LDAP/AD integracija

To poglavje zajema namestitev Veyona za povezavo z LDAP-združljivimi strežniki. V nadaljevanju bo uporabljen splošni izraz LDAP in se nanaša na vse LDAP združljive izdelke in tehnologije, kot so OpenLDAP, Samba ali Active Directory. Integracija LDAP vam omogoča, da uporabite informacije o uporabnikih, uporabniških skupinah, računalnikih in lokacijah, ki že obstajajo v večini okolij, namesto da bi jih ročno posnemali v konfiguraciji Veyon. Ko je Veyon Master konfiguriran, lahko naloži lokacije in računalnike, ki bodo prikazani neposredno iz storitve imenika. Poleg tega lahko uporabniki LDAP in uporabniške skupine služijo kot osnova za Nadzor dostopa do računalnika.

Konfiguracija integracije LDAP se izvede na konfiguracijski strani LDAP v Veyon konfiguratorju. Stran je razdeljena na več podstrani za Osnovne nastavitve, Nastavitve okolja, Napredne nastavitve in Integracijski testi.

Osnovne nastavitve

Osnovne nastavitve vplivajo na vse osnovne parametre za dostop do strežnika LDAP. Obvezne so za pravilno delovanje LDAP integracije.

Splošno

LDAP strežnik in vrata
Tukaj vnesite naslov strežnika LDAP (ime gostitelja ali naslov IP). Če uporabljate vrata, ki niso privzeta vrata LDAP 389, je treba parameter vrat ustrezno prilagoditi.
Anonimna povezava / Uporabi poverilnice za povezovanje
Glede na okolje in konfiguracijo strežnika LDAP se lahko poizvedbe LDAP izvedejo kot anonimni uporabnik ali samo z veljavnimi uporabniškimi imeni in gesli. Če je za dostop do strežnika potrebno uporabniško ime in geslo, je treba izbrati možnost Use bind credentials in v spodnja polja za vnos vpisati poverilnice. V nasprotnem primeru lahko uporabite privzeto možnost Anonymous bind.
DN povezave
Povezava DN je uporabniško ime, ki se uporablja za prijavo na strežnik za izvajanje operacij LDAP. Vendar pa je zahtevana oblika močno odvisna od strežnika LDAP in njegove konfiguracije. Možni formati vključujejo Uporabnik, DOMENA\Uporabnik ali cn=uporabnik,…,dc=primer,dc=org.
Geslo za povezovanje
Poleg DN povezave morate vnesti tudi ustrezno geslo.

Uporabite lahko gumb Test za preverjanje, ali strežniški dostop deluje s podanimi parametri.

Nasvet

Veyon zahteva samo dostop za branje v imeniku LDAP. Kot dodatni varnostni ukrep na strežniku LDAP lahko ustvarite namenskega uporabnika z dostopom samo za branje do imenika LDAP, npr. „Veyon-LDAP-RO“. Dostop do ustreznih atributov je lahko za tega uporabnika še bolj omejen.

Varnost povezave

Veyon can establish encrypted connections to the LDAP server. For this purpose, settings are available in the section Connection security.

Protokol šifriranja

Izbirate lahko med protokoli za šifriranje Brez, TLS in SSL. Priporoča se uporaba sodobnega protokola TLS.

Privzeto: Brez

Preverjanje TLS certifikata

This setting determines how the security certificate of the LDAP server is to be checked when the encrypted connection is established. With the default setting System defaults, depending on the operating system, an attempt is made to verify the certificate using the root certificates installed system-wide. The Windows certificate store is not taken into account here, so that a separate CA certificate file may have to be stored. With the Never setting, the server certificate is not verified at all. This however allows for case man-in-the-middle attacks and should therefore only be used in exceptional cases. The User-defined CA certificate file setting ensures that the certificate check is performed on the basis of a specified CA certificate file.

Privzeto: Privzete nastavitve sistema

CA certifikatna datoteka po meri
Če uporabljate lastnega overitelja (CA), bo morda potrebno shraniti potrdilo v obliki datoteke PEM, tako da lahko Veyon preveri potrdilo strežnika LDAP.

Osnovni DN

Osnovni DN opredeli naslov korenskega objekta v imeniku. Vsi predmeti so shranjeni pod osnovnim DN. Običajno osnovni DN prihaja iz domene DNS ali AD (glej tudi RFC 2247).

In most cases a fixed base DN is used so the default option Fixed base DN has to be chosen. The base DN then has to be entered in the corresponding input field or selected from the server by using the Browse button. You can use the Test button to verify, whether the settings are correct and entries can be found.

Če naj se generična konfiguracija Veyona uporablja na več mestih z različnimi osnovnimi DN-ji, je Veyon mogoče konfigurirati tako, da je osnovni DN vedno povprašan dinamično z uporabo LDAP kontekstov za poimenovanje. Da bi to delovalo, je treba izbrati Discover base DN by naming context in prilagoditi atribut konteksta poimenovanja. Uporabite lahko gumb Test, da preverite, ali je mogoče določiti osnovni DN.

Po uvozu generične konfiguracije Veyona brez stalne baze DN je mogoče določiti osnovni DN preko Vmesnik ukazne vrstice in ga zapisati v lokalno konfiguracijo.

Nastavitve okolja

Ko so osnovne nastavitve konfigurirane in preizkušene, lahko nastavite specifične nastavitve okolja. Te nastavitve določajo, katera drevesa vsebujejo objekte določenih vrst, kot tudi imena določenih atributov objektov. S temi parametri Veyon lahko pridobi vse zahtevane informacije iz imenika LDAP.

Objektna drevesa

Objektna drevesa so organizacijske ali strukturne enote, v katerih so shranjene določene vrste objektov (uporabniki, skupine, računalniki). Ustrezne CN-je (skupna imena) ali OU-je (organizacijske enote) je treba vnesti brez osnovnega dela DN v ustrezno vnosno polje. Poleg vsakega vnosnega polja so gumbi za odpiranje pogovornih oken za iskanje in za testiranje posamezne nastavitve.

Uporabniško drevo
Drevo LDAP (brez osnovne DN), v katerem se nahajajo uporabniški objekti, je treba vnesti tukaj, npr. OU=Uporabniki ali CN=Uporabniki.
Skupinsko drevo
Drevo LDAP (brez osnove DN), v katerem se nahajajo objekti skupine, je treba vnesti tukaj, npr.``OU=skupine`` ali CN=skupine.
Računalniško drevo
Drevo LDAP (brez osnovne DN), v katerem so računalniški objekti, je treba vnesti tukaj, npr. OU=Računalniki ali CN=Računalniki.
Drevo računalniške skupine
Če se skupine računalnikov nahajajo v drugem drevesu kot običajne uporabniške skupine ali poddrevo, lahko tukaj podate ustrezno drevo LDAP. V nasprotnem primeru se drevo skupine uporablja za poizvedovanje skupin računalnikov in njihovo filtriranje s posebnim object filter, če je to potrebno.
Opravite rekurzivne operacije iskanja predmetnih dreves

To možnost lahko uporabite za nadzor, ali naj se objekti rekurzivno poizvedujejo. Iskanje se izvede ne samo v podanem drevesu, ampak tudi v vseh obstoječih podrejenih.

Privzeto: onemogočeno

Nasvet

Če so objekti enega tipa shranjeni v različnih drevesih objektov (npr. Uporabniki v obeh CN=Učitelji in v CN=Študenti), lahko parameter za ustrezno drevo objekta pustite prazen in možnost Perform recursive search operations in object trees lahko aktivirate. Rekurzivno iskanje se nato izvede v celotnem imeniku LDAP, začenši z osnovnim DN. V tem primeru pa je zelo priporočljivo nastaviti object filters za ustrezen tip objekta.

Atributi objekta

Da bi Veyon lahko pridobil zahtevane informacije iz poizvedenih predmetov, je treba konfigurirati imena nekaterih atributov objektov, saj se ti bistveno razlikujejo glede na okolje in strežnik LDAP. Poleg vsakega vnosnega polja so na voljo gumbi za brskanje po atributu obstoječega objekta in preskušanje ustreznega imena atributa.

Atribut uporabniškega imena za prijavo
Ta atribut mora vsebovati prijavno ime uporabnika. Atribut se uporablja za določitev objekta uporabnika LDAP, povezanega z določenim uporabniškim imenom. V okolju OpenLDAP se pogosto uporablja ime atributa uid, medtem ko je ime sAMAccountName običajno v aktivnih imenikih.
Atribut člana skupine
Members of a group are listed in group objects through this attribute. The attribute is used to determine the groups a particular user is a member of. Depending on the configuration the attribute also used map computers to locations. In an OpenLDAP environment often the attribute name member is used while the name memberUid is common in Active Directories.
Atribut prikaznega imena računalnika

Vsebina tega neobveznega atributa se uporablja za določitev imena računalnika, prikazanega v Veyon Master. Če se pusti prazno, se namesto tega uporablja skupno ime (cn).

Privzeto: cn

Atribut gostiteljskega imena računalnika
Ta atribut mora imeti DNS ime računalnika. Uporablja se za določanje računalniškega objekta LDAP, povezanega z določenim imenom računalnika. V okolju OpenLDAP se pogosto uporablja ime atributa name, medtem ko je ime dNSHostName običajno v aktivnih imenikih.
Imena gostiteljev so shranjena kot popolna imena domen (FQDN, npr. myhost.example.org)

Ta možnost podaja, ali naj uporabite popolnoma kvalificirano ime domene (FQDN) <https://en.wikipedia.org/wiki/Fully_qualified_domain_name> _ za preslikavo imen računalnikov v računalniške objekte LDAP. Če so imena računalnika shranjena brez domenskega dela v imeniku LDAP, je treba to možnost onemogočiti, sicer mora biti omogočena.

Privzeto: onemogočeno

Atribut MAC naslova računalnika
Poleg imena računalnika so MAC naslovi računalnikov shranjeni v imeniku LDAP v nekaterih okoljih, na primer če strežnik DHCP dostopa tudi do imenika LDAP. Če želite uporabiti funkcijo Veyon za vklop računalnikov prek Wake-on-LAN <https://en.wikipedia.org/wiki/Wake-on-LAN> _, morate vnesti ustrezno ime atributa, ker je za to funkcijo potreben naslov MAC. Tipična imena atributov so hwAddress ali dhcpAddress.

Nasvet

V standardnem imeniku Active Directory ni atributov, ki bi shranjevali naslove MAC. Zato morate naslove MAC ročno zapolniti v obstoječem neuporabljenem atributu, kot je wwwHomepage ali razširiti shemo AD. Poleg tega lahko dovolite skupini računalnikov dostop do pisanja na SELF in uporabite skript PowerShell, da vsak računalnik samodejno shrani naslov MAC svojega prvega fizičnega LAN adapterja ob zagonu.

Atribut lokacije računalnika
Če shema LDAP za računalniške objekte vsebuje poseben atribut za preslikavo na lokacijo, lahko to ime atributa vnesete tukaj. Gumb Test lahko uporabite za preverjanje, ali je mogoče računalnike na lokaciji pravilno preveriti z uporabo konfiguriranega atributa. V naprednih nastavitvah lahko v razdelku Lokacije računalnika določite, da je uporabljen atribut lokacije računalnika.
Atribut imena mesta
Pri določanju lokacij računalnika prek računalniških skupin ali računalniških vsebnikov se lahko vrednost določenega atributa prikaže kot ime lokacije namesto * skupnih imen * teh skupin ali predmetov. Če imajo na primer računalniške skupine atribut, imenovan name ali description, se lahko v tem atributu shrani smiselno ime lokacije in tukaj lahko vnesete ime atributa.

Napredne nastavitve

Z naprednimi nastavitvami lahko integracijo LDAP in uporabo podatkov iz imenika LDAP prilagodite individualnim potrebam.

Izbirni filtri objektov

S filtri za LDAP se lahko predmeti LDAP, ki jih uporablja Veyon, zožijo, če na primer računalniški objekti, kot so tiskalniki, ne bodo prikazani v Veyon Master. Poleg vsakega vnosnega polja je gumb za preverjanje ustreznega filtra objektov.

Od Veyona 4.1 izbirni filtri sledijo dobro znani shemi za filtre LDAP (glej na primer RFC 2254 ali Active Directory: LDAP Syntax Filters <https://social.technet.microsoft.com/wiki/contents/articles/5392.active-directory-ldap-syntax-filters.aspx> `_, kot je ``(objectClass=XYZ)`.

Filter za uporabnike
Tu lahko določite filter LDAP za uporabnike, npr. (objectClass=person) ali (&(objectClass=person)(objectClass=veyonUser)).
Filter za skupine uporabnikov
Tu lahko definirate filter LDAP za uporabniške skupine, npr. (objectClass=group) or (|(cn=teachers)(cn=students)(cn=admins)).
Filter za računalnike
Tu lahko določite filter LDAP za računalnike, npr. (objectClass=computer) or (&(!(cn=printer*))(!(cn=scanner*))).
Filter za računalniške skupine
Tu lahko definirate filter LDAP za skupine računalnikov, npr. (objectClass=room) or (cn=Room*). Če se kot lokacije uporabljajo računalniške skupine, lahko prikazane lokacije filtrirate na ta način.
Filter za računalniške vsebnike
You can define an LDAP filter for computer containers here, e.g. (objectClass=container) or (objectClass=organizationalUnit). If containers/OUs are used as locations, you can filter the displayed locations this way.

Query options

Query nested user groups (supported by AD only)
If you have nested user groups (currently supported by Active Directory only), you can enable this option to make Veyon query all (even indirect) groups of a user. When enabled, you could for example create a group Veyon Users with the existing user groups Teachers and IT Staff as members. The Veyon Users group can then be used for Nadzor dostopa purposes.

Identifikacija članov skupine

Vsebina atributov članov skupine se razlikuje med različnimi implementacijami LDAP. Medtem ko je v imeniku Active Directory razločevalno ime (DN) objekta shranjeno v atributu člana, OpenLDAP običajno shrani uporabniško ime za prijavo (uid ali podobno) ali ime računalnika. Da bi Veyon uporabil pravilno vrednost za poizvedovanje skupin uporabnikov ali računalnikov, je treba tukaj izbrati ustrezno nastavitev.

Razločno ime (Samba/AD)
To možnost je treba izbrati, če je razločevalno ime (DN) objekta shranjeno v atributu člana skupine. Običajno strežnika Samba in AD uporabljata to shemo.
Konfiguriran atribut za uporabniško ime za prijavo ali ime gostitelja računalnika (OpenLDAP)
To možnost je treba izbrati, če je v uporabniških atributih skupine shranjeno prijavno ime uporabnika (uporabniško ime) ali ime gostitelja računalnika. Ponavadi strežnik OpenLDAP uporablja to shemo.

Lokacije računalnika

Veyon ponuja več metod za predstavitev računalniških lokacij v imeniku LDAP. V enostavnem primeru obstaja ena računalniška skupina za vsako lokacijo (npr. Soba). Vsi računalniki na določeni lokaciji so člani ustrezne skupine. Če so namesto tega računalniki organizirani v zabojnikih ali organizacijskih enotah (OU), se lahko ti nadrejeni objekti uporabijo kot lokacije. Oba postopka ne zahtevata nobene prilagoditve sheme LDAP. Kot tretja možnost se lahko ime lokacije shrani kot poseben atribut v vsakem računalniškem objektu.

Računalniške skupine

Ta možnost določa, da so lokacije računalnika identificirane preko skupin računalnikov. Vse skupine računalnikov se nato prikažejo kot lokacije v Veyon Master. Za vsako lokacijo so prikazani vsi računalniki, ki so člani ustrezne skupine. Če se ne prikažejo vse skupine LDAP kot lokacije, je treba konfigurirati namensko computer group tree ali pa morajo biti skupine računalnikov omejene z uporabo computer group filter.

Privzeto: omogočeno

Računalniški vsebniki OU

Ta možnost določa, da se vsebniki / organizacijske enote, ki vsebujejo računalniške objekte, uporabljajo kot lokacije računalnika. Vsebniki so predmeti, ki so starši računalniških objektov v drevesu LDAP. Če ne bodo vse vsebine prikazane kot lokacije, lahko nastavite ustrezen computer container filter.

Privzeto: onemogočeno

Atribut lokacije v računalniških objektih

Če shema LDAP za računalniške objekte vsebuje poseben atribut za preslikavo računalniških objektov na lokacije, je mogoče omogočiti to možnost in vnesti ime atributa. Gumb Test lahko uporabite za preverjanje, ali je mogoče člane lokacije računalnika pravilno preveriti z uporabo konfiguriranega atributa.

Privzeto: onemogočeno

Integracijski testi

Integracijski testi se lahko uporabljajo za preverjanje integracije LDAP kot celote. Gumbi omogočajo izvedbo različnih testov. Vsi preskusi morajo biti uspešni in zagotoviti veljavne rezultate, preden se pri proizvodnji uporablja povezava LDAP.

Uporaba LDAP ozadja

Z uspešno konfiguracijo in preizkušanjem integracije LDAP se lahko aktivirajo ozadja LDAP. Za to je treba prilagoditi network object directory in ozadje skupin uporabnikov za computer access control. Le po preklopu imenika omrežnih objektov na LDAP se lokacija in računalniški podatki iz imenika LDAP uporabljajo v Veyon Master.

Pozor

Po spremembi podpornega dela za nadzor dostopa do računalnika je treba v vseh okoliščinah preveriti vse prej konfigurirane predpise za dostop, saj se informacije o skupini in lokaciji spreminjajo in v večini primerov pravila dostopa ne bodo več veljavna ali ne bodo pravilno obdelana.

Vmesnik ukazne vrstice

Vmesnik ukazne vrstice Veyona omogoča nekatere operacije, specifične za LDAP. Vse operacije so na voljo z modulom ldap. Seznam vseh podprtih ukazov se prikaže preko veyon-cli ldap help, medtem ko je lahko besedilo pomoči, ki je specifično za ukaz, prikazano preko veyon-cli ldap help <command>.

autoconfigurebasedn

Ta ukaz se lahko uporablja za samodejno določanje uporabljene osnovne DN in trajno zapisovanje v konfiguracijo. URL parametra strežnika LDAP in opcijsko atribut konteksta poimenovanja morata biti podana kot parametra:

veyon-cli ldap autoconfigurebasedn ldap://192.168.1.2/ namingContexts
veyon-cli ldap autoconfigurebasedn ldap://Administrator:MYPASSWORD@192.168.1.2:389/

Nasvet

Posebne znake, kot so @ or :- zlasti v geslu - lahko določite z uporabo URL percent-encoding.

query

This command allows querying LDAP objects (locations, computers, groups, users) and is mainly used for testing. The function can also be used to develop scripts for system integration tasks.

veyon-cli ldap query users
veyon-cli ldap query computers