Vorbereitungen – Active Directory
Zur Vorbereitung der XSLT-Verzeichnis-Synchronisation benötigen Sie im Active Directory mindestens eine Präfix-Gruppe mit direkten oder mittelbaren Benutzern.
Der Export der Benutzerdaten aus dem Active Directory erfolgt mittels eines parametrisierten AD-Aufrufs. Für den Aufruf benötigen Sie folgende Daten:
-
Namen und Passwort eines technischen AD-Benutzers mit mindestens Leserechten auf die AD-Daten,
-
Host/IP-Adresse und Port des Active Directory Controllers,
-
ein Basis Distinguished Name (DN) als Startpunkt für den Export der AD-Benutzer.
Präfix-Gruppen und Benutzer
Im Active Directory benötigen Sie mindestens eine Präfix-Gruppe. Bei mehreren Präfix-Gruppen sollte aus Gründen der Übersichtlichkeit eine Präfix-Gruppe nicht Mitglied in einer anderen Präfix-Gruppe sein. Hat eine Präfix-Gruppe eine andere Präfix-Gruppe als Mitglied, werden deren Benutzer nur der untergeordneten Präfix-Gruppe zugeordnet.
Den Präfix-Gruppen ordnen Sie Benutzer zu. Entweder direkt oder als Mitglieder zugeordneter Gruppen, die keine Präfix-Gruppen sind.
Die Benutzernamen müssen ohne Domänenanteil eindeutig sein. Präfix-Gruppen und Benutzer müssen unterhalb des Basis-DN für den Softerra LDAP Browser-Aufruf angelegt sein.
Als Benutzername wird entweder der NT4-Benutzername (Attribut 'samAccountName') oder der AD-Benutzername (Attribut 'userPrincipalName') verwendet.
In der mitgelieferten Konfigurationsdatei config.xml ist das AD-Benutzername-Attribut und als Präfix 'enaio_' voreingetragen.
Sie können unterschiedliche Präfixe verwenden, müssen aber auch dann beachten, dass eine Präfix-Gruppe nicht Mitglied in einer anderen Präfix-Gruppe sein darf.
Für Präfixe, Gruppenbezeichnungen und Benutzernamen wird die Groß- / Kleinschreibung nicht beachtet.
Benutzernamen-Attribut in der Konfigurationsdatei
In der mitgelieferten Konfigurationsdatei config.xml ist als Benutzernamen-Attribut 'AD' (userPrincipalName) eingetragen.
<setting name="UserAccountNameSource">AD</setting>
Sie können als Benutzernamen-Attribut 'NT4' (samAccountName) eingetragen:
<setting name="UserAccountNameSource">NT4</setting>
Präfix-Angabe in der Konfigurationsdatei
In der mitgelieferten Konfigurationsdatei config.xml ist als Präfix 'enaio_' eingetragen:
<setting name="GroupPrefix">enaio_</setting>
Sie können das Präfix ändern und mehrere Präfixe angeben.
Beispiel:
<setting name="GroupPrefix">enaiobenutzer_</setting>
<setting name="GroupPrefix">enaioadmins_</setting>
AD-Aufruf
Softerra LDAP Browser-Aufruf
Der Softerra LDAP Browser-Aufruf der AD-Benutzerdaten hat folgende Struktur:
laimex.exe /d DSML2 /f adexport.xml /p SUB /page 100 /r DC=test,DC=rp /s 127.0.0.1:636 /user benutzer /pwd passwort /t "(&(|(objectClass=Group)(objectClass=organizationalUnit)(objectClass=user)))" /a sAMAccountType,memberOf,objectClass,dn,objectSid,userPrincipalName,sAMAccountName,cn,userAccountControl,name,mail,sn,givenName
Angegeben ist im Aufruf der technische Benutzer mit Namen und Passwort, die Host/IP-Adresse des Active Directory Controllers mit Port, der Basis-DN (DC=test,DC=rp), die Exportdatei (adexport.xml), und AD-Attibute.
Standard-Ports: 389 für LDAP und 636 für LDAPS.
Mit Hilfe der kostenpflichtigen Version des Softerra LDAP Browsers, Softerra LDAP Administrator, ist es möglich, eine automatische Anmeldung über den angemeldeten Benutzer am Active Directory durchzuführen. Die Parameter für Benutzernamen und Passwort (/user benutzer /pwd passwort) können in diesem Szenario entfallen.
Der Paging-Parameter /page 100 ist optional. Wenn der Server über Paging-Funktionen für Suchergebnisse verfügt und damit die Seitengröße definiert werden kann, dann sollte der Paging-Parameter aktiviert werden. Dieses ist hilfreich, wenn sehr große Zweige exportiert werden und wenn die Anzahl der exportierten Elemente die serverseitigen Limits übersteigt.
Basis-DN
Der Basis-DN ist der Startpunkt für den Export der AD-Benutzer. Alle Daten unterhalb des Basis-DN werden für die Transformation exportiert. Empfehlung ist, eine 'OrganizationalUnit' (OU) oder einen Knoten vom Typ 'Domäne' zu wählen, unterhalb dessen alle Gruppen- und Benutzer angelegt sind, die für die Transformation verfügbar sein sollen.
Präfix-Gruppen, Benutzer oder Gruppen, die in der Hierarchie außerhalb des Basis-DN angelegt sind, werden nicht exportiert und können nicht ausgewertet werden.
Der Basis-DN wird im Aufruf über den Wert des Attributes 'distinguishedName' angegeben. Diesen Wert ermitteln Sie in der Anwendung 'Active Directory-Benutzer und –Computer' über den Eigenschaftendialog auf der Registerkarte 'Attribut-Editor'.
AD-Aufruf testen
Der AD-Aufruf kann über die Eingabeaufforderung oder aus enaio® administrator über die Aktion 'XSLT-Verzeichnis-Synchronisation' im Simulationsmodus (vgl. 'Simulationsmodus') getestet werden und erzeugt bei Erfolg die Datei adexport.xml.
Falls der Aufruf über die Eingabeaufforderung erfolgt, muss er aus dem enaio®-Verzeichnis \clients\admin erfolgen. Für den Softerra LDAP Browser muss die Systemvariable PATH um den Pfad auf die Installation erweitert werden.
Exportiert werden alle Benutzerdaten unterhalb des Basis-DN. Die Einschränkung auf Präfix-Gruppen erfolgt erst durch die Transformation.
Überprüfen Sie in der Exportdatei, ob alle gewünschten Benutzer unterhalb des Basis-DN erreicht werden konnten.
Datensicherheit
Der AD-Aufruf für die Konfiguration der Aktion 'XSLT-Verzeichnis-Synchronisation' enthält gegebenenfalls unverschlüsselt Benutzername und Passwort des technischen Benutzers. Die Exportdatei enthält eine Liste aller Benutzer mit Benutzerdaten unterhalb des Basis-DN.
Diese Daten werden nicht automatisch gelöscht, wenn der Aufruf über die Kommandozeile oder über die XSLT-Verzeichnis-Synchronisation im Simulationsmodus erfolgt oder wenn die Aktion fehlschlägt.
Schützen Sie die Umgebung, in der diese Daten verwaltet werden, vor unbefugten Zugriff.