|
File di configurazione
Le impostazioni sono riportate nel file di configurazione auth-ldap-rfc4515.conf.
Sono inoltre disponibili i file di configurazione con le impostazioni standard:
•auth-ldap-rfc4515-check-group.conf — modello di file di configurazione dell’autenticazione esterna degli amministratori attraverso LDAP in base a uno schema semplificato con la verifica dell’appartenenza al gruppo di Active Directory. •auth-ldap-rfc4515-check-group-novar.conf — modello di file di configurazione dell’autenticazione esterna degli amministratori attraverso LDAP in base a uno schema semplificato con la verifica dell’appartenenza al gruppo di Active Directory con l’uso delle variabili. •auth-ldap-rfc4515-check-group.conf — modello di file di configurazione dell’autenticazione esterna degli amministratori attraverso LDAP in base a uno schema semplificato. I tag principali del file di configurazione auth-ldap-rfc4515.conf:
•<server /> — definizione del server LDAP.
Attributo
|
Descrizione
|
Valore predefinito
|
base-dn
|
DN dell’oggetto relativamente a cui viene effettuata la ricerca.
|
Valore dell’attributo rootDomainNamingContext dell’oggetto Root DSE
|
cacertfile
|
File dei certificati radice (solo UNIX).
|
–
|
host
|
Indirizzo del server LDAP.
|
•Controller di dominio per il server sotto SO Windows. •127.0.0.1 per il server sotto SO della famiglia UNIX. •È possibile specificare più tag <server /> con gli indirizzi di server LDAP diversi. Per primo deve essere indicato l'indirizzo del server principale su cui è previsto il carico massimo. In caso di errore, verrà effettuato un tentativo di autenticazione sul server successivo e così via nell'ordine indicato. |
scope
|
Area di ricerca. Valori ammissibili:
•sub-tree — l’intera area sotto il DN di base, •one-level — discendenti diretti del DN di base, •base — DN di base. |
sub-tree
|
tls
|
Stabilisci TLS per la connessione a LDAP.
|
no
|
ssl
|
Utilizza il protocollo LDAPS per la connessione a LDAP.
|
no
|
•<set /> — impostazione delle variabili tramite la ricerca LDAP.
Attributo
|
Descrizione
|
Valore predefinito
|
attribute
|
Nome dell’attributo il cui valore viene assegnato alla variabile. L’assenza è inammissibile.
|
–
|
filter
|
RFC4515 filtro di ricerca LDAP.
|
–
|
scope
|
Area di ricerca. Valori ammissibili:
•sub-tree — l’intera area sotto il DN di base, •one-level — discendenti diretti del DN di base, •base — DN di base. |
sub-tree
|
search
|
DN dell’oggetto relativamente a cui viene effettuata la ricerca.
|
Se è assente, viene utilizzato base-dn del tag <server />
|
variable
|
Nome della variabile. Deve iniziare con una lettera e contenere solo lettere e cifre. L’assenza è inammissibile.
|
–
|
Le variabili possono essere utilizzate nei valori dell’attributo add dei tag <mask /> ed <expr />, nel valore dell’attributo value del tag <filter /> in forma di \varname, nonché nel valore dell’attributo search del tag <set />. Il livello di ricorsione ammissibile per l’espansione delle variabili è 16.
Se la ricerca restituisce più oggetti trovati, viene utilizzato solo il primo.
•<mask /> — modelli di nome utente.
Attributo
|
Descrizione
|
add
|
Stringa che viene aggiunta al filtro di ricerca per operatore AND con elementi di sostituzione.
|
user
|
Maschera di nome utente con l’utilizzo dei metacaratteri di tipo DOS * e #. L’assenza è inammissibile.
|
Per esempio:
<mask user="*@#" add="sAMAccountName=\1" />
<mask user="*\*" add="sAMAccountName=\2" />
|
\1 e \2 — link alle maschere coincidenti nell’attributo user.
•<expr /> — modelli di nome utente con l’utilizzo delle espressioni regolari (gli attributi sono identici a <mask />). Per esempio:
<expr user="^(.*)@([^.,=@\s\\]+)$" add="sAMAccountName=\1" />
<expr user="^(.*)\\(.*)" add="sAMAccountName=\2" />
|
Corrispondenza delle maschere e delle espressioni regolari:
Maschera
|
Espressione regolare
|
*
|
.*
|
#
|
[^.,=@\s\\]+
|
•<filter /> — filtro di ricerca LDAP.
Attributo
|
Descrizione
|
value
|
Stringa che viene aggiunta al filtro di ricerca per operatore AND con elementi di sostituzione.
|
Concatenazione di filtri
<set variable="admingrp" filter="&(objectclass=group)(cn=ESuite Admin)" attribute="dn" />
<mask user="*\*" add="sAMAccountName=\2" />
<filter value="&(objectClass=user)(memberOf=\admingrp)" />
|
Se come risultato della ricerca admingrp assumerà il valore "CN=ESuite Admins,OU=some name,DC=example,DC=com", e l’utente ha immesso domain\user, il risultato è il filtro:
"(&(sAMAccountName=user)(&(objectClass=user)(memberOf=CN=ESuite Admins,OU=some name,DC=example,DC=com)))"
|
Esempio di configurazione dell'autenticazione LDAP/AD
Di seguito è riportato un esempio di impostazioni tipiche per l'autenticazione tramite LDAP. Le impostazioni vengono configurate nel Pannello di controllo, sezione Amministrazione → Autenticazione → Autenticazione LDAP/AD (per la variante Impostazioni semplificate).
Parametri iniziali per gli amministratori che devono autenticarsi:
•dominio: dc.test.local •gruppo in Active Directory: DrWeb_Admins Impostazioni del Pannello di controllo:
Nome dell'impostazione
|
Valore
|
Tipo di server
|
Microsoft Active Directory
|
Indirizzo del server
|
dc.test.local
|
Modelli di nome utente per la conferma dell’autentificazione
|
Maschera dell’account
|
test\* o *@test.local
|
Nome utente
|
\1
|
Appartenenza degli utenti per la conferma dell’autentificazione
|
Nome
|
DrWeb_Admins
|
Tipo
|
gruppo
|
|