Integrazione LDAP/AD

Questo capitolo tratta della configurazione di Veyon per il collegamento a server compatibili con LDAP. Di seguito verrà utilizzato il termine generico LDAP e si riferisce a tutti i prodotti e tecnologie compatibili con LDAP come OpenLDAP, Samba o Active Directory. L’integrazione LDAP consente di utilizzare informazioni su utenti, gruppi di utenti, computer e posizioni già esistenti nella maggior parte degli ambienti, invece di replicarli manualmente nella configurazione di Veyon. Una volta configurato, Veyon Master può recuperare posizioni e computer da visualizzare direttamente dal servizio di directory. Inoltre, gli utenti LDAP e i gruppi di utenti possono servire come base per Controllo accesso Computer.

La configurazione dell’integrazione LDAP viene eseguita nella pagina di configurazione LDAP in Veyon Configurator. La pagina è divisa in diverse sottopagine per Impostazioni di base, Impostazioni ambiente, Impostazioni avanzate e Test integrazione.

Impostazioni di base

Le impostazioni di base influenzano tutti i parametri di base per l’accesso a un server LDAP. Sono obbligatori per un’integrazione LDAP che funzioni correttamente.

Generale

Indirizzo e porta del server LDAP
Immettere qui l’indirizzo del server LDAP (nome host o indirizzo IP). Se viene utilizzata una porta diversa dalla porta LDAP predefinita 389, il parametro della porta deve essere regolato di conseguenza.
Bind anonimo / Usa credenziali di bind
A seconda dell’ambiente e della configurazione del server LDAP, le query LDAP possono essere eseguite come utente anonimo o solo con nomi utente e password validi. Se l’accesso al server richiede un nome utente e una password, è necessario selezionare l’opzione Usa credenziali di bind e le credenziali devono essere inserite nei campi di input sottostanti. Altrimenti l’opzione di default Bind anonimo può essere usato.
Bind DN
Il DN di bind è il nome utente utilizzato per accedere al server per eseguire operazioni LDAP. Tuttavia, il formato richiesto dipende fortemente dal server LDAP e dalla sua configurazione. I formati possibili includono `` Utente``, DOMINIO\Utente o cn=Utente,...,dc=esempio,dc=org.
Bind password
Oltre al DN di bind, è necessario inserire la password corrispondente.

Puoi usare il pulsante Test per verificare se l’accesso al server funziona con i parametri forniti.

Suggerimento

Veyon richiede solo l’accesso in lettura alla directory LDAP. Come misura di sicurezza aggiuntiva sul server LDAP è possibile creare un utente dedicato con accesso in sola lettura alla directory LDAP, ad es. «Veyon-LDAP-RO». L’accesso agli attributi pertinenti può essere ulteriormente limitato per questo utente.

Sicurezza della connessione

Veyon può stabilire connessioni crittografate con il server LDAP. A tale scopo, le impostazioni sono disponibili nella sezione Sicurezza della connessione.

Protocollo di crittografia

Puoi scegliere tra i protocolli di crittografia * Nessuno *, * TLS * e * SSL *. Si consiglia l’uso del moderno protocollo TLS.

Predefinito: Nessuno

Verifica del certificato TLS

Questa impostazione determina come controllare il certificato di sicurezza del server LDAP quando viene stabilita la connessione crittografata. Con l’impostazione predefinita * Impostazioni predefinite di sistema *, a seconda del sistema operativo, viene effettuato un tentativo di verificare il certificato utilizzando i certificati radice installati a livello di sistema. L’archivio certificati di Windows non viene preso in considerazione qui, pertanto potrebbe essere necessario archiviare un file di certificato CA separato. Con l’impostazione * Mai *, il certificato del server non viene verificato affatto. Ciò tuttavia consente attacchi man-in-the-middle nel caso e dovrebbe quindi essere utilizzato solo in casi eccezionali. L’impostazione * File certificato CA definito dall’utente * garantisce che il controllo del certificato venga eseguito sulla base di un file certificato CA specificato.

Predefinito: Impostazioni predefinite di sistema

File certificato CA personalizzato
Se si utilizza la propria autorità di certificazione (CA), potrebbe essere necessario archiviare il proprio certificato in un formato file PEM in modo che Veyon possa controllare il certificato del server LDAP.

Base DN

Il DN di base definisce l’indirizzo dell’oggetto root nella directory. Tutti gli oggetti sono memorizzati sotto il DN di base. Di solito il DN di base proviene dal dominio DNS o AD (vedere anche RFC 2247).

Nella maggior parte dei casi viene utilizzato un DN base fisso, quindi l’opzione predefinita DN base fissa deve essere scelto. Il DN di base deve quindi essere inserito nel campo di input corrispondente o selezionato dal server usando il pulsante Browse. Puoi usare il pulsante Test per verificare se le impostazioni sono corrette e le voci possono essere trovate.

Se una configurazione Veyon generica deve essere utilizzata su più siti con DN di base diversi, è possibile configurare Veyon in modo che il DN di base venga sempre interrogato in modo dinamico utilizzando i contesti di denominazione LDAP. Perché questo funzioni Scopri il DN di base in base al nome del contesto deve essere scelto e l’attributo del contesto di denominazione deve essere adattato. Puoi usare il pulsante Test per verificare se è possibile determinare un DN di base.

Dopo aver importato una configurazione Veyon generica senza un DN di base fisso, è anche possibile determinare il DN di base tramite Interfaccia della riga di comando e scriverlo nella configurazione locale.

Impostazioni ambiente

Dopo che le impostazioni di base sono state configurate e testate, ora è possibile effettuare le impostazioni specifiche dell’ambiente. Queste impostazioni determinano quali alberi contengono oggetti di determinati tipi, nonché i nomi di determinati attributi degli oggetti. Con questi parametri Veyon può recuperare tutte le informazioni richieste dalla directory LDAP.

Alberatura oggetti

Gli alberi degli oggetti sono unità organizzative o strutturali in cui sono memorizzati determinati tipi di oggetti (utenti, gruppi, computer). I rispettivi CN (Nomi comuni) o OU (Unità organizzative) devono essere inseriti ** senza la parte DN di base ** nel rispettivo campo di input. Accanto a ciascun campo di input ci sono pulsanti per aprire le finestre di dialogo di ricerca e per testare le singole impostazioni.

Alberatura utenti
L’albero LDAP (senza DN di base) in cui si trovano gli oggetti utente deve essere inserito qui, ad es. OU=Users o CN=Users.
Alberatura gruppi
L’albero LDAP (senza DN di base) in cui si trovano gli oggetti del gruppo deve essere inserito qui, ad es. OU=Groups o CN=Groups.
Alberatura Pc
L’albero LDAP (senza DN di base) in cui si trovano gli oggetti del computer deve essere inserito qui, ad es. OU=Computer o CN=Computer.
Albero gruppo computer
Se i gruppi di computer si trovano in un albero diverso rispetto ai normali gruppi di utenti o in una sottostruttura, qui è possibile specificare l’albero LDAP corrispondente. Altrimenti l’albero dei gruppi viene usato per interrogare i gruppi di computer e filtrarli con specifico filtro oggetto se necessario.
Ricerca anche nelle sottocartelle

Questa opzione può essere utilizzata per controllare se gli oggetti devono essere interrogati in modo ricorsivo. La ricerca si svolge quindi non solo nella struttura specificata ma anche in tutte le sottostrutture esistenti.

Predefinito: disabilitato

Suggerimento

Se oggetti di un tipo sono memorizzati in alberi di oggetti diversi (ad es. Utenti sia in CN=Docenti che in CN=Studenti), il parametro per l’albero di oggetti corrispondente può essere lasciato vuoto e l’opzione: guilabel : È possibile attivare le operazioni di ricerca ricorsiva negli alberi degli oggetti. Una ricerca ricorsiva viene quindi eseguita nell’intera directory LDAP a partire dal DN di base. In questo caso, tuttavia, si consiglia vivamente di impostare i :ref:`filtri oggetto <LDAPObjectFilters> per il rispettivo tipo di oggetto.

Attributi degli oggetti

Affinché Veyon sia in grado di recuperare le informazioni richieste dagli oggetti interrogati, i nomi di alcuni attributi degli oggetti devono essere configurati, poiché differiscono sostanzialmente a seconda dell’ambiente e del server LDAP. Accanto a ciascun campo di immissione sono disponibili pulsanti per sfogliare l’attributo di un oggetto esistente e testare il rispettivo nome di attributo.

Attributo del nome di accesso dell’utente
Questo attributo deve contenere il nome di accesso di un utente. L’attributo viene utilizzato per determinare l’oggetto utente LDAP associato a un determinato nome utente. In un ambiente OpenLDAP spesso viene usato il nome dell’attributo uid mentre il nome sAMAccountName è comune nelle Directory attive.
Attributo del gruppo del membro
I membri di un gruppo sono elencati in oggetti gruppo tramite questo attributo. L’attributo viene utilizzato per determinare i gruppi di cui un determinato utente è membro. A seconda della configurazione, l’attributo utilizzava anche il mapping dei computer alle posizioni. In un ambiente OpenLDAP spesso viene utilizzato il nome dell’attributo member mentre il nome memberUid è comune nelle Directory attive.
Attributo del nome di visualizzazione del computer

Il contenuto di questo attributo facoltativo viene utilizzato per determinare il nome di un computer visualizzato in Veyon Master. Se lasciato vuoto viene utilizzato il nome comune (cn).

Predefinito: cn

Attributo del nome del computer host
Questo attributo deve contenere il nome DNS del computer. Viene utilizzato per determinare l’oggetto computer LDAP associato a un determinato nome host del computer. In un ambiente OpenLDAP spesso viene utilizzato il nome dell’attributo name mentre il nome dNSHostName è comune nelle Directory attive.
Nomi host memorizzati come nomi di dominio completi (FQDN, ad es. Myhost.example.org)

Questa opzione specifica se utilizzare il nome di dominio completo (FQDN) per mappare i nomi dei computer su oggetti computer LDAP. Se i nomi dei computer sono memorizzati senza la parte del dominio nella directory LDAP, questa opzione deve essere disabilitata, altrimenti deve essere abilitata.

Predefinito: disabilitato

Attributo dell’indirizzo MAC del computer
Oltre al nome del computer, gli indirizzi MAC dei computer sono memorizzati nella directory LDAP in alcuni ambienti, ad esempio se il server DHCP accede anche alla directory LDAP. Se la funzione Veyon deve essere utilizzata per accendere i computer tramite Wake-on-LAN, inserire qui il nome dell’attributo corrispondente, poiché l’indirizzo MAC è necessario per questa funzionalità. I nomi degli attributi tipici sono hwAddress o dhcpAddress.

Suggerimento

In un Active Directory standard non esiste alcun attributo che memorizza gli indirizzi MAC. È quindi necessario popolare manualmente gli indirizzi MAC in un attributo inutilizzato esistente come `` wwwHomepage`` o estendere lo schema AD. Inoltre, puoi concedere l’accesso in scrittura al gruppo di computer su `` SELF “” e utilizzare uno script PowerShell per fare in modo che ogni computer memorizzi automaticamente l’indirizzo MAC del suo primo adattatore LAN fisico all’avvio.

Attributo di posizione del computer
Se lo schema LDAP per gli oggetti computer fornisce un attributo speciale per il mapping su una posizione, questo nome di attributo può essere inserito qui. Il pulsante Test può essere usato per verificare se i computer in una posizione possono essere interrogati correttamente usando l’attributo configurato. Nelle impostazioni avanzate, è quindi possibile specificare nella sezione Ubicazioni del computer che viene utilizzato l’attributo di posizione del computer.
Attributo del nome della posizione
Quando si identificano le posizioni dei computer tramite gruppi di computer o contenitori di computer, il valore di un determinato attributo può essere visualizzato come nome della posizione anziché come * Nomi comuni * di questi gruppi o oggetti. Se, ad esempio, i gruppi di computer hanno un attributo chiamato `` nome`` o `` descrizione``, un nome di posizione significativo può essere memorizzato in questo attributo e il nome dell’attributo può essere inserito qui.

Impostazioni avanzate

Con le impostazioni avanzate, l’integrazione LDAP e l’uso delle informazioni dalla directory LDAP possono essere personalizzati in base alle esigenze individuali.

Filtro per oggetti opzionale

Con i filtri LDAP, gli oggetti LDAP utilizzati da Veyon possono essere ristretti se, ad esempio, oggetti computer come stampanti non devono essere visualizzati in Veyon Master. Accanto a ciascun campo di input è presente un pulsante per il controllo del rispettivo filtro oggetto.

A partire da Veyon 4.1 i filtri opzionali seguono lo schema ben noto per i filtri LDAP (vedere ad esempio RFC 2254 o Active Directory: filtri di sintassi LDAP) come (objectClass=XYZ).

Filtro Users
Puoi definire un filtro LDAP per gli utenti qui, ad es. `` (objectClass = person) `` o `` (& (objectClass = person) (objectClass = veyonUser)) ``.
Filtro per gruppo utenti
Qui puoi definire un filtro LDAP per i gruppi di utenti, ad es. `` (objectClass = group) `` o `` (| (cn = docenti) (cn = studenti) (cn = amministratori)) ``.
Filtra per computer
Qui puoi definire un filtro LDAP per computer, ad es. `` (objectClass = computer) `` o `` (& (! (cn = printer *)) (! (cn = scanner *))) ``.
Filtro Gruppo computer
Qui puoi definire un filtro LDAP per gruppi di computer, ad es. `` (objectClass = room) `` o `` (cn = Room *) ``. Se i gruppi di computer vengono utilizzati come posizioni, è possibile filtrare le posizioni visualizzate in questo modo.
Filtra per contenitori computer
È possibile definire un filtro LDAP per i contenitori di computer qui, ad es. `` (objectClass = container) `` o `` (objectClass = organizzativoUnità) ``. Se i contenitori / unità organizzative vengono utilizzati come posizioni, è possibile filtrare le posizioni visualizzate in questo modo.

Opzioni di query

Interroga gruppi di utenti annidati (supportato solo da AD)
Se hai gruppi di utenti nidificati (attualmente supportati solo da Active Directory), puoi abilitare questa opzione per fare in modo che Veyon interroghi tutti i gruppi (anche indiretti) di un utente. Quando abilitato, puoi ad esempio creare un gruppo Utenti Veyon con i gruppi utenti esistenti Insegnanti e Staff IT come membri. Il gruppo Utenti Veyon può quindi essere utilizzato per scopi Controllo accessi.

Identificazione membro del gruppo

Il contenuto degli attributi di appartenenza al gruppo varia a seconda delle diverse implementazioni LDAP. Mentre in Active Directory il * nome distinto (DN) * di un oggetto è memorizzato nell’attributo membro, OpenLDAP di solito memorizza il nome di accesso dell’utente (`` uid`` o simile) o il nome del computer. Per consentire a Veyon di utilizzare il valore corretto per l’interrogazione di gruppi di un utente o computer, è necessario selezionare qui l’impostazione appropriata.

Nome distinto (Samba/AD)
Questa opzione deve essere scelta se il nome distinto (DN) di un oggetto è memorizzato in un attributo membro del gruppo. Di solito Samba e server AD usano questo schema.
Attributo configurato per il nome di accesso dell’utente o il nome host del computer (OpenLDAP)
Questa opzione deve essere scelta se il nome di accesso di un utente (nome utente) o il nome host di un computer è memorizzato negli attributi del membro di un gruppo. Di solito il server OpenLDAP usa questo schema.

Ubicazioni del computer

Veyon offre diversi metodi per rappresentare le posizioni dei computer in una directory LDAP. Nel caso semplice esiste un gruppo di computer per ogni posizione (ad es. Stanza). Tutti i computer in una posizione specifica sono membri del gruppo corrispondente. Se invece i computer sono organizzati in contenitori o unità organizzative (unità organizzative), questi oggetti padre possono essere utilizzati come posizioni. Entrambe le procedure non richiedono alcun adattamento dello schema LDAP. Come terza possibilità, il nome della posizione può anche essere memorizzato come attributo speciale in ciascun oggetto computer.

Gruppi computer

Questa opzione specifica che i percorsi dei computer sono identificati attraverso gruppi di computer. Tutti i gruppi di computer vengono quindi visualizzati come posizioni nel Veyon Master. Per ogni posizione vengono visualizzati tutti i computer membri del gruppo corrispondente. Se non tutti i gruppi LDAP devono essere visualizzati come percorsi, un albero dei gruppi di computer dedicato deve essere configurato oppure i gruppi di computer devono essere limitati utilizzando un filtro gruppo di computer.

Predefinito: abilitato

Contenitoru computer o OUs

Questa opzione specifica che i contenitori / unità organizzative contenenti oggetti computer vengono utilizzati come posizioni dei computer. I contenitori sono oggetti che sono genitori di oggetti computer nella struttura LDAP. Se non tutti i contenitori devono essere visualizzati come posizioni, un corrispondente filtro contenitore computer può essere impostato.

Predefinito: disabilitato

Attributo di posizione negli oggetti del computer

Se lo schema LDAP per oggetti computer fornisce un attributo speciale per mappare oggetti computer su posizioni, questa opzione può essere abilitata e il nome dell’attributo può essere inserito. Il pulsante Test può essere usato per verificare se i membri di un computer possono essere interrogati correttamente usando l’attributo configurato.

Predefinito: disabilitato

Test integrazione

I test di integrazione possono essere utilizzati per verificare l’integrazione LDAP nel suo complesso. I pulsanti consentono di eseguire vari test. Tutti i test dovrebbero avere esito positivo e fornire risultati validi prima di utilizzare la connessione LDAP in produzione.

Utilizzo di backend LDAP

Con la corretta configurazione e test dell’integrazione LDAP, ora è possibile attivare i backend LDAP. Per questo, la directory network object e il gruppo di utenti backend per controllo di accesso al computer deve essere adattato. Solo dopo aver cambiato la directory degli oggetti di rete in * LDAP *, Veyon Master utilizza le informazioni sulla posizione e sul computer dalla directory LDAP.

Attenzione

Dopo aver modificato il back-end per il controllo dell’accesso al computer, tutte le regole di accesso precedentemente configurate devono essere verificate in ogni circostanza, poiché le informazioni sul gruppo e sulla posizione cambiano e nella maggior parte dei casi le regole di accesso non saranno più valide o non saranno elaborate correttamente.

Interfaccia della riga di comando

Il Interfaccia della riga di comando di Veyon consente alcune operazioni specifiche LDAP. Tutte le operazioni sono disponibili usando il modulo `` ldap``. Un elenco di tutti i comandi supportati viene visualizzato tramite `` veyon-cli ldap help``, mentre i testi di aiuto specifici del comando possono essere visualizzati tramite `` veyon-cli ldap help <command>``.

autoconfigurebasedn

Questo comando può essere utilizzato per determinare automaticamente il DN di base utilizzato e scriverlo permanentemente nella configurazione. Un URL del server LDAP e facoltativamente un attributo di contesto di denominazione devono essere forniti come parametri:

veyon-cli ldap autoconfigurebasedn ldap://192.168.1.2/ namingContexts
veyon-cli ldap autoconfigurebasedn ldap://Administrator:MYPASSWORD@192.168.1.2:389/

Suggerimento

Caratteri speciali come `` @ `` o ``: `` - specialmente nella password - possono essere specificati usando Codifica percentuale URL .

query

Questo comando permette di interrogare oggetti LDAP («posizioni», «computer», «gruppi», «utenti») ed è utilizzato principalmente per i test. La funzione può essere utilizzata anche per sviluppare script per attività di integrazione del sistema.

veyon-cli ldap query users
veyon-cli ldap query computers