LDAP/AD-integration

I det här kapitlet beskrivs hur Veyon konfigureras för anslutning till LDAP-kompatibla servrar. I det följande används den generiska termen LDAP som hänvisar till alla LDAP-kompatibla produkter och tekniker, t.ex. OpenLDAP, Samba eller Active Directory. LDAP-integration gör att du kan använda information om användare, användargrupper, datorer och platser som redan finns i de flesta miljöer, istället för att manuellt replikera den i Veyon-konfigurationen. När Veyon Master har konfigurerats kan den hämta platser och datorer som ska visas direkt från katalogtjänsten. Dessutom kan LDAP-användare och användargrupper fungera som en bas för Datoråtkomstskontroll.

Konfigurationen av LDAP-integrationen görs på konfigurationssidan LDAP i Veyon Configurator. Sidan är indelad i flera undersidor för Standardinställningar, Miljöinställningar, Avancerade inställningar och Integrationstest.

Standardinställningar

De grundläggande inställningarna påverkar alla grundläggande parametrar för åtkomst till en LDAP-server. De är obligatoriska för en korrekt fungerande LDAP-integration.

Allmänt

LDAP-server och port: Ange adressen till LDAP-servern (värdnamn eller IP-adress) här. Om en annan port än standard LDAP-port 389 används måste portparametern justeras i enlighet med detta.

Anonym bindning / Använd inloggningsuppgifter för bindning: Beroende på LDAP-serverns miljö och konfiguration kan LDAP-frågor ställas antingen som anonym användare eller endast med giltiga användarnamn och lösenord. Om serveråtkomst kräver användarnamn och lösenord måste alternativet Use bind credentials väljas och uppgifterna måste anges i inmatningsfälten nedan. Annars kan standardalternativet Anonymous bind användas.

Binda DN: Bind DN är det användarnamn som används för att logga in på servern för att utföra LDAP-operationer. Vilket format som krävs beror dock i hög grad på LDAP-servern och dess konfiguration. Möjliga format är User, DOMAIN\User eller cn=User,...,dc=example,dc=org.

Bind lösenord: Förutom bindnings-DN måste motsvarande lösenord anges.

Du kan använda knappen Test för att kontrollera om serveråtkomsten fungerar med de angivna parametrarna.

Råd

Veyon kräver endast läsbehörighet till LDAP-katalogen. Som en extra säkerhetsåtgärd på LDAP-servern kan en dedikerad användare med skrivskyddad åtkomst till LDAP-katalogen skapas, t.ex. ”Veyon-LDAP-RO”. Åtkomst till relevanta attribut kan begränsas ytterligare för denna användare.

Anslutningssäkerhet

Veyon kan upprätta krypterade anslutningar till LDAP-servern. För detta ändamål finns inställningar tillgängliga i avsnittet Connection security.

Krypteringsprotokoll

Du kan välja mellan krypteringsprotokollen None, TLS och SSL. Vi rekommenderar att du använder det moderna TLS-protokollet.

Förval: Ingen

Verifiering av TLS-certifikat

Den här inställningen bestämmer hur LDAP-serverns säkerhetscertifikat ska kontrolleras när den krypterade anslutningen upprättas. Med standardinställningen Systemdefaults görs, beroende på operativsystem, ett försök att verifiera certifikatet med hjälp av de rotcertifikat som är installerade i hela systemet. Här tas inte hänsyn till Windows certifikatarkiv, vilket innebär att en separat CA-certifikatfil kan behöva lagras. Med inställningen Never verifieras servercertifikatet inte alls. Detta möjliggör dock man-in-the-middle-attacker och bör därför endast användas i undantagsfall. Med inställningen User-defined CA certificate file säkerställs att certifikatkontrollen utförs på grundval av en angiven CA-certifikatfil.

Default: Systemets standardvärden

Anpassad CA-certifikatfil: Om du använder din egen certifikatutfärdare (CA) kan det vara nödvändigt att lagra deras certifikat i ett PEM-filformat så att Veyon kan kontrollera LDAP-serverns certifikat.

Bas DN

Bas-DN definierar adressen till rotobjektet i katalogen. Alla objekt lagras under bas-DN. Vanligtvis kommer bas-DN:n från DNS- eller AD-domänen (se även RFC 2247).

I de flesta fall används en fast bas-DN, så standardalternativet Fixed base DN måste väljas. Bas-DN:n måste sedan anges i motsvarande inmatningsfält eller väljas från servern med hjälp av knappen Browse. Du kan använda knappen Test för att kontrollera om inställningarna är korrekta och om posterna kan hittas.

Om en generisk Veyon-konfiguration ska användas på flera platser med olika bas-DN:n kan Veyon konfigureras så att bas-DN:n alltid efterfrågas dynamiskt med hjälp av LDAP-namngivningskontexter. För att detta ska fungera måste Discover base DN by naming context väljas och attributet för naming context måste anpassas. Du kan använda knappen Test för att verifiera om en Base DN kunde bestämmas.

Efter import av en generisk Veyon-konfiguration utan fast bas-DN är det också möjligt att fastställa bas-DN med hjälp av Kommandoradsgränssnitt och skriva den till den lokala konfigurationen.

Miljöinställningar

Efter att grundinställningarna har konfigurerats och testats kan nu de miljöspecifika inställningarna göras. Dessa inställningar bestämmer vilka träd som innehåller objekt av vissa typer samt namnen på vissa objektattribut. Med hjälp av dessa parametrar kan Veyon hämta all nödvändig information från LDAP-katalogen.

Objektträd

Objektträd är organisatoriska eller strukturella enheter där vissa typer av objekt (användare, grupper, datorer) lagras. Respektive CN (Common Names) eller OU (Organizational Units) måste anges utan bas DN-delen i respektive inmatningsfält. Bredvid varje inmatningsfält finns knappar för att öppna bläddringsdialogrutor och för att testa den enskilda inställningen.

Användarträd: Det LDAP-träd (utan bas-DN) där användarobjekten finns måste anges här, t.ex. OU=Users eller CN=Users.

Gruppträd: Det LDAP-träd (utan bas-DN) där gruppobjekten finns måste anges här, t.ex. OU=Groups eller CN=Groups.

Dator träd: LDAP-trädet (utan bas-DN) där datorobjekten finns måste anges här, t.ex. OU=Computers eller CN=Computers.

Dator grupp träd: Om datorgrupperna finns i ett annat träd än de vanliga användargrupperna eller i ett underträd, kan motsvarande LDAP-träd anges här. Annars används gruppträdet för att fråga efter datorgrupper och för att filtrera dem med ett specifikt :ref:object filter <LDAPObjectFilters> om det behövs.

Utföra rekursiva sökoperationer i objektträd

Detta alternativ kan användas för att styra om objekt ska efterfrågas rekursivt. Sökningen sker då inte bara i det angivna trädet utan även i eventuella befintliga delträd.

(inaktiverad som standard)

Råd

Om objekt av samma typ lagras i olika objektträd (t.ex. användare i både CN=Teachers och i CN=Students), kan parametern för motsvarande objektträd lämnas tom och alternativet Utför rekursiva sökningar i objektträd kan aktiveras. En rekursiv sökning utförs då i hela LDAP-katalogen med start från bas-DN. I detta fall rekommenderas dock starkt att ställa in object filters för respektive objekttyp.

Objektets attribut

För att Veyon ska kunna hämta den information som krävs från de efterfrågade objekten måste namnen på vissa objektattribut konfigureras, eftersom dessa skiljer sig väsentligt åt beroende på miljö och LDAP-server. Bredvid varje inmatningsfält finns knappar för att bläddra i attributet för ett befintligt objekt och testa respektive attributnamn.

Attribut för användarens inloggningsnamn: Detta attribut måste innehålla inloggningsnamnet för en användare. Attributet används för att bestämma det LDAP-användarobjekt som är associerat med ett visst användarnamn. I en OpenLDAP-miljö används ofta attributnamnet uid medan namnet AMAccountName är vanligt i Active Directories.

Attribut för gruppmedlem: Medlemmar i en grupp listas i gruppobjekt genom detta attribut. Attributet används för att avgöra vilka grupper en viss användare är medlem i. Beroende på konfigurationen används attributet också för att mappa datorer till platser. I en OpenLDAP-miljö används ofta attributnamnet member medan namnet memberUid är vanligt i Active Directories.

Attribut för datorns visningsnamn

Innehållet i detta valfria attribut används för att bestämma namnet på en dator som visas i Veyon Master. Om det lämnas tomt används det vanliga namnet (cn) istället.

Förval: cn

Attribut för datorns värdnamn: Detta attribut måste innehålla datorns DNS-namn. Det används för att bestämma det LDAP-datorobjekt som är associerat med ett visst datorvärdnamn. I en OpenLDAP-miljö används ofta attributnamnet name medan namnet dNSHostName är vanligt i Active Directories.

Värdnamn lagrade som fullständigt kvalificerade domännamn (FQDN, t.ex. myhost.example.org)

Det här alternativet anger om det fullständigt kvalificerade domännamnet (FQDN) <https://en.wikipedia.org/wiki/Fully_qualified_domain_name>`_ ska användas för att mappa datornamn till LDAP-datorobjekt. Om datornamnen lagras utan domändelen i LDAP-katalogen måste det här alternativet vara avaktiverat, annars måste det vara aktiverat.

(inaktiverad som standard)

MAC-adressattribut för dator: Förutom datornamnet lagras i vissa miljöer även MAC-adresserna för datorerna i LDAP-katalogen, t.ex. om DHCP-servern också har åtkomst till LDAP-katalogen. Om Veyon-funktionen ska användas för att slå på datorer via Wake-on-LAN måste motsvarande attributnamn anges här, eftersom MAC-adressen krävs för denna funktion. Typiska attributnamn är hwAddress eller dhcpAddress.

Råd

I en standard Active Directory finns det inget attribut som lagrar MAC-adresser. Du måste därför fylla i MAC-adresser manuellt i ett befintligt oanvänt attribut som t.ex. wwwHomepage eller utöka AD-schemat. Dessutom kan du ge datorer gruppskrivbehörighet till SELF och använda ett PowerShell-skript för att få varje dator att automatiskt lagra MAC-adressen för dess första fysiska LAN-adapter när den startas.

Attribut för datorplats: Om LDAP-schemat för datorobjekt innehåller ett särskilt attribut för mappning till en plats kan detta attributnamn anges här. Knappen Test kan användas för att verifiera om datorerna på en plats kan efterfrågas korrekt med hjälp av det konfigurerade attributet. I de avancerade inställningarna kan du sedan ange i avsnitt Datorplatser att attributet för datorplats ska användas.

Attribut för platsnamn: Vid identifiering av datorplatser via datorgrupper eller datorcontainrar kan värdet för ett visst attribut visas som platsens namn i stället för Common Names för dessa grupper eller objekt. Om t.ex. datorgrupper har ett attribut som heter namn eller beskrivning, kan ett meningsfullt platsnamn lagras i detta attribut och attributnamnet kan anges här.

Avancerade inställningar

Med de avancerade inställningarna kan LDAP-integrationen och användningen av informationen från LDAP-katalogen anpassas till individuella behov.

Valfria objektfilter

Med LDAP-filter kan de LDAP-objekt som används av Veyon begränsas om t.ex. datorobjekt som skrivare inte ska visas i Veyon Master. Bredvid varje inmatningsfält finns en knapp för att kontrollera respektive objektfilter.

Från och med Veyon 4.1 följer de valfria filtren det välkända schemat för LDAP-filter (se t.ex. RFC 2254 eller Active Directory: LDAP Syntax Filters) som till exempel (objectClass=XYZ).

Filter för användare: Här kan du definiera ett LDAP-filter för användare, t.ex. (objectClass=person) eller (&(objectClass=person)(objectClass=veyonUser)).
Filter för användargrupper: Här kan du definiera ett LDAP-filter för användargrupper, t.ex. (objectClass=group) eller (|(cn=teachers)(cn=students)(cn=admins)).
Filter för datorer: Här kan du definiera ett LDAP-filter för datorer, t.ex. (objectClass=dator) eller (&(!(cn=skrivare*))(!(cn=skanner*))).

Filter för datorgrupper: Här kan du definiera ett LDAP-filter för datorgrupper, t.ex. (objectClass=room) eller (cn=Room*). Om datorgrupper används som platser kan du filtrera de visade platserna på detta sätt.

Filter för datorbehållare: Här kan du definiera ett LDAP-filter för datorcontainrar, t.ex. (objectClass=container) eller (objectClass=organizationalUnit). Om containrar/OU:s används som platser kan du filtrera de visade platserna på detta sätt.

Alternativ för frågor

Fråga efter nästlade användargrupper (stöds endast av AD)

Om du har nästlade användargrupper (stöds för närvarande endast av Active Directory) kan du aktivera det här alternativet så att Veyon frågar efter alla (även indirekta) grupper för en användare. När detta är aktiverat kan du till exempel skapa en grupp ”Veyon Users” med de befintliga användargrupperna ”Lärare” och ”IT-personal” som medlemmar. Gruppen Veyon Users kan sedan användas för Åtkomstkontroll-ändamål.

(inaktiverad som standard)

Map container/OU structure 1:1 to locations

När du använder alternativet Datorplatser Datorbehållare eller OU:er visas alla behållare/OU:er som standard i en platt lista. Om du istället vill visa den ursprungliga behållar-/OU-strukturen aktiverar du helt enkelt detta alternativ.

(inaktiverad som standard)

Identifiering av gruppmedlem

Innehållet i attributen för gruppmedlemskap varierar mellan olika LDAP-implementeringar. I Active Directory lagras distinguished name (DN) för ett objekt i medlemsattributet, medan OpenLDAP vanligtvis lagrar användarens inloggningsnamn (uid eller liknande) eller datornamnet. För att Veyon ska kunna använda rätt värde för att fråga efter grupper för en användare eller dator måste rätt inställning väljas här.

Särskiljande namn (Samba/AD): Det här alternativet måste väljas om ett objekts DN (distinguished name) lagras i ett medlemsattribut i gruppen. Vanligtvis använder Samba och AD-servern det här schemat.
Konfigurerat attribut för användarens inloggningsnamn eller datorns värdnamn (OpenLDAP): Detta alternativ måste väljas om inloggningsnamnet för en användare (användarnamn) eller värdnamnet för en dator lagras i medlemsattributen för en grupp. Vanligtvis använder OpenLDAP-servern detta schema.

Datorplatser

Veyon erbjuder flera metoder för att representera datorplatser i en LDAP-katalog. I det enkla fallet finns det en datorgrupp för varje plats (t.ex. ett rum). Alla datorer på en viss plats är medlemmar i motsvarande grupp. Om datorerna i stället är organiserade i behållare eller organisationsenheter (OU) kan dessa överordnade objekt användas som platser. Båda procedurerna kräver ingen anpassning av LDAP-schemat. Som en tredje möjlighet kan platsnamnet också lagras som ett särskilt attribut i varje datorobjekt.

Datorgrupper

Det här alternativet anger att datorplatser identifieras genom datorgrupper. Alla datorgrupper visas sedan som platser i Veyon Master. För varje plats visas alla datorer som är medlemmar i motsvarande grupp. Om inte alla LDAP-grupper ska visas som platser måste antingen ett särskilt :ref:``datorgruppsträd <LDAPComputerGroupTree>` konfigureras eller så måste datorgrupperna begränsas med hjälp av ett :ref:``datorgruppsfilter <LDAPComputerGroupsFilter>`.

(aktiverad som standard)

Datorbehållare eller OU:er

Detta alternativ anger att de behållare/OU som innehåller datorobjekt används som datorplatser. Containers är objekt som är föräldrar till datorobjekt i LDAP-trädet. Om inte alla behållare ska visas som platser kan ett motsvarande filter för datorbehållare ställas in.

(inaktiverad som standard)

Platsattribut i datorobjekt

Om LDAP-schemat för datorobjekt innehåller ett speciellt attribut för mappning av datorobjekt till platser, kan detta alternativ aktiveras och attributnamnet anges. Knappen Test kan användas för att kontrollera om medlemmarna i en datorplats kan efterfrågas korrekt med hjälp av det konfigurerade attributet.

(inaktiverad som standard)

Integrationstest

Integrationstesterna kan användas för att kontrollera LDAP-integrationen som helhet. Med hjälp av knapparna kan olika tester utföras. Alla tester ska vara framgångsrika och ge giltiga resultat innan LDAP-anslutningen används i produktionen.

Använda LDAP-backends

Efter en lyckad konfiguration och testning av LDAP-integrationen kan LDAP-backends nu aktiveras. För detta måste nätverksobjektkatalogen och användargruppsbackend för datoråtkomstkontroll anpassas. Först efter att nätverksobjektkatalogen har bytts ut mot LDAP används plats- och datorinformationen från LDAP-katalogen i Veyon Master.

Uppmärksamma

Efter att ha ändrat backend för datoråtkomstkontroll bör alla tidigare konfigurerade åtkomstregler under alla omständigheter kontrolleras, eftersom grupp- och platsinformation ändras och i de flesta fall kommer åtkomstreglerna inte längre att vara giltiga eller inte behandlas korrekt.

Kommandoradsgränssnitt

Veyons Kommandoradsgränssnitt tillåter vissa LDAP-specifika operationer. Alla operationer är tillgängliga med modulen ldap. En lista över alla kommandon som stöds visas via veyon-cli ldap help, medan kommandospecifika hjälptexter kan visas via veyon-cli ldap help <command>.

autoconfigurebasedn

Detta kommando kan användas för att automatiskt fastställa den använda bas-DN:n och permanent skriva den till konfigurationen. En URL till en LDAP-server och eventuellt ett attribut för namngivningskontext måste anges som parametrar:

veyon-cli ldap autoconfigurebasedn ldap://192.168.1.2/ namingContexts
veyon-cli ldap autoconfigurebasedn ldap://Administrator:MYPASSWORD@192.168.1.2:389/

Råd

Specialtecken som @ eller : - särskilt i lösenordet - kan anges med hjälp av URL percent-encoding.

query

Detta kommando gör det möjligt att fråga LDAP-objekt (locations, computers, groups, users) och används främst för testning. Funktionen kan också användas för att utveckla skript för systemintegrationsuppgifter.

veyon-cli ldap query users
veyon-cli ldap query computers