konfigurationsdatei für vereinfachte externe LDAP-Autorisierung von Administratoren.

Die wichtigsten Tags der Konfigurationsdatei auth-ldap-rfc4515.conf:

<server /> – Definition des LDAP-Servers.

Attribut

Beschreibung

Standardwert

base-dn

DN des Objekts, relativ zu dem die Suche stattfindet.

Der Wert des Attributs rootDomainNamingContext des Objekts Root DSE

cacertfile

Stammzertifikatdatei (nur unter UNIX-artigen Betriebssystemen).

host

Adresse des LDAP-Servers.

Domänencontroller für den Server unter Windows.

127.0.0.1 für den Server unter UNIX-basierten Betriebssystemen.

Mehrere Tags <server /> mit den Adressen unterschiedlicher LDAP-Server können gleichzeitig angegeben werden. Als erste in die Liste sollte die Adresse des Hauptservers eingetragen werden, der am stärksten belastet werden soll. Wenn der erste Server nicht erreichbar ist, wird versucht, den nächsten alternativen Server anzusprechen: Die Server werden also in der angegebenen Reihenfolge ausprobiert.

scope

Suchbereich. Zulässige Werte:

sub-tree – gesamter Bereich unterhalb des Basis-DN

one-level – direkt dem Basis-DN untergeordnete Einträge

base – Basis-DN

sub-tree

tls

TLS zur Verbindung mit LDAP verwenden.

no

ssl

LDAPS-Protokoll beim Herstellen der Verbindung mit LDAP verwenden.

no

<set /> – Variablen durch die LDAP-Suche festlegen.

Attribut

Beschreibung

Standardwert

attribute

Attributname, dessen Wert der Variablen zugewiesen wird. Das Attribut darf nicht weggelassen werden.

filter

Suchfilter in LDAP nach RFC 4515.

scope

Suchbereich. Zulässige Werte:

sub-tree – gesamter Bereich unterhalb des Basis-DN

one-level – direkt dem Basis-DN untergeordnete Einträge

base – Basis-DN

sub-tree

search

DN des Objekts, relativ zu dem die Suche stattfindet.

Wenn fehlt, wird der base-dn des Tags <server /> verwendet

variable

Variablenname. Der Variablenname muss mit einem Buchstaben beginnen und darf nur Buchstaben und Zahlen enthalten. Das Attribut darf nicht weggelassen werden.

Variablen können in den Werten des Attributs add der Tags <mask /> und <expr />, im Wert des Attributs value des Tags <filter /> als \varname und im Wert des Attributs search des Tags <set />. Die zulässige Rekursionstiefe für Variablen beträgt 16.

Wenn die Suche mehrere Ergebnisse zurückgibt, wird nur das erste Ergebnis verwendet.

<mask /> – Benutzernamenvorlagen.

Attribut

Beschreibung

add

Zum Suchfilter hinzuzufügende Zeile, wenn die Suche mit dem UND-Operatoren und Ersetzen der Elemente erfolgt.

user

Mit DOS-kompatiblen Metazeichen * und # angegebene Benutzernamenmaske. Das Attribut kann nicht weggelassen werden.

Beispiel:

<mask user="*@#"  add="sAMAccountName=\1" />

<mask user="*\*"  add="sAMAccountName=\2" />

\1 und \2 sind die Links auf die übereinstimmenden Masken im Attribut user.

<expr /> – auf regulären Ausdrücken basierende Benutzernamenvorlagen (die Attribute sind identisch mit den Attributen des Tags <mask />).

Beispiel:

<expr user="^(.*)@([^.,=@\s\\]+)$"  add="sAMAccountName=\1" />

<expr user="^(.*)\\(.*)"            add="sAMAccountName=\2" />

Übereinstimmung der Masken mit den regulären Ausdrücken:

Maske

Regulärer Ausdruck

*

.*

#

[^.,=@\s\\]+

<filter /> – LDAP-Suchfilter.

Attribut

Beschreibung

value

Zum Suchfilter hinzuzufügende Zeile, wenn die Suche mit dem UND-Operatoren und Ersetzen der Elemente erfolgt.

Konkatenation von Filtern

<set variable="admingrp" filter="&amp;(objectclass=group)(cn=ESuite Admin)" attribute="dn" />
<mask user="*\*" add="sAMAccountName=\2" />
<filter value="&amp;(objectClass=user)(memberOf=\admingrp)" />

Falls admingrp nach der Suche den Wert "CN=ESuite Admins,OU=some name,DC=example,DC=com" erhält, und der Benutzer domain\user eingegeben hat, ist der resultierende Filter:

"(&(sAMAccountName=user)(&(objectClass=user)(memberOf=CN=ESuite Admins,OU=some name,DC=example,DC=com)))"

Exemplarische Konfiguration der LDAP/AD-Authentifizierung

Nachfolgend sind exemplarische Einstellungen für die LDAP-Authentifizierung aufgeführt. Diese Einstellungen werden im Verwaltungscenter unter Administration → Authentifizierung → LDAP/AD-Authentifizierung (für die Variante Einfache Einstellungen) festgelegt.

Die Ausgangsparameter der Administratoren, die sich authentifizieren müssen:

Domäne: dc.test.local

Gruppe in Active Directory: DrWeb_Admins

Einstellungen des Verwaltungscenters:

Name der Einstellung

Wert

Servertyp

Microsoft Active Directory

Serveradresse

dc.test.local

Benutzernamenvorlagen für die Autorisierungsbestätigung

Kontenmaske

test\* oder *@test.local

Benutzername

\1

Benutzermitgliedschaft für die Autorisierungsbestätigung

Name

DrWeb_Admins

Typ

Gruppe