LDAP/AD integreerimine

Selles peatükis käsitletakse Veyoni seadistamist selle ühendamiseks LDAP-ühilduvate serveritega. Järgnevalt kasutatakse üldist mõistet LDAP, mis viitab kõigile LDAP-iga ühilduvatele toodetele ja tehnoloogiatele, nagu OpenLDAP, Samba või Active Directory. LDAP-integreerimine võimaldab teil kasutada teavet enamikus keskkondades juba olemasolevate kasutajate, kasutajarühmade, arvutite ja asukohtade kohta, selle asemel, et seda Veyoni konfiguratsioonis käsitsi kopeerida. Pärast konfigureerimist saab Veyon Master hankida asukohad ja arvutid, mida kuvatakse otse kataloogiteenusest. Lisaks saavad LDAP-i kasutajad ja kasutajarühmad olla aluseks Arvuti juurdepääsu juhtimine.

LDAP-i integreerimise konfigureerimine toimub Veyon Configuratori seadistuste lehel LDAP Leht on jagatud mitmeks alamleheküljeks Üldised seaded, LDAPEnvironmentSettings , :ref:`LDAPAdvancedSettings ja integratsioonitestid.

Üldised seaded

Põhiseaded mõjutavad kõiki LDAP-serverile juurdepääsu põhiparameetreid. Need on korralikult töötava LDAP-i integreerimise jaoks kohustuslikud.

Üldine

LDAP server ja port

Sisestage siia LDAP-serveri aadress (hostinimi või IP-aadress). Kui kasutatakse muud porti kui LDAP vaikeport 389, tuleb vastavalt muuta porti parameetrit.

Anonüümne sidumine/sidumismandaatide kasutamine

Sõltuvalt LDAP-serveri keskkonnast ja konfiguratsioonist saab LDAP-päringuid teha kas anonüümse kasutajana või ainult kehtivate kasutajanimede ja paroolidega. Kui serveri juurdepääsuks on vaja kasutajanime ja parooli, tuleb valida suvand Use bind credentials ja mandaadid tuleb sisestada allolevatesse sisendväljadesse. Vastasel juhul saab kasutada vaikevalikut Anonüümne sidumine.

Siduv DN

Sidumise DN on kasutajanimi, mida kasutatakse LDAP-toimingute teostamiseks serverisse sisselogimiseks. Nõutav vorming sõltub aga suuresti LDAP-serverist ja selle konfiguratsioonist. Võimalikud vormingud on „Kasutaja“, „DOMAIN Kasutaja“ või „cn = Kasutaja,…, dc = näide, dc = org“.

Siduge parool

Lisaks siduvale DN-le tuleb sisestada ka vastav parool.

Võite kasutada nuppu :guilabel:`Test ‚, et kontrollida, kas serveri juurdepääs töötab kaasasolevate parameetritega.

Vihje

Veyon nõuab ainult LDAP-kataloogi lugemisõigust. LDAP-serveri täiendava turvameetmena saab luua spetsiaalse kasutaja, kellel on kirjutuskaitstud juurdepääs LDAP-kataloogile, näit. „Veyon-LDAP-RO“. Selle kasutaja jaoks saab juurdepääsu asjakohastele atribuutidele veelgi piirata.

Ühenduse turvalisus

Veyon suudab luua krüpteeritud ühendused LDAP-serveriga. Sel eesmärgil on seaded saadaval jaotises Ühenduse turvalisus.

Krüptimisprotokoll

Võite valida krüptimisprotokollide Puudub, TLS ja SSL vahel. Soovitatav on kasutada kaasaegset TLS-protokolli.

Vaikimisi: Ei

TLS-sertifikaadi kontroll

See säte määrab, kuidas krüpteeritud ühenduse loomisel tuleb kontrollida LDAP-serveri turvasertifikaati. Vaikimisi sätte Süsteemi vaikesätted korral proovitakse sertifikaati kontrollida kogu süsteemis installitud juursertifikaatide abil, olenevalt opsüsteemist. Windowsi sertifikaadihoidlat siin arvesse ei võeta, mistõttu võib tekkida vajadus salvestada eraldi CA-sertifikaadifail. Sättega Mitte kunagi ei kontrollita serveri sertifikaati üldse. See võimaldab aga juhtumeid keskeltläbi ja seetõttu tuleks seda kasutada ainult erandjuhtudel. Kasutaja määratud CA-sertifikaadifaili seade tagab, et sertifikaadi kontroll viiakse läbi määratud CA-sertifikaadifaili alusel.

Vaikimisi: Süsteemi vaikesätted

Kohandatud CA-sertifikaadi fail

Kui kasutate oma sertifitseerimisasutust (CA), võib osutuda vajalikuks säilitada nende sertifikaat PEM-failivormingus, et Veyon saaks kontrollida LDAP-serveri sertifikaati.

Baas DN

Baasi DN määratleb kataloogis juurobjekti aadressi. Kõik objektid on salvestatud baas-DN alla. Tavaliselt pärineb põhi-DN DNS- või AD-domeenist (vt ka RFC 2247 <https://www.ietf.org/rfc/rfc2247.txt> _).

Enamasti kasutatakse fikseeritud aluse DN-d, seega tuleb valida vaikevõimalus Fikseeritud alus DN. Seejärel tuleb baasi DN sisestada vastavasse sisestusväljale või valida serverist, kasutades nuppu Sirvi. Nupu :guilabel:`Test‘ abil saate kontrollida, kas seaded on õiged ja kas kirjed on leitavad.

Kui üldist Veyoni konfiguratsiooni tuleb kasutada mitmel saidil, millel on erinevad baasi DN-d, saab Veyoni konfigureerida nii, et baasi DN-d küsitakse alati dünaamiliselt, kasutades LDAP-i nimetamise kontekste. Selle toimimiseks tuleb valida :guilabel:`Avasta baasi DN konteksti nimetamise abil ‚ja nimekonteksti atribuut tuleb kohandada. Võite kasutada nuppu :guilabel:`Test ‚, et kontrollida, kas Base DN on võimalik kindlaks määrata.

Pärast üldise Veyoni konfiguratsiooni importimist ilma kindla aluse DN-ta on võimalik ka DN-i määrata: ref: LDAP CLI kaudu ja kirjutada see kohalikku konfiguratsiooni.

Keskkonna seaded

Pärast põhiseadete konfigureerimist ja testimist saab nüüd teha keskkonnaspetsiifilisi sätteid. Need sätted määravad, millised puud sisaldavad teatud tüüpi objekte, samuti teatud objektiatribuutide nimesid. Nende parameetrite abil saab Veyon kogu vajaliku teabe hankida LDAP-kataloogist.

Objektipuud

Objektipuud on organisatsiooni- või struktuuriüksused, milles hoitakse teatud tüüpi objekte (kasutajad, rühmad, arvutid). Vastavad CN-id (Common Names) või OU-d (Organisation Units) tuleb sisestada ilma DN-i põhiosata vastavasse sisestusvälja. Iga sisestusvälja kõrval on nupud sirvimisdialoogide avamiseks ja üksikute seadete testimiseks.

Kasutajapuu

Siia tuleb sisestada LDAP-puu (ilma alus-DN-ta), milles asuvad kasutajaobjektid, nt. „OU = kasutajad“ või „CN = kasutajad“.

Grupipuu

Siia tuleb sisestada LDAP-puu (ilma aluse DN-ta), milles asuvad rühmaobjektid, nt. „OU = rühmad“ või „CN = rühmad“.

Arvutipuu

Siia tuleb sisestada LDAP-puu (ilma alus-DN-ta), milles asuvad arvuti objektid, nt. „OU=arvutid“ või „CN=arvutid“.

Arvuti grupipuu

Kui arvutirühmad asuvad tavalises kasutajagruppides erinevas puus või alampuus, saab siin määrata vastava LDAP-puu. Vastasel juhul kasutatakse rühmapuud arvutirühmade päringuteks ja nende filtreerimiseks vajadusel konkreetse objekti filtriga .

Tehke rekursiivsed otsinguoperatsioonid objektipuudes

Selle suvandi abil saab kontrollida, kas objektidele tuleks rekursiivselt päringuid esitada. Seejärel toimub otsing mitte ainult määratud puust, vaid ka kõigist olemasolevatest alampuudest.

Vaikimisi: keelatud

Vihje

Kui ühte tüüpi objektid on salvestatud erinevatesse objektipuudesse (nt kasutajad nii „CN=õpetajad“ kui ka „CN=õpilased“), võib vastava objektipuu parameetri tühjaks jätta ja suvand Rekursiivsete otsinguoperatsioonide teostamine objektipuudes saab aktiveerida. Seejärel tehakse rekursiivne otsing kogu LDAP-kataloogis, alustades baasi DN-st. Sel juhul on tungivalt soovitatav määrata vastava objektitüübi jaoks objekti filtrid .

Objekti atribuudid

Selleks, et Veyon saaks päritud objektidelt nõutava teabe kätte saada, tuleb konfigureerida mõne objekti atribuudi nimed, kuna need erinevad oluliselt sõltuvalt keskkonnast ja LDAP-serverist. Iga sisendvälja kõrval on olemas nupud olemasoleva objekti atribuudi sirvimiseks ja vastava atribuudi nime testimiseks.

Kasutaja sisselogimise nime atribuut

See atribuut peab sisaldama kasutaja sisselogimisnime. Atribuuti kasutatakse konkreetse kasutajanimega seotud LDAP kasutajaobjekti määramiseks. OpenLDAP-i keskkonnas kasutatakse sageli atribuudinime „uid“, samas kui nimi „sAMAccountName“ on aktiivsetes kataloogides tavaline.

Grupi liikme atribuut

Selle atribuudi kaudu on grupi liikmed rühmaobjektides loetletud. Atribuuti kasutatakse rühmade määramiseks, kuhu konkreetne kasutaja kuulub. Sõltuvalt konfiguratsioonist kasutas atribuut ka arvutit asukohtade kaardistamiseks. OpenLDAP-i keskkonnas kasutatakse sageli atribuudi nime „liige“, samas kui nimi „memberUid“ on aktiivsetes kataloogides levinud.

Arvuti kuvanime atribuut

Selle valikulise atribuudi sisu kasutatakse Veyon Masteris kuvatava arvuti nime määramiseks. Kui see tühjaks jätta, kasutatakse selle asemel üldnime („cn“).

Vaikimisi: cn

Arvuti hosti nime atribuut

See atribuut peab sisaldama arvuti DNS-i nime. Seda kasutatakse konkreetse arvuti hostinimega seotud LDAP arvutiobjekti määramiseks. OpenLDAP-i keskkonnas kasutatakse sageli atribuudi nime „nimi“, samas kui nimi „dNSHostName“ on aktiivsetes kataloogides levinud.

Hosti nimed, mis on salvestatud täielikult kvalifitseeritud domeeninimedena (FQDN, nt myhost.example.org)

See suvand määrab, kas kasutada „täielikult kvalifitseeritud domeeninime (FQDN) <https://en.wikipedia.org/wiki/Fully_qualified_domain_name>“ _ arvutinimede kaardistamiseks LDAP-arvutiobjektidega. Kui arvutinimed salvestatakse ilma domeeniosata LDAP-kataloogis, tuleb see suvand keelata, vastasel juhul peab see olema lubatud.

Vaikimisi: keelatud

Arvuti MAC-aadressi atribuut

Lisaks arvuti nimele salvestatakse mõnes keskkonnas arvutite MAC-aadressid LDAP-kataloogi, näiteks kui DHCP-server pääseb juurde ka LDAP-kataloogi. Kui funktsiooni Veyon kasutatakse arvutite sisselülitamiseks jaotises Wake-on-LAN <https://en.wikipedia.org/wiki/Wake-on-LAN> _, tuleb siia sisestada vastav atribuudi nimi, kuna selle funktsiooni jaoks on vaja MAC-aadressi. Tüüpilised atribuutide nimed on „hwAddress“ või „dhcpAddress“.

Vihje

Tavalises Active Directory-s pole ühtegi atribuuti, mis salvestaks MAC-aadresse. Seetõttu peate MAC-aadressid käsitsi täitma olemasolevas kasutamata atribuudis, näiteks „wwwHomepage“, või laiendama AD-skeemi. Lisaks saate anda arvutitele grupikirjutusõiguse „SELF“ ja kasutada PowerShelli skripti, et panna iga arvuti automaatselt käivitamisel oma esimese füüsilise LAN-adapteri MAC-aadress salvestama.

Arvuti asukoha atribuut

Kui arvutiobjektide LDAP-skeem pakub asukohaga vastendamiseks spetsiaalse atribuudi, saab selle atribuudi nime siia sisestada. Nuppu Test ‚ saab kasutada selleks, et konfigureeritud atribuudi abil kontrollida, kas asukoha arvuteid saab õigesti pärida. Täpsemates sätetes saate jaotises :ref:`LDAPComputerLocations täpsustada, et kasutatakse arvuti asukoha atribuuti.

Asukoha nime atribuut

Arvuti asukohtade tuvastamisel arvutirühmade või arvutikonteinerite abil saab nende rühmade või objektide ühiste nimede asemel kuvada asukoha nimena teatud atribuudi väärtuse. Kui arvutirühmadel on näiteks atribuut nimega „nimi“ või „kirjeldus“, saab sellesse atribuuti salvestada sisuka asukoha nime ja atribuudi nime saab siia sisestada.

Täpsemad seaded

Täpsemate seadete abil saab LDAP-i integreerimise ja LDAP-kataloogi teabe kasutamise kohandada individuaalsetele vajadustele.

Valikulised objektifiltrid

LDAP-filtrite abil saab Veyoni kasutatavaid LDAP-objekte kitsendada, kui näiteks arvutiobjekte, näiteks printereid, ei kuvata Veyon Master’is. Iga sisendvälja kõrval on nupp vastava objektifiltri kontrollimiseks.

Alates Veyon 4.1-st järgivad valikulised filtrid LDAP-filtrite jaoks tuntud skeemi (vt näiteks „RFC 2254 <https://www.ietf.org/rfc/rfc2254.txt>“ _ või `Active Directory: LDAP-i süntaksifiltrid <https://social.technet.microsoft.com/wiki/contents/articles/5392.active-directory-ldap-syntax-filters.aspx> „_), näiteks“ (objectClass = XYZ) „.

Kasutajatele mõeldud filter

Siin saate määratleda kasutajatele LDAP-filtri, näit. „(objectClass = inimene)“ või „(& (objectClass = inimene) (objectClass = veyonUser))“.

Filter kasutajagruppide jaoks

Siin saate kasutajagruppide jaoks määratleda LDAP-filtri, näit. „(objectClass = rühm)“ või „(| (cn = õpetajad) (cn = õpilased) (cn = adminid))“.

Filter arvutite jaoks

Siin saate arvutite jaoks määratleda LDAP-filtri, näit. „(objectClass=arvuti)“ või „(& (! (cn=printer *)) (! (cn=skanner *)))“.

Filter arvutigruppide jaoks

Siin saate arvutirühmadele määrata LDAP-filtri, näit. „(objectClass=ruum)“ või „(cn=ruum*)“. Kui asukohtadena kasutatakse arvutirühmi, saate kuvatud asukohad sel viisil filtreerida.

Filter arvutikonteinerite jaoks

Siin saate määratleda arvutikonteinerite LDAP-filtri, näit. „(objectClass=konteiner)“ või „(objectClass=organisatsiooniUnit)“. Kui asukohtadena kasutatakse konteinereid/OU-sid, saate kuvatud asukohad sel viisil filtreerida.

Päringu valikud

Pesastatud kasutajarühmade päring (toetab ainult AD)

Kui teil on pesastatud kasutajarühmi (praegu toetab ainult Active Directory), saate selle valiku lubada, et Veyon esitaks päringu kõigi (isegi kaudsete) kasutajarühmade kohta. Kui see on lubatud, saate näiteks luua grupi Veyon Users olemasolevate kasutajarühmadega Teachers ning IT Staff liikmetena. Veyon Users rühma saab seejärel kasutada Juurdepääsu juhtimine eesmärkidel.

Grupi liikme identifitseerimine

Grupi liikmelisuse atribuutide sisu varieerub LDAP-rakenduste puhul. Kui Active Directory kataloogis on objekti eristatav nimi (DN) salvestatud liikme atribuuti, salvestab OpenLDAP tavaliselt kasutaja sisselogimisnime („uid“ vms) või arvuti nime. Selleks, et Veyon kasutaks kasutaja või arvuti rühmade päringute tegemisel õiget väärtust, tuleb siin valida sobiv säte.

Eraldatud nimi (Samba/AD)

See valik tuleb valida, kui objekti eristatav nimi (DN) on salvestatud rühma liikme atribuudi. Tavaliselt kasutavad seda skeemi Samba ja AD-server.

Konfigureeritud atribuut kasutaja sisselogimisnimele või arvuti hostinimele (OpenLDAP)

See valik tuleb valida juhul, kui kasutaja sisselogimisnimi (kasutajanimi) või arvuti hostinimi on salvestatud rühma liikme atribuutidesse. Tavaliselt kasutavad OpenLDAP-server seda skeemi.

Arvuti asukoht

Veyon pakub LDAP-kataloogis arvuti asukohtade esitamiseks mitmeid meetodeid. Lihtsal juhul on iga asukoha (nt ruumi) jaoks üks arvutirühm. Kõik kindlas asukohas olevad arvutid on vastava rühma liikmed. Kui arvutid on korraldatud konteinerites või organisatsiooniüksustes (OU-des), saab neid emaobjekte kasutada asukohtadena. Mõlemad protseduurid ei nõua LDAP-skeemi kohandamist. Kolmanda võimalusena saab asukoha nime salvestada ka iga arvutiobjekti spetsiaalse atribuudina.

Arvutigrupid

See suvand määrab, et arvuti asukohad tuvastatakse arvutirühmade kaudu. Seejärel kuvatakse kõik arvutirühmad Veyon Masteris asukohtadena. Iga asukoha kohta kuvatakse kõik arvutid, mis kuuluvad vastavasse rühma. Kui kõiki LDAP-rühmi ei näidata asukohtadena, tuleb konfigureerida kas spetsiaalne arvutirühma puu või arvutirühmi tuleb piirata, kasutades arvutirühma filtrit.

Vaikimisi: lubatud

Arvutikonteinerid või OU-d

See suvand määrab, et arvuti objektidena olevaid konteinereid/OU-sid kasutatakse arvuti asukohtadena. Konteinerid on objektid, mis on LDAP-puu arvutiobjektide vanemad. Kui kõiki konteinereid ei näidata asukohtadena, saab seadistada vastava arvutikonteinerite filtri.

Vaikimisi: keelatud

Asukoha atribuut arvutiobjektides

Kui arvutiobjektide LDAP-skeem pakub spetsiaalset atribuuti arvutiobjektide vastavusse viimiseks asukohtadega, saab seda suvandit lubada ja atribuudinime sisestada. Nupu :guilabel:`Test’abil saab konfigureeritud atribuudi abil kontrollida, kas arvuti asukoha liikmeid saab õigesti pärida.

Vaikimisi: keelatud

integratsioonitestid

Integreerimisteste saab kasutada LDAP-i integreerimise kontrollimiseks tervikuna. Nupud võimaldavad teha erinevaid teste. Kõik testid peaksid olema edukad ja pakkuma kehtivaid tulemusi enne LDAP-ühenduse kasutamist tootmises.

LDAP-taustaprogrammide kasutamine

LDAP-i integreerimise eduka konfigureerimise ja testimise abil saab nüüd LDAP-taustaprogramme aktiveerida. Selleks tuleb kohandada võrguobjektide kataloog ja kasutajagruppide taustprogramm arvuti juurdepääsu juhtimine . Alles pärast võrguobjektide kataloogi LDAP vahetamist kasutatakse Veyon Masteris LDAP-kataloogi asukohta ja arvutiteavet.

Tähelepanu

Pärast arvuti juurdepääsu kontrollimise taustaprogrammi muutmist tuleks igal juhul kontrollida kõiki eelnevalt konfigureeritud juurdepääsureegleid, kuna grupi- ja asukohateave muutuvad ning enamasti ei kehti juurdepääsureeglid enam või neid ei töödelda õigesti.

Käsurea liides

Veyoni käsk Käsurea liides võimaldab mõningaid LDAP-spetsiifilisi toiminguid. Kõik toimingud on saadaval mooduli ldap abil. Kõigi toetatud käskude loend kuvatakse veyon-cli ldap help kaudu, käsu spetsiifilisi abitekste saab kuvada veyon-cli ldap help kaudu <command>.

autoconfigurebasedn

Selle käsu abil saab automaatselt kindlaks määrata kasutatud baasi DN-i ja selle püsivalt konfiguratsiooni kirjutada. Parameetritena tuleb esitada LDAP-serveri URL ja valikuliselt nimetamise konteksti atribuut:

veyon-cli ldap autoconfigurebasedn ldap://192.168.1.2/ namingContexts
veyon-cli ldap autoconfigurebasedn ldap://Administrator:MYPASSWORD@192.168.1.2:389/

Vihje

Erimärke nagu „@“ või „:“ - eriti paroolis - saab määrata, kasutades URL-i kodeeringut <https://en.wikipedia.org/wiki/Percent-encoding> `_ .

query

See käsk võimaldab päringuid teha LDAP-objektide („asukohad“, „arvutid“, „rühmad“, „kasutajad“) kohta ja seda kasutatakse peamiselt testimiseks. Funktsiooni saab kasutada ka süsteemide integreerimise ülesannete skriptide väljatöötamiseks.

veyon-cli ldap query users
veyon-cli ldap query computers