LDAP/AD integráció

Ez a fejezet a Veyon beállítását foglalja magában a LDAP-kompatibilis szerverekhez való csatlakozáshoz. A következőben a LDAP általános kifejezést fogjuk használni, amely az összes LDAP-kompatibilis termékre és technológiára vonatkozik, mint például az OpenLDAP, Samba vagy Active Directory. Az LDAP integráció lehetővé teszi, hogy a már meglévő felhasználók, felhasználói csoportok, számítógépek és helyek információit használja a legtöbb környezetben, ahelyett, hogy manuálisan másolná őket a Veyon konfigurációjába. Miután be lett állítva, a Veyon Master közvetlenül lekérheti a helyeket és a számítógépeket a könyvtárszolgáltatásból történő megjelenítéshez. Továbbá az LDAP felhasználók és felhasználói csoportok alapul szolgálhatnak a Számítógéphozzáférés-vezérlés-hoz.

A LDAP integráció konfigurációja a Veyon Configuratorban található LDAP nevű konfigurációs oldalon történik. Az oldal több aloldalra van osztva a Alapbeállítások, Környezeti beállítások, Haladó beállítások és Integrációs tesztek részekre.

Alapbeállítások

A alapbeállítások minden alapvető paramétert érintenek egy LDAP szerver eléréséhez. Ezek kötelezőek a megfelelően működő LDAP integrációhoz.

Általános

LDAP szerver és port

Adja meg itt az LDAP szerver címét (házigazda vagy IP cím). Ha a 389-es alapértelmezett LDAP portnál más portot használnak, akkor a port paramétert meg kell változtatni.

Névtelen kötés / Használjon kötési hitelesítő adatokat

A környezet és a LDAP kiszolgáló konfigurációjától függően az LDAP lekérdezések vagy névtelen felhasználóként, vagy csak érvényes felhasználónevekkel és jelszavakkal hajthatók végre. Ha a kiszolgálóhoz való hozzáféréshez felhasználónév és jelszó szükséges, akkor ki kell választani a Használjon kötődési hitelesítő adatokat lehetőséget, és be kell írni a hitelesítő adatokat az alábbi beviteli mezőkbe. Ellenkező esetben használható az alapértelmezett Névtelen kötődés lehetőség.

DN kötés

A DN kötés az a felhasználónév, amelyet a bejelentkezéshez használnak a szerveren az LDAP műveletek végrehajtásához. Azonban a szükséges formátum nagymértékben függ az LDAP szervertől és annak konfigurációjától. Lehetséges formátumok közé tartozik a „User”, „DOMAINUser” vagy „cn=User,…,dc=example,dc=org”.

Kötés jelszava

A megfelelő jelszót is be kell írni a DN kötés mellett.

A Teszt gomb segítségével ellenőrizheti, hogy a szerver hozzáférés működik-e a megadott paraméterekkel.

Tipp

Veyon csak olvasási hozzáférést igényel az LDAP könyvtárhoz. Az LDAP szerveren további biztonsági intézkedésként létrehozható egy dedikált felhasználó, aki csak olvasási hozzáféréssel rendelkezik az LDAP könyvtárhoz, például „Veyon-LDAP-RO”. Ennek a felhasználónak további korlátozásokat lehet beállítani a releváns attribútumokhoz.

Csatlakozási biztonság

Veyon titkosított kapcsolatokat tud létesíteni az LDAP szerverrel. Ehhez beállítások érhetők el a Kapcsolatbiztonság szakaszban.

Titkosítási protokoll

Választhat a következő titkosítási protokollok közül: None, TLS és SSL. A modern TLS protokoll használata ajánlott.

Alapértelmezett: Nincs

TLS tanúsítványhitelesítés

Ez a beállítás meghatározza, hogyan ellenőrizzük az LDAP szerver biztonsági tanúsítványát, amikor az titkosított kapcsolat létrejön. Az alapértelmezett Rendszer alapértékek beállítás esetén az operációs rendszertől függően megpróbáljuk ellenőrizni a tanúsítványt a rendszer-szerte telepített gyökér tanúsítványok segítségével. Itt nem veszi figyelembe a Windows tanúsítványtárat, így külön CA tanúsítványfájlt kell tárolni. A Soha beállítás esetén a szerver tanúsítványa egyáltalán nem lesz ellenőrizve. Ez azonban lehetővé teszi a közbeiktatott támadásokat, ezért csak rendkívüli esetekben használható. A Felhasználó által meghatározott CA tanúsítványfájl beállítás biztosítja, hogy a tanúsítványellenőrzés egy meghatározott CA tanúsítványfájl alapján történjen.

Alapértelmezett: Alapértelmezett rendszerbeállítások

Egyéni CA tanúsítványfájl

Ha saját tanúsítvány-hitelesítő hatóságát (CA) használja, akkor szükség lehet a tanúsítványuk tárolására PEM fájlformátumban, hogy a Veyon ellenőrizhesse az LDAP szerver tanúsítványát.

Alap DN

A base DN meghatározza a gyökér objektum címét a könyvtárban. Az összes objektum a base DN alatt van tárolva. Általában a base DN a DNS vagy az AD tartományból származik (lásd még RFC 2247).

Legtöbb esetben egy fix alap DN-t használnak, ezért a választandó alapértelmezett opció: Fix alap DN. Az alap DN-t ezután be kell írni a megfelelő beviteli mezőbe, vagy a szerverről kiválasztani a Böngészés gomb segítségével. A beállítások helyességének és a bejegyzések megtalálhatóságának ellenőrzéséhez használhatja a Teszt gombot.

Ha egy általános Veyon konfigurációt szeretnénk használni több helyszínen különböző alap DN-ekkel, akkor a Veyon konfigurálható úgy, hogy az alap DN mindig dinamikusan lekérdezésre kerüljön az LDAP névterek használatával. Ehhez működéshez ki kell választani a „Az alap DN felderítése névter alapján” lehetőséget, és az alap DN attribútumot meg kell változtatni. A „Teszt” gomb segítségével ellenőrizhető, hogy sikerült-e meghatározni az alap DN-t.

Az általános Veyon konfiguráció importálása után, amely nem rendelkezik rögzített alap DN-nel, lehetséges a base DN meghatározása a Parancssori interfész segítségével, majd a helyi konfigurációba történő írása.

Környezeti beállítások

Miután a alapbeállításokat konfigurálták és tesztelték, most elvégezhetők a környezet-specifikus beállítások. Ezek a beállítások határozzák meg, hogy mely fák tartalmaznak bizonyos típusú objektumokat, valamint bizonyos objektumattribútumok nevét. Ezekkel a paraméterekkel a Veyon képes az összes szükséges információt lekérni az LDAP könyvtárból.

Objektumfák

Az objektumfák szervezeti vagy szerkezeti egységek, amelyekben bizonyos típusú objektumok (felhasználók, csoportok, számítógépek) vannak tárolva. A megfelelő CN-ek (közös nevek) vagy OU-k (szervezeti egységek) be kell írni a megfelelő bemeneti mezőbe, a bázis DN rész nélkül. Minden bemeneti mező mellett gombok vannak a böngésző párbeszédablakok megnyitásához és az egyéni beállítások teszteléséhez.

Felhasználófa

A felhasználó objektumok elhelyezkedését meghatározó LDAP fa (alap DN nélkül) itt kell megadni, pl. OU=Users vagy CN=Users.

Számítógépfa

A csoport objektumok elhelyezkedését meghatározó LDAP fa (alap DN nélkül) itt kell megadni, pl. OU=Groups vagy CN=Groups.

Számítógépfák

A számítógép objektumok elhelyezkedését meghatározó LDAP fa (alap DN nélkül) itt kell megadni, pl. OU=Computers vagy CN=Computers.

Számítógépcsoport-fa

Ha a számítógép csoportok egy másik fa alatt találhatók, mint a rendes felhasználói csoportok, vagy egy alfa alatt, akkor itt megadható a megfelelő LDAP fa. Ellenkező esetben a csoportfa használható a számítógép csoportok lekérdezéséhez és szűréséhez egy adott objektumszűrővel, ha szükséges.

Rekurzív keresési műveletek az objektumfákban

Ez az opció használható arra, hogy szabályozza, hogy az objektumokat rekurzívan kell-e lekérdezni. A keresés akkor történik meg nem csak a megadott fastruktúrában, hanem a meglévő alfastruktúrákban is.

Alapértelmezett: kikapcsolva

Tipp

Ha az egyik típusú objektumok különböző objektumfákban vannak tárolva (pl. felhasználók mind a „CN=Tanarok”-ben, mind a „CN=Tanulok”-ben), akkor a megfelelő objektumfa paramétere üresen hagyható, és aktiválható a Rekurzív keresési műveletek végrehajtása objektumfákban opció. Ekkor egy rekurzív keresés történik az egész LDAP könyvtárban a kiindulási DN-től kezdve. Ebben az esetben azonban erősen ajánlott beállítani a megfelelő objektumtípusra vonatkozó objektumszűrőket.

Objektum attribútumok

A Veyon számára lehetővé kell tenni a szükséges információk lekérdezését a lekérdezett objektumokból, néhány objektum attribútumának neveit be kell állítani, mivel ezek jelentősen eltérnek a környezettől és az LDAP szervertől függően. Minden bemeneti mező mellett gombok találhatók egy meglévő objektum attribútumának böngészéséhez és a megfelelő attribútumnév teszteléséhez.

A felhasználó bejelentkezési nevének attribútuma

Ez az attribútum a felhasználó bejelentkezési nevét kell tartalmazza. Az attribútumot arra használják, hogy meghatározzák az LDAP felhasználó objektumot, amely egy adott felhasználónévvel van kapcsolatban. Egy OpenLDAP környezetben gyakran a „uid” attribútumnév használatos, míg az „sAMAccountName” név gyakori az Active Directory-kben.

Csoporttagság attribútumok

A csoport tagokban felsoroltak a csoport objektumokon keresztül találhatók meg. Az attribútumot arra használják, hogy meghatározzák, hogy egy adott felhasználó mely csoportok tagja. A konfigurációtól függően az attribútumot használják számítógépek helyekhez történő hozzárendelésére is. Az OpenLDAP környezetben gyakran a „member” attribútum nevet használják, míg az Active Directory-kben általában a „memberUid” név elterjedt.

Számítógép megjelenítési név attribútum

A szöveg lefordítva: A Veyon Masterben megjelenített számítógép nevének meghatározásához használt opcionális attribútum tartalma. Ha üresen hagyják, akkor a közös név (cn) helyett használódik.

Alapértelmezett: cn

Számítógép kiszolgálónév attribútuma

Ez az attribútum a számítógép DNS nevét kell tartalmazza. Az attribútumot arra használják, hogy meghatározzák az LDAP számítógép objektumot, amely egy adott számítógép hosztnevével van kapcsolatban. Egy OpenLDAP környezetben gyakran a „name” attribútumnév használatos, míg az „dNSHostName” név gyakori az Active Directory-kben.

A kiszolgálónevet a teljesen minősített domain névként tároljuk (FQDN, például szerver.cegem.hu)

Ez az opció meghatározza, hogy a számítógépnevek LDAP számítógépobjektumokhoz történő hozzárendelésekor használják-e a teljesen meghatározott tartománynév (FQDN) <https://en.wikipedia.org/wiki/Fully_qualified_domain_name> -t. Ha a számítógépnevek a tartományrész nélkül vannak tárolva az LDAP könyvtárban, akkor ezt az opciót letiltva kell hagyni, különben engedélyezve kell lennie.

Alapértelmezett: kikapcsolva

Számítógép fizikai címének attribútuma

A számítógép neve mellett a számítógépek MAC-címei is tárolódnak az LDAP könyvtárban bizonyos környezetekben, például ha a DHCP szerver is hozzáfér az LDAP könyvtárhoz. Ha a Veyon funkciót arra szeretnénk használni, hogy a számítógépeket bekapcsoljuk a Wake-on-LAN segítségével, akkor meg kell adni a megfelelő attribútum nevét itt, mivel ehhez a funkcionalitáshoz szükséges a MAC-cím. A tipikus attribútumnevek hwAddress vagy dhcpAddress.

Tipp

Egy standard Active Directory-ban nincs olyan attribútum, amely tárolná a MAC-címeket. Ezért kézzel kell kitölteni a MAC-címeket egy már meglévő, nem használt attribútumban, például a „wwwHomepage”-ban, vagy kiterjeszteni az AD séma. Emellett adhatsz a számítógépeknek csoportírási hozzáférést a „SELF”-hez, és használhatsz egy PowerShell szkriptet, hogy minden számítógép automatikusan tárolja az első fizikai LAN adapter MAC-címét a rendszerindításkor.

Számítógéphelyszín attribútum

Ha az LDAP séma a számítógép objektumokhoz egy speciális attribútumot biztosít a helyre történő leképezéshez, akkor itt megadható az attribútum neve. A Teszt gomb segítségével ellenőrizhető, hogy a helyen lévő számítógépek lekérdezhetők-e helyesen a konfigurált attribútum használatával. Az előrehaladott beállításokban a Számítógéphelyszínek szakaszban megadható, hogy a számítógép hely attribútuma használatban van-e.

Helyszínnév attribútum

Amikor a számítógépek helyét számítógép csoportok vagy számítógép tartályok alapján azonosítjuk, egy bizonyos attribútum értéke megjeleníthető a helynévként ezeknek a csoportoknak vagy objektumoknak a Közös nevei helyett. Ha például a számítógép csoportoknak van egy „név” vagy „leírás” nevű attribútuma, akkor egy értelmes helynév tárolható ebben az attribútumban, és az attribútum neve itt megadható.

Haladó beállítások

Az előre beállított beállítások segítségével az LDAP integráció és az információk használata az LDAP könyvtárból testreszabható az egyéni igényeknek megfelelően.

Opcionális objektumszűrő

Az LDAP szűrők segítségével a Veyon által használt LDAP objektumok szűkíthetők, ha például a nyomtatókhoz hasonló számítógép objektumok nem jelennek meg a Veyon Masterben. Minden beviteli mező mellett található egy gomb a megfelelő objektumszűrő ellenőrzéséhez.

As of Veyon 4.1 az opcionális szűrők a jól ismert séma szerint követik az LDAP szűrőket (lásd például RFC 2254 vagy Active Directory: LDAP szintaxis szűrők) mint például (objectClass=XYZ).

Felhasználók szűrője

Itt definiálhat egy LDAP szűrőt a felhasználókhoz, például (objectClass=person) vagy (&(objectClass=person)(objectClass=veyonUser)).

Felhasználói csoportok szűrője

Itt meghatározhat egy LDAP szűrőt a felhasználói csoportokhoz, például (objectClass=group) vagy (|(cn=teachers)(cn=students)(cn=admins)).

Számítógépek szűrője

Itt definiálhat egy LDAP szűrőt a számítógépekhez, például (objectClass=computer) vagy (&(!(cn=printer*))(!(cn=scanner*))).

Számítógépcsoportok szűrője

Itt definiálhat egy LDAP szűrőt a számítógép csoportokhoz, pl. (objectClass=room) vagy (cn=Room*). Ha a számítógép csoportokat helyként használják, így szűrheti a megjelenített helyeket.

Számító géptároló szűrője

Itt definiálhat egy LDAP szűrőt a számítógép-tárolókhoz, például (objectClass=container) vagy (objectClass=organizationalUnit). Ha a tárolók/szervezeti egységek helyként vannak használva, így szűrheti a megjelenített helyeket.

Lekérdezési lehetőségek

Beágyazott felhasználói csoportok lekérdezése (csak az AD által támogatott)

Ha beágyazott felhasználói csoportokat használsz (jelenleg csak az Active Directory támogatott), akkor engedélyezheted ezt az opciót, hogy a Veyon lekérdezze a felhasználó összes (még közvetett) csoportját. Ha engedélyezve van, például létrehozhatsz egy „Veyon felhasználók” csoportot a meglévő „Tanárok” és „IT Személyzet” csoportok tagjaiként. A „Veyon felhasználók” csoportot aztán használhatod a Hozzáférés-vezérlés célokra.

Csoporttagság azonosítója

A csoporttagsági attribútumok tartalma eltérő lehet különböző LDAP implementációkban. Míg az Active Directory-ban az objektum megkülönböztető név (DN) a member attribútumban van tárolva, az OpenLDAP általában a felhasználó bejelentkezési nevét (uid vagy hasonló) vagy a számítógép nevét tárolja. Ahhoz, hogy a Veyon helyesen használja a felhasználó vagy számítógép csoportjainak lekérdezéséhez szükséges értéket, itt meg kell választani a megfelelő beállítást.

Megkülönböztetett név (Samba/AD)

Ezt az opciót kell választani, ha egy objektum megkülönböztetett neve (DN) egy csoport tagjának attribútumában van tárolva. Általában a Samba és az AD szerver használja ezt a séma.

A felhasználó bejelentkezési nevéhez vagy a számítógép kiszolgálónevéhez beállított attribútum (OpenLDAP)

Ezt az opciót kell választani, ha egy felhasználó bejelentkezési neve (felhasználónév) vagy egy számítógép kiszolgálóneve a csoport tagjainak attribútumaiban van tárolva. Általában az OpenLDAP szerver használja ezt a sémát.

Számítógéphelyszínek

Veyon több módszert kínál a számítógépek helyének reprezentálására egy LDAP könyvtárban. Az egyszerű esetben minden hely (pl. szoba) számára van egy számítógép csoport. Az adott helyen lévő összes számítógép tagja a megfelelő csoportnak. Ha a számítógépek helyett konténerekben vagy szervezeti egységekben (OU-kban) vannak szervezve, akkor ezeket a szülő objektumokat is használhatjuk helyként. Mindkét eljárás nem igényel semmilyen módosítást az LDAP séma tekintetében. Harmadik lehetőségként a hely neve is tárolható egy speciális attribútumként minden számítógép objektumban.

Számítógépcsoportok

Ez az opció azt jelenti, hogy a számítógépek helyét számítógép csoportokon keresztül azonosítják. Az összes számítógép csoport megjelenik a Veyon Masterben helyként. Minden helyhez tartozó összes számítógép megjelenik, amelyek tagjai a megfelelő csoportnak. Ha nem minden LDAP csoportot szeretnénk megjeleníteni helyként, akkor vagy egy dedikált számítógép csoport fa-t kell konfigurálni, vagy a számítógép csoportokat korlátozni kell egy számítógép csoport szűrővel.

Alapértelmezett: bekapcsolva

Számítógép tárolók vagy szervezeti egységek

Ez az opció azt jelenti, hogy a számítógép objektumokat tartalmazó tartályok/OU-k számítógép helyekként vannak használva. A tartályok olyan objektumok, amelyek a számítógép objektumok szülői az LDAP fastruktúrájában. Ha nem minden tartályt kell megjeleníteni helyként, akkor megfelelő számítógép tartály szűrő állítható be.

Alapértelmezett: kikapcsolva

Helyszín attribútuma számítógép-objektumokban

Ha az LDAP séma a számítógép objektumokhoz egy speciális attribútumot biztosít a számítógép objektumok helyekhez történő hozzárendeléséhez, akkor ezt az opciót engedélyezheti, és megadhatja az attribútum nevét. A Test gomb segítségével ellenőrizhető, hogy a számítógép helyének tagjait helyesen lehet-e lekérdezni a konfigurált attribútum használatával.

Alapértelmezett: kikapcsolva

Integrációs tesztek

Az integrációs tesztek használhatók az LDAP integráció teljes körű ellenőrzésére. A gombok lehetővé teszik különböző tesztek végrehajtását. Az összes tesztnek sikeresnek kell lennie, és érvényes eredményeket kell szolgáltatnia, mielőtt az LDAP kapcsolatot termelésben használnák.

LDAP hátterek használata

A sikeres konfiguráció és az LDAP integráció tesztelése után az LDAP háttértárak most aktiválhatók. Ehhez a hálózati objektum könyvtár és a felhasználói csoportok háttértára a számítógép hozzáférési vezérlés szerint kell módosítani. Csak azután, hogy a hálózati objektum könyvtárat LDAP-ra váltottuk, a hely és a számítógép információk az LDAP könyvtárból kerülnek felhasználásra a Veyon Masterben.

Figyelem

Az adatvédelemhez való számítógépes hozzáférés háttértámogatásának megváltoztatása után minden korábban konfigurált hozzáférési szabályt ellenőrizni kell minden körülmények között, mivel a csoport- és helyinformációk megváltoznak, és a legtöbb esetben a hozzáférési szabályok már nem lesznek érvényesek vagy nem lesznek megfelelően feldolgozva.

Parancssori interfész

A Veyon Parancssori interfész lehetővé teszi néhány LDAP-specifikus művelet végrehajtását. Az összes művelet elérhető a ldap modul segítségével. Az összes támogatott parancs listája a veyon-cli ldap help paranccsal jeleníthető meg, míg a parancs-specifikus súgószövegek a veyon-cli ldap help <parancs> paranccsal jeleníthetők meg.

autoconfigurebasedn

Ez a parancs használható a használt alap DN automatikus meghatározására és annak végleges beírására a konfigurációba. Egy LDAP szerver URL-t és opcionálisan egy névterek attribútumot kell paraméterként megadni:

veyon-cli ldap autoconfigurebasedn ldap://192.168.1.2/ namingContexts
veyon-cli ldap autoconfigurebasedn ldap://Administrator:MYPASSWORD@192.168.1.2:389/

Tipp

Speciális karakterek, mint például @ vagy : - különösen a jelszóban - megadhatók a URL százalék-kódolás használatával.

query

Ez a parancs lehetővé teszi az LDAP objektumok (locations, computers, groups, users) lekérdezését, és főként tesztelésre használatos. A funkció használható rendszerintegrációs feladatokhoz szkriptek fejlesztésére is.

veyon-cli ldap query users
veyon-cli ldap query computers