LDAP/AD integratie

Dit hoofdstuk behandelt de inrichting van Veyon voor de verbinding met LDAP-compatibele servers. Hierna wordt de algemene term LDAP gebruikt, die verwijst naar alle LDAP-compatibele producten en technologieën zoals OpenLDAP, Samba of Active Directory. LDAP-integratie maakt het mogelijk om gebruik te maken van informatie over gebruikers, gebruikersgroepen, computers en locaties die in de meeste omgevingen al aanwezig is, in plaats van deze handmatig te dupliceren in de Veyon configuratie. Eenmaal geconfigureerd kan Veyon Master de weer te geven locaties en computers rechtstreeks uit de directoryservice ophalen. Daarnaast kunnen LDAP gebruikers en gebruikersgroepen als basis dienen voor Computer toegangscontrole.

De configuratie van de LDAP-integratie vindt plaats op de configuratiepagina LDAP in Veyon Configurator. De pagina is onderverdeeld in meerdere subpagina’s voor Basisinstellingen, Omgevingsinstellingen, Geavanceerde instellingen en Intregatietests.

Basisinstellingen

De basisinstellingen beïnvloeden alle basisparameters voor toegang tot een LDAP-server. Ze zijn verplicht voor een goed werkende LDAP-integratie.

Algemeen

LDAP server en poort: Voer hier het adres van de LDAP-server in (hostnaam of IP-adres). Als een andere poort dan de standaard LDAP-poort 389 wordt gebruikt, moet de parameter Poort overeenkomstig worden aangepast.

Anoniem koppelen / Koppelingsgegevens gebruiken: Afhankelijk van de omgeving en configuratie van de LDAP-server kunnen LDAP-query’s worden uitgevoerd als anonieme gebruiker of alleen met geldige gebruikersnamen en wachtwoorden. Als voor toegang tot de server een gebruikersnaam en wachtwoord nodig zijn, moet de optie Gebruik bindgegevens worden geselecteerd en moeten de gegevens in de onderstaande invoervelden worden ingevoerd. Anders kan de standaardoptie Anoniem binden worden gebruikt.

Bind DN: De koppelende DN is de gebruikersnaam die wordt gebruikt om in te loggen op de server om LDAP-bewerkingen uit te voeren. Het vereiste formaat hangt echter sterk af van de LDAP-server en zijn configuratie. Mogelijke indelingen zijn User, DOMAIN\User of cn=User,...,dc=example,dc=org.

Bind wachtwoord: Naast de bind DN moet ook het bijbehorende wachtwoord worden ingevoerd.

Je kunt de knop Test gebruiken om te controleren of de toegang tot de server werkt met de opgegeven parameters.

Hint

Veyon heeft alleen leestoegang tot de LDAP-map nodig. Als extra veiligheidsmaatregel kan op de LDAP-server een toegewezen gebruiker met alleen-lezen toegang tot de LDAP-map worden aangemaakt, bijvoorbeeld “Veyon-LDAP-RO”. Voor deze gebruiker kan de toegang tot relevante eigenschappen verder worden beperkt.

Verbindingsbeveiliging

Veyon kan versleutelde verbindingen met de LDAP-server tot stand brengen. Hiervoor zijn in de paragraaf Connectiebeveiliging instellingen beschikbaar.

Encryptie protocol

Je kunt kiezen tussen de encryptieprotocollen None, TLS en SSL. Het gebruik van het moderne TLS-protocol wordt aanbevolen.

Standaard: Geen

TLS certificaatverificatie

Deze instelling bepaalt hoe het beveiligingscertificaat van de LDAP-server moet worden gecontroleerd wanneer de versleutelde verbinding tot stand wordt gebracht. Met de standaardinstelling Systeeminstellingen wordt, afhankelijk van het besturingssysteem, geprobeerd het certificaat te verifiëren met behulp van de hoofdcertificaten die systeembreed zijn geïnstalleerd. Hierbij wordt geen rekening gehouden met de Windows certificaatopslag, zodat er mogelijk een apart CA-certificaatbestand moet worden opgeslagen. Met de instelling Nooit wordt het servercertificaat helemaal niet geverifieerd. Dit maakt echter man-in-the-middle-aanvallen mogelijk en moet daarom alleen in uitzonderlijke gevallen worden gebruikt. De instelling Gebruiker gedefinieerd CA-certificaatbestand zorgt ervoor dat de certificaatcontrole wordt uitgevoerd op basis van een gespecificeerd CA-certificaatbestand.

Standaard: Systeeminstellingen

Aangepast CA certificaatbestand: Als u uw eigen certificeringsinstantie (CA) gebruikt, kan het nodig zijn om hun certificaat in een PEM-bestandsformaat op te slaan, zodat Veyon het certificaat van de LDAP-server kan controleren.

Base DN

De basis DN definieert het adres van het hoofdobject in de map. Alle objecten worden onder de basis DN opgeslagen. Meestal komt de basis DN van het DNS of AD domein (zie ook RFC 2247).

In de meeste gevallen wordt een vaste basis DN gebruikt, dus de standaard optie Vaste basis DN moet gekozen worden. De basis DN moet dan worden ingevoerd in het corresponderende invoerveld of geselecteerd van de server met behulp van de Browse knop. U kunt de knop Test gebruiken om te controleren of de instellingen correct zijn en of de gegevens kunnen worden gevonden.

Als een algemene Veyon configuratie op meerdere sites met verschillende basis DN’s moet worden gebruikt, kan Veyon zo worden geconfigureerd dat de basis DN altijd dynamisch wordt opgevraagd met behulp van LDAP naamcontexten. Hiervoor moet het :guilabel: Opvragen basis DN door naamcontext worden gekozen en moet het attribuut naamcontext worden aangepast. Je kunt de knop Test gebruiken om te controleren of een Base DN kan worden bepaald.

Na het importeren van een generieke Veyon configuratie zonder vaste basis DN is het ook mogelijk om de basis DN via de Command line interface te bepalen en naar de lokale configuratie te schrijven.

Omgevingsinstellingen

Nadat de basisinstellingen zijn geconfigureerd en getest, kunnen nu de omgevingsspecifieke instellingen worden gemaakt. Deze instellingen bepalen welke boomstructuren objecten van bepaalde typen bevatten, evenals de namen van bepaalde objectattributen. Met deze parameters kan Veyon alle benodigde informatie uit de LDAP map halen.

Object boomstructuren

Objectbomen zijn organisatorische of structurele eenheden waarin bepaalde soorten objecten (gebruikers, groepen, computers) worden opgeslagen. De respectievelijke CN’s (Common Names) of OU’s (Organizational Units) moeten worden ingevoerd zonder het DN-deel in het respectievelijke invoerveld. Naast elk invoerveld staan knoppen voor het openen van bladerdialoogvensters en voor het testen van de individuele instelling.

Gebruiker boomstructuur: Hier moet de LDAP-structuur (zonder basis DN) worden ingevoerd waarin de gebruikersobjecten zich bevinden, bijvoorbeeld OU=Users of CN=Users.

Groep boomstructuur: Hier moet de LDAP-structuur (zonder basis DN) worden ingevoerd waarin de groepsobjecten zich bevinden, bijvoorbeeld OU=Groups of CN=Groups.

Computer boomstructuur: De LDAP-structuur (zonder basis DN) waarin de computerobjecten zich bevinden moet hier worden ingevoerd, bijvoorbeeld OU=Computers of CN=Computers.

Computer groep structuur: Als de computergroepen zich in een andere boomstructuur bevinden dan de gewone gebruikersgroepen of in een subboom, kan hier de overeenkomstige LDAP-boomstructuur worden opgegeven. Anders wordt de groepenboom gebruikt om computergroepen op te vragen en ze te filteren met een specifieke object filter indien nodig.

Voer recursieve zoekacties uit in objectbomen

Deze optie kan worden gebruikt om te bepalen of objecten terugkerend moeten worden opgevraagd. Er wordt dan niet alleen in de opgegeven boom gezocht, maar ook in bestaande subbomen.

Standaard: uitgeschakeld

Hint

Als objecten van één type in verschillende objectbomen zijn opgeslagen (bijv. gebruikers in zowel CN=Teachers als in CN=Students), kan de parameter voor de overeenkomstige objectboom leeg worden gelaten en kan de optie Recursieve zoekbewerkingen in objectbomen uitvoeren worden geactiveerd. Er wordt dan recursief gezocht in de hele LDAP map vanaf de basis-DN. In dit geval wordt echter sterk aangeraden om de objectfilters in te stellen voor het betreffende objecttype.

Object attributen

Om Veyon in staat te stellen de gewenste informatie uit de opgevraagde objecten te halen, moeten de namen van enkele objecteigenschappen worden geconfigureerd, omdat deze afhankelijk van de omgeving en de LDAP-server aanzienlijk verschillen. Naast elk invoerveld staan knoppen ter beschikking om naar de eigenschap van een bestaand object te bladeren en de betreffende eigenschapnaam te testen.

Attribuut inlognaam gebruiker: Dit attribuut moet de aanmeldingsnaam van een gebruiker bevatten. Het attribuut wordt gebruikt om het LDAP-gebruikersobject te bepalen dat aan een bepaalde gebruikersnaam is gekoppeld. In een OpenLDAP-omgeving wordt vaak de attribuutnaam uid gebruikt, terwijl de naam sAMAccountName gebruikelijk is in Active Directories.

Groepslid attribuut: Leden van een groep worden weergegeven in groepsobjecten via dit attribuut. Het attribuut wordt gebruikt om te bepalen van welke groepen een bepaalde gebruiker lid is. Afhankelijk van de configuratie wordt het attribuut ook gebruikt om computers aan locaties te koppelen. In een OpenLDAP-omgeving wordt vaak de attribuutnaam member gebruikt, terwijl de naam memberUid gebruikelijk is in Active Directories.

Attribuut weergavenaam computer

De inhoud van dit optionele attribuut wordt gebruikt om de naam van een computer te bepalen die in Veyon Master wordt weergegeven. Als deze leeg wordt gelaten, wordt in plaats daarvan de algemene naam (cn) gebruikt.

Standaard: cn

Computer hostnaam attribuut: Dit kenmerk moet de DNS-naam van de computer bevatten. Het wordt gebruikt om het LDAP-computerobject te bepalen dat aan een bepaalde hostnaam van de computer is gekoppeld. In een OpenLDAP-omgeving wordt vaak de attribuutnaam name gebruikt, terwijl de naam dNSHostName gebruikelijk is in Active Directories.

Hostnamen opgeslagen als volledig gekwalificeerde domeinnamen (FQDN, bijv. myhost.example.org)

Deze optie geeft aan of de volledig gekwalificeerde domeinnaam (FQDN) moet worden gebruikt voor het koppelen van computernamen aan LDAP-computerobjecten. Als de computernamen zonder het domeindeel in de LDAP-map worden opgeslagen, moet deze optie uitgeschakeld blijven, anders moet deze ingeschakeld worden.

Standaard: uitgeschakeld

Computer MAC adres attribuut: Naast de computernaam worden in sommige omgevingen ook de MAC-adressen van computers in de LDAP-map opgeslagen, bijvoorbeeld als de DHCP-server ook toegang heeft tot de LDAP-map. Als de Veyon functie moet worden gebruikt om computers via Wake-on-LAN in te schakelen, moet hier de betreffende attribuutnaam worden ingevoerd, omdat het MAC-adres voor deze functionaliteit nodig is. Typische attribuutnamen zijn hwAddress of dhcpAddress.

Hint

In een standaard Active Directory is er geen eigenschap die MAC-adressen opslaat. Daarom moet je MAC-adressen handmatig invoeren in een bestaand ongebruikte eigenschap zoals wwwHomepage of het AD schema uitbreiden. Daarnaast kun je computers groep schrijftoegang geven tot SELF en een PowerShell script gebruiken om elke computer automatisch het MAC-adres van de eerste fysieke LAN-adapter te laten opslaan bij het opstarten.

Computerlocatiekenmerk: Als het LDAP-schema voor computerobjecten een speciaal attribuut voor de toewijzing aan een locatie bevat, kan de naam van dit attribuut hier worden ingevoerd. De knop Test kan worden gebruikt om te controleren of de computers op een locatie correct kunnen worden opgevraagd met behulp van het geconfigureerde attribuut. In de geavanceerde instellingen kunt u vervolgens in sectie Computerlocaties opgeven dat het computerlocatiekenmerk wordt gebruikt.

Kenmerk locatienaam: Bij het identificeren van computerlocaties via computergroepen of computercontainers kan de waarde van een bepaald attribuut worden weergegeven als de locatienaam in plaats van de gemeenschappelijke namen van deze groepen of objecten. Als computergroepen bijvoorbeeld een attribuut genaamd naam of beschrijving hebben, kan een betekenisvolle locatienaam worden opgeslagen in dit attribuut en kan de attribuutnaam hier worden ingevoerd.

Geavanceerde instellingen

Met de geavanceerde instellingen kunnen de LDAP-integratie en het gebruik van de informatie uit de LDAP-map worden aangepast aan individuele behoeften.

Optionele objectfilters

Met LDAP-filters kunnen de door Veyon gebruikte LDAP-objecten worden ingeperkt, wanneer bijv. computerobjecten zoals printers niet in de Veyon Master moeten worden weergegeven. Naast elk invoerveld bevindt zich een knop voor het aanvinken van de betreffende objectfilter.

Vanaf Veyon 4.1 volgen de optionele filters het bekende schema voor LDAP-filters (zie bijvoorbeeld RFC 2254 of Active Directory: LDAP Syntax Filters) zoals (objectClass=XYZ).

Filter voor gebruikers: Je kunt hier een LDAP-filter voor gebruikers definiëren, bijvoorbeeld (objectClass=person) of (&(objectClass=person)(objectClass=veyonUser)).
Filter voor gebruikersgroepen: Je kunt hier een LDAP-filter voor gebruikersgroepen definiëren, bijvoorbeeld (objectClass=group) of (|(cn=teachers)(cn=students)(cn=admins)).
Filter voor computers: Je kunt hier een LDAP-filter voor computers definiëren, bijvoorbeeld (objectClass=computer) of (&(!(cn=printer*))(!(cn=scanner*))).

Filter voor computergroepen: Je kunt hier een LDAP-filter voor computergroepen definiëren, bijvoorbeeld (objectClass=room) of (cn=Room*). Als computergroepen als locaties worden gebruikt, kun je de weergegeven locaties op deze manier filteren.

Filter voor computer containers: Je kunt hier een LDAP-filter definiëren voor computercontainers, bijvoorbeeld (objectClass=container) of (objectClass=organizationalUnit). Als containers/OU’s als locaties worden gebruikt, kun je de weergegeven locaties op deze manier filteren.

Zoekopties

Geneste gebruikersgroepen opvragen (alleen ondersteund door AD): Als u geneste gebruikersgroepen heeft (momenteel alleen ondersteund door Active Directory), kunt u deze optie inschakelen om Veyon alle (zelfs indirecte) groepen van een gebruiker te laten bevragen. Indien ingeschakeld, kunt u bijvoorbeeld een groep Veyon Users aanmaken met de bestaande gebruikersgroepen Teachers en IT Staff als leden. De Veyon Users groep kan dan gebruikt worden voor Toegangscontrole doeleinden.

Groepslid identificatie

De inhoud van de kenmerken voor groepslidmaatschap varieert tussen verschillende LDAP-implementaties. Terwijl in Active Directory de onderscheiden naam (DN) van een object in het lidmaatschapskenmerk wordt opgeslagen, slaat OpenLDAP meestal de loginnaam van de gebruiker (uid of vergelijkbaar) of de computernaam op. Om ervoor te zorgen dat Veyon de juiste waarde gebruikt voor het opvragen van groepen van een gebruiker of computer, moet hier de juiste instelling worden gekozen.

Onderscheidende naam (Samba/AD): Deze optie moet worden gekozen als de DN (distinguished name) van een object is opgeslagen in een lidattribuut van de groep. Meestal gebruiken Samba en AD server dit schema.
Geconfigureerd attribuut voor aanmeldingsnaam van gebruiker of hostnaam van computer (OpenLDAP): Deze optie moet gekozen worden als de loginnaam van een gebruiker (gebruikersnaam) of de hostnaam van een computer wordt opgeslagen in de lidattributen van een groep. Gewoonlijk gebruikt OpenLDAP server dit schema.

Computerlocaties

Veyon biedt verschillende methoden om computerlocaties in een LDAP-map weer te geven. In het eenvoudige geval is er een computergroep voor elke locatie (bijv. kamer). Alle computers op een bepaalde locatie zijn lid van de bijbehorende groep. Als computers in plaats daarvan worden georganiseerd in containers of organisatorische eenheden (OU’s), kunnen deze bovenliggende objecten worden gebruikt als locaties. Beide procedures vereisen geen aanpassing van het LDAP-schema. Als derde mogelijkheid kan de locatienaam ook worden opgeslagen als een speciaal attribuut in elk computerobject.

Computergroepen

Deze optie geeft aan dat computerlocaties worden geïdentificeerd via computergroepen. Alle computergroepen worden dan als locaties in de Veyon Master weergegeven. Voor elke locatie worden alle computers weergegeven die lid zijn van de betreffende groep. Als niet alle LDAP-groepen als locatie moeten worden weergegeven, moet ofwel een speciale computer group tree worden geconfigureerd of de computergroepen moeten met een computer group filter worden beperkt.

Standaard: ingeschakeld

Computer containers of OUs

Deze optie geeft aan dat de containers/OU’s die computerobjecten bevatten, worden gebruikt als computerlocaties. Containers zijn objecten die de ouders zijn van computerobjecten in de LDAP-structuur. Als niet alle containers als locaties moeten worden weergegeven, kan een overeenkomstig ComputerContainerfilter worden ingesteld.

Standaard: uitgeschakeld

Locatiekenmerk in computerobjecten

Als het LDAP-schema voor computerobjecten een speciaal attribuut bevat voor het koppelen van computerobjecten aan locaties, kan deze optie worden ingeschakeld en kan de naam van het attribuut worden ingevoerd. De knop Test kan worden gebruikt om te controleren of de leden van een computerlocatie correct kunnen worden opgevraagd met behulp van het geconfigureerde attribuut.

Standaard: uitgeschakeld

Intregatietests

De integratietests kunnen worden gebruikt om de LDAP-integratie als geheel te controleren. Met de knoppen kunnen verschillende tests worden uitgevoerd. Alle tests moeten succesvol zijn en geldige resultaten opleveren voordat de LDAP-verbinding in productie wordt gebruikt.

LDAP-backends gebruiken

Na het succesvol configureren en testen van de LDAP-integratie kunnen nu de LDAP-backends worden geactiveerd. Hiervoor moeten de netwerkobject-directory en de gebruikersgroepen-backend voor de computer-toegangscontrole worden aangepast. Pas na het omschakelen van de netwerkobjectendirectory naar LDAP worden de locatie- en computergegevens uit de LDAP-directory in de Veyon Master gebruikt.

Let op

Na het wijzigen van de backend voor de computer toegangscontrole, moeten alle eerder geconfigureerde toegangsregels onder alle omstandigheden worden gecontroleerd, aangezien de groeps- en locatiegegevens veranderen en toegangsregels in de meeste gevallen niet langer geldig zijn of niet correct worden verwerkt.

Command line interface

De Command line interface van Veyon maakt enkele LDAP-specifieke bewerkingen mogelijk. Alle bewerkingen zijn beschikbaar via de module ldap. Een lijst van alle ondersteunde commando’s wordt via veyon-cli ldap help getoond, terwijl commando-specifieke helpteksten via veyon-cli ldap help getoond kunnen worden. <command>``.

autoconfigurebasedn

Dit commando kan gebruikt worden om automatisch de gebruikte basis DN te bepalen en deze permanent in de configuratie weg te schrijven. Een LDAP-server-URL en optioneel een naamcontextkenmerk moeten als parameters worden opgegeven:

veyon-cli ldap autoconfigurebasedn ldap://192.168.1.2/ namingContexts
veyon-cli ldap autoconfigurebasedn ldap://Administrator:MYPASSWORD@192.168.1.2:389/

Hint

Speciale tekens zoals @ of : - vooral in het wachtwoord - kunnen worden opgegeven door URL percent-encoding te gebruiken.

query

Met dit commando kun je LDAP-objecten (locaties, computers, groepen, gebruikers) bevragen en het wordt voornamelijk gebruikt om te testen. De functie kan ook worden gebruikt om scripts te ontwikkelen voor systeemintegratie-taken.

veyon-cli ldap query users
veyon-cli ldap query computers