|
Konfigurationsdatei
Die Einstellungen werden in der Konfigurationsdatei auth-ldap-rfc4515.conf gespeichert.
Ihnen stehen auch folgende Konfigurationsdateien mit den Mustereinstellungen zur Verfügung:
•auth-ldap-rfc4515-check-group.conf. Diese Datei ist ein Muster der Konfigurationsdatei für vereinfachte externe LDAP-Autorisierung von Administratoren, bei der überprüft wird, in welchen Active Directory-Gruppen sie Mitglied sind. •auth-ldap-rfc4515-check-group-novar.conf. Diese Datei ist ein Muster der Konfigurationsdatei für vereinfachte externe LDAP-Autorisierung von Administratoren, bei der reguläre Ausdrücke verwendet werden und überprüft wird, in welchen Active Directory-Gruppen sie Mitglied sind. •auth-ldap-rfc4515-simple-login.conf. Diese Datei ist ein Muster der Konfigurationsdatei für vereinfachte externe LDAP-Autorisierung von Administratoren. Die wichtigsten Tags der Konfigurationsdatei auth-ldap-rfc4515.conf:
•<server /> – Definition des LDAP-Servers.
Attribut
|
Beschreibung
|
Standardwert
|
base-dn
|
DN des Objekts, relativ zu dem die Suche stattfindet.
|
Der Wert des Attributs rootDomainNamingContext des Objekts Root DSE
|
cacertfile
|
Stammzertifikatdatei (nur unter UNIX-artigen Betriebssystemen).
|
–
|
host
|
Adresse des LDAP-Servers.
|
•Domänencontroller für den Server unter Windows. •127.0.0.1 für den Server unter UNIX-basierten Betriebssystemen. •Mehrere Tags <server /> mit den Adressen unterschiedlicher LDAP-Server können gleichzeitig angegeben werden. Als erste in die Liste sollte die Adresse des Hauptservers eingetragen werden, der am stärksten belastet werden soll. Wenn der erste Server nicht erreichbar ist, wird versucht, den nächsten alternativen Server anzusprechen: Die Server werden also in der angegebenen Reihenfolge ausprobiert. |
scope
|
Suchbereich. Zulässige Werte:
•sub-tree – gesamter Bereich unterhalb des Basis-DN •one-level – direkt dem Basis-DN untergeordnete Einträge •base – Basis-DN |
sub-tree
|
tls
|
TLS zur Verbindung mit LDAP verwenden.
|
no
|
ssl
|
LDAPS-Protokoll beim Herstellen der Verbindung mit LDAP verwenden.
|
no
|
•<set /> – Variablen durch die LDAP-Suche festlegen.
Attribut
|
Beschreibung
|
Standardwert
|
attribute
|
Attributname, dessen Wert der Variablen zugewiesen wird. Das Attribut darf nicht weggelassen werden.
|
–
|
filter
|
Suchfilter in LDAP nach RFC 4515.
|
–
|
scope
|
Suchbereich. Zulässige Werte:
•sub-tree – gesamter Bereich unterhalb des Basis-DN •one-level – direkt dem Basis-DN untergeordnete Einträge •base – Basis-DN |
sub-tree
|
search
|
DN des Objekts, relativ zu dem die Suche stattfindet.
|
Wenn fehlt, wird der base-dn des Tags <server /> verwendet
|
variable
|
Variablenname. Der Variablenname muss mit einem Buchstaben beginnen und darf nur Buchstaben und Zahlen enthalten. Das Attribut darf nicht weggelassen werden.
|
–
|
Variablen können in den Werten des Attributs add der Tags <mask /> und <expr />, im Wert des Attributs value des Tags <filter /> als \varname und im Wert des Attributs search des Tags <set />. Die zulässige Rekursionstiefe für Variablen beträgt 16.
Wenn die Suche mehrere Ergebnisse zurückgibt, wird nur das erste Ergebnis verwendet.
•<mask /> – Benutzernamenvorlagen.
Attribut
|
Beschreibung
|
add
|
Zum Suchfilter hinzuzufügende Zeile, wenn die Suche mit dem UND-Operatoren und Ersetzen der Elemente erfolgt.
|
user
|
Mit DOS-kompatiblen Metazeichen * und # angegebene Benutzernamenmaske. Das Attribut kann nicht weggelassen werden.
|
Beispiel:
<mask user="*@#" add="sAMAccountName=\1" />
<mask user="*\*" add="sAMAccountName=\2" />
|
\1 und \2 sind die Links auf die übereinstimmenden Masken im Attribut user.
•<expr /> – auf regulären Ausdrücken basierende Benutzernamenvorlagen (die Attribute sind identisch mit den Attributen des Tags <mask />). Beispiel:
<expr user="^(.*)@([^.,=@\s\\]+)$" add="sAMAccountName=\1" />
<expr user="^(.*)\\(.*)" add="sAMAccountName=\2" />
|
Übereinstimmung der Masken mit den regulären Ausdrücken:
Maske
|
Regulärer Ausdruck
|
*
|
.*
|
#
|
[^.,=@\s\\]+
|
•<filter /> – LDAP-Suchfilter.
Attribut
|
Beschreibung
|
value
|
Zum Suchfilter hinzuzufügende Zeile, wenn die Suche mit dem UND-Operatoren und Ersetzen der Elemente erfolgt.
|
Konkatenation von Filtern
<set variable="admingrp" filter="&(objectclass=group)(cn=ESuite Admin)" attribute="dn" />
<mask user="*\*" add="sAMAccountName=\2" />
<filter value="&(objectClass=user)(memberOf=\admingrp)" />
|
Falls admingrp nach der Suche den Wert "CN=ESuite Admins,OU=some name,DC=example,DC=com" erhält, und der Benutzer domain\user eingegeben hat, ist der resultierende Filter:
"(&(sAMAccountName=user)(&(objectClass=user)(memberOf=CN=ESuite Admins,OU=some name,DC=example,DC=com)))"
|
Exemplarische Konfiguration der LDAP/AD-Authentifizierung
Nachfolgend sind exemplarische Einstellungen für die LDAP-Authentifizierung aufgeführt. Diese Einstellungen werden im Verwaltungscenter unter Administration → Authentifizierung → LDAP/AD-Authentifizierung (für die Variante Einfache Einstellungen) festgelegt.
Die Ausgangsparameter der Administratoren, die sich authentifizieren müssen:
•Domäne: dc.test.local •Gruppe in Active Directory: DrWeb_Admins Einstellungen des Verwaltungscenters:
Name der Einstellung
|
Wert
|
Servertyp
|
Microsoft Active Directory
|
Serveradresse
|
dc.test.local
|
Benutzernamenvorlagen für die Autorisierungsbestätigung
|
Kontenmaske
|
test\* oder *@test.local
|
Benutzername
|
\1
|
Benutzermitgliedschaft für die Autorisierungsbestätigung
|
Name
|
DrWeb_Admins
|
Typ
|
Gruppe
|
|