DocsEinrichtung der LDAP-Authentifizierung
Konfigurieren Sie die erforderlichen Einstellungen in der Server der SKOOR Engine :
/etc/opt/eranger/eranger-server.cfg
Das folgende Beispiel zeigt eine minimale Konfiguration zum Abfragen von Active Directory. Passen Sie die Werte an die Parameter des AD/LDAP- Server an:
auth_ldap = on ldap_server = ldap://myldapserver:389 ldap_base = dc=mycompany,dc=local
Wenn die LDAP-Benutzer, die versuchen, sich anzumelden, keine ausreichenden Berechtigungen haben, um ihre eigene LDAP-Gruppenmitgliedschaft zu bestimmen, kann der dn mit den Elementen ldap_user und ldap_pass definiert werden.
Weitere Konfigurationsparameter für LDAP:
Parameter | Beschreibung |
|---|---|
ldap_auth_dn | Muss auf „ true “ gesetzt werden, falls die angemeldeten Benutzer ihre Gruppenmitgliedschaft im LDAP-Verzeichnis nicht lesen können |
ldap_charset | Wenn es Probleme mit Sonderzeichen (z. B. Umlauten) in den vom LDAP- Server empfangenen Daten gibt, konfigurieren SKOOR Engine so, dass die Antwort vom angegebenen Zeichensatz, z. B. ISO8859-1, in UTF-8 konvertiert wird. |
ldap_item_user | LDAP-Feld zum Abgleich mit dem Anmeldenamen. Dieser Parameter ist für den Anmeldevorgang relevant. Typischerweise werden sAMAccountName oder userPrincipalName verwendet |
ldap_item_name | LDAP-Feld zur Anzeige als vollständiger Name in SKOOR (z. B. displayName ) |
ldap_item_mail | LDAP-Feld zur Anzeige als E-Mail in SKOOR (z. B. mail ) |
ldap_item_phone | LDAP-Feld zur Anzeige als Telefon in SKOOR (z. B. phoneNumber ) |
ldap_item_comment | LDAP-Feld zur Anzeige als Kommentar in SKOOR (z. B. Kommentar ) |
ldap_item_group | LDAP-Feld zum Suchen der Gruppenmitgliedschaften der angemeldeten Benutzer. Normalerweise wird memberOf verwendet |
ldap_pass | Kennwort für den Benutzer, der für den Parameter ldap_user konfiguriert ist |
ldap_server1ldap_server2 | Wenn mehr als ein LDAP- Server verfügbar ist, können sie mit diesen Parametern anstelle von ldap_server konfiguriert werden |
ldap_user | Benutzer zum Durchsuchen des LDAP-Baums, wenn der Anmeldebenutzer keine Berechtigung hat |
ldap_user_expire | Anzahl der inaktiven Tage, nach denen von LDAP verwaltete Benutzer aus der SKOOR Engine gelöscht werden. (Standard = 90 Tage) |
Laden Sie den SKOOR Engine Server neu, um die Konfiguration zu aktivieren:
/opt/eranger/bin/eRanger.sh reload server
Damit ein Benutzer gegenüber dem AD/LDAP authentifiziert werden kann, stellen Sie seinen Benutzertyp in der Benutzerkonfiguration auf Remote-authentifiziert ein.
Die LDAP-Passwörter werden lokal genauso verschlüsselt wie für normale Benutzer, dh mit gesalzener MD5-Verschlüsselung. Das Klartext-Passwort wird nirgendwo in der SKOOR Engine gespeichert. Dadurch kann sich ein Benutzer bei der SKOOR Engine , auch wenn das LDAP-Verzeichnis nicht zugänglich ist.