LDAP/AD entegrasyonu

Bu bölüm, Veyon’un LDAP uyumlu sunuculara bağlanması için kurulumunu kapsar. Aşağıda genel terim LDAP kullanılacak ve OpenLDAP, Samba veya Active Directory gibi tüm LDAP uyumlu ürünlere ve teknolojilere atıfta bulunacaktır. LDAP entegrasyonu, Veyon yapılandırmasında manuel olarak çoğaltmak yerine, çoğu ortamda zaten var olan kullanıcılar, kullanıcı grupları, bilgisayarlar ve konumlar hakkında bilgi kullanmanızı sağlar. Yapılandırıldıktan sonra Veyon Master, doğrudan dizin hizmetinden görüntülenecek konumları ve bilgisayarları alabilir. Ek olarak, LDAP kullanıcıları ve kullanıcı grupları Bilgisayarlara erişim denetimi için bir temel görevi görebilir.

LDAP entegrasyonunun yapılandırması Veyon Configurator’daki LDAP yapılandırma sayfasında yapılır. Sayfa Temel ayarlar, Ortam ayarları, Gelişmiş ayarlar ve Entegrasyon testleri için birkaç alt sayfaya bölünmüştür.

Temel ayarlar

Temel ayarlar, bir LDAP sunucusuna erişim için tüm temel parametreleri etkiler. Bunlar, düzgün çalışan bir LDAP entegrasyonu için zorunludur.

Genel

LDAP sunucusu ve bağlantı noktası: LDAP sunucusunun adresini (ana bilgisayar adı veya IP adresi) buraya girin. Varsayılan LDAP portu 389’dan farklı bir port kullanılırsa, port parametresi buna göre ayarlanmalıdır.

Anonim bağlama / Bağlama kimlik bilgilerini kullan: LDAP sunucusunun ortamına ve yapılandırmasına bağlı olarak, LDAP sorguları anonim bir kullanıcı olarak veya yalnızca geçerli kullanıcı adları ve parolalarla gerçekleştirilebilir. Sunucu erişimi bir kullanıcı adı ve parola gerektiriyorsa, Use bind credentials seçeneği seçilmeli ve kimlik bilgileri aşağıdaki giriş alanlarına girilmelidir. Aksi takdirde varsayılan seçenek Anonymous bind kullanılabilir.

DN bağla: Bağlama DN’si, LDAP işlemlerini gerçekleştirmek için sunucuda oturum açmak için kullanılan kullanıcı adıdır. Ancak, gereken biçim büyük ölçüde LDAP sunucusuna ve yapılandırmasına bağlıdır. Olası biçimler arasında User, DOMAIN\User veya cn=User,…,dc=example,dc=org bulunur.

Şifre bağla: Bind DN’ye ek olarak ilgili şifrenin de girilmesi gerekiyor.

Sunucu erişiminin verilen parametrelerle çalışıp çalışmadığını doğrulamak için Test butonunu kullanabilirsiniz.

İpucu

Veyon yalnızca LDAP dizinine okuma erişimi gerektirir. LDAP sunucusunda ek bir güvenlik önlemi olarak LDAP dizinine salt okunur erişimi olan özel bir kullanıcı oluşturulabilir, örneğin “Veyon-LDAP-RO”. Bu kullanıcı için ilgili özniteliklere erişim daha da kısıtlanabilir.

Bağlantı güvenliği

Veyon, LDAP sunucusuna şifreli bağlantılar kurabilir. Bu amaçla, ayarlar Bağlantı güvenliği bölümünde mevcuttur.

Şifreleme protokolü

Hiçbiri, TLS ve SSL şifreleme protokolleri arasında seçim yapabilirsiniz. Modern TLS protokolünün kullanılması önerilir.

Varsayılan: Yok

TLS sertifika doğrulaması

Bu ayar, şifreli bağlantı kurulduğunda LDAP sunucusunun güvenlik sertifikasının nasıl kontrol edileceğini belirler. Varsayılan ayar Sistem varsayılanları ile, işletim sistemine bağlı olarak, sertifikanın sistem genelinde yüklü kök sertifikalar kullanılarak doğrulanması denenir. Windows sertifika deposu burada dikkate alınmaz, bu nedenle ayrı bir CA sertifika dosyasının depolanması gerekebilir. Asla ayarı ile sunucu sertifikası hiç doğrulanmaz. Ancak bu, aracı saldırılara izin verir ve bu nedenle yalnızca istisnai durumlarda kullanılmalıdır. Kullanıcı tanımlı CA sertifika dosyası ayarı, sertifika kontrolünün belirtilen bir CA sertifika dosyası temelinde gerçekleştirilmesini sağlar.

Varsayılan: Sistem varsayılanları

Özel CA sertifika dosyası: Kendi sertifika yetkilinizi (CA) kullanıyorsanız, Veyon’un LDAP sunucusunun sertifikasını kontrol edebilmesi için sertifikalarını bir PEM dosya biçiminde depolamanız gerekebilir.

Temel DN

Temel DN, dizindeki kök nesnenin adresini tanımlar. Tüm nesneler temel DN’nin altında saklanır. Genellikle temel DN, DNS veya AD etki alanından gelir (ayrıca bkz. RFC 2247).

Çoğu durumda sabit tabanlı bir DN kullanılır, bu nedenle varsayılan seçenek Sabit tabanlı DN seçilmelidir. Daha sonra, taban DN ilgili giriş alanına girilmeli veya Gözat düğmesi kullanılarak sunucudan seçilmelidir. Ayarların doğru olup olmadığını ve girişlerin bulunup bulunmadığını doğrulamak için Test düğmesini kullanabilirsiniz.

Farklı temel DN’lere sahip birden fazla sitede genel bir Veyon yapılandırması kullanılacaksa, temel DN’nin her zaman LDAP adlandırma bağlamları kullanılarak dinamik olarak sorgulanması için Veyon yapılandırılabilir. Bunun işe yaraması için Baz DN’yi adlandırma bağlamı ile keşfet seçilmeli ve adlandırma bağlamı özniteliği uyarlanmalıdır. Bir Temel DN’nin belirlenip belirlenemediğini doğrulamak için Test düğmesini kullanabilirsiniz.

Sabit bir temel DN olmadan genel bir Veyon yapılandırması içe aktarıldıktan sonra, temel DN’yi Komut satırı arayüzü aracılığıyla belirlemek ve bunu yerel yapılandırmaya yazmak da mümkündür.

Ortam ayarları

Temel ayarlar yapılandırılıp test edildikten sonra, ortama özgü ayarlar artık yapılabilir. Bu ayarlar, hangi ağaçların belirli türdeki nesneleri ve belirli nesne niteliklerinin adlarını içerdiğini belirler. Veyon, bu parametrelerle LDAP dizininden gerekli tüm bilgileri alabilir.

Nesne ağaçları

Nesne ağaçları, belirli nesne türlerinin (kullanıcılar, gruplar, bilgisayarlar) depolandığı organizasyonel veya yapısal birimlerdir. İlgili CN’ler (Ortak Adlar) veya OU’lar (Organizasyonel Birimler) ilgili giriş alanına temel DN kısmı olmadan girilmelidir. Her giriş alanının yanında, göz atma iletişim kutularını açmak ve bireysel ayarları test etmek için düğmeler bulunur.

Kullanıcı ağacı: Kullanıcı nesnelerinin bulunduğu LDAP ağacı (temel DN olmadan) buraya girilmelidir, örneğin OU=Users veya CN=Users.

Grup ağacı: Grup nesnelerinin bulunduğu LDAP ağacı (temel DN olmadan) buraya girilmelidir, örneğin OU=Groups veya CN=Groups.

Bilgisayar ağacı: Bilgisayar nesnelerinin yer aldığı LDAP ağacı (temel DN olmadan) buraya girilmelidir, örneğin OU=Bilgisayarlar veya CN=Bilgisayarlar.

Bilgisayar grubu ağacı: Bilgisayar grupları normal kullanıcı gruplarından farklı bir ağaçta veya bir alt ağaçta yer alıyorsa, karşılık gelen LDAP ağacı burada belirtilebilir. Aksi takdirde grup ağacı bilgisayar gruplarını sorgulamak ve gerekirse belirli bir object filter ile filtrelemek için kullanılır.

Nesne ağaçlarında yinelemeli arama işlemleri gerçekleştirin

Bu seçenek nesnelerin yinelemeli olarak sorgulanıp sorgulanmayacağını kontrol etmek için kullanılabilir. Arama daha sonra yalnızca belirtilen ağaçta değil, aynı zamanda mevcut alt ağaçlarda da gerçekleşir.

Varsayılan: devre dışı

İpucu

Bir türün nesneleri farklı nesne ağaçlarında depolanıyorsa (örneğin, hem CN=Teachers hem de CN=Students’taki kullanıcılar), karşılık gelen nesne ağacı için parametre boş bırakılabilir ve Nesne ağaçlarında yinelemeli arama işlemleri gerçekleştir seçeneği etkinleştirilebilir. Daha sonra, temel DN’den başlayarak tüm LDAP dizininde yinelemeli bir arama gerçekleştirilir. Ancak bu durumda, ilgili nesne türü için nesne filtreleri ayarlanması şiddetle önerilir.

Nesne öznitelikleri

Veyon’un sorgulanan nesnelerden gerekli bilgileri alabilmesi için, bazı nesne niteliklerinin adlarının yapılandırılması gerekir, çünkü bunlar ortama ve LDAP sunucusuna bağlı olarak önemli ölçüde farklılık gösterir. Her giriş alanının yanında, mevcut bir nesnenin niteliğine göz atmak ve ilgili nitelik adını test etmek için düğmeler mevcuttur.

Kullanıcı oturum açma adı özniteliği: Bu öznitelik bir kullanıcının oturum açma adını tutmalıdır. Öznitelik, belirli bir kullanıcı adıyla ilişkili LDAP kullanıcı nesnesini belirlemek için kullanılır. Bir OpenLDAP ortamında genellikle öznitelik adı uid kullanılırken, sAMAccountName adı Active Directory’lerde yaygındır.

Grup üyesi özniteliği: Bir grubun üyeleri bu öznitelik aracılığıyla grup nesnelerinde listelenir. Öznitelik, belirli bir kullanıcının üyesi olduğu grupları belirlemek için kullanılır. Yapılandırmaya bağlı olarak öznitelik ayrıca bilgisayarları konumlara eşlemek için de kullanılır. Bir OpenLDAP ortamında genellikle member öznitelik adı kullanılırken memberUid adı Active Directory’lerde yaygındır.

Bilgisayar ekran adı özniteliği

Bu isteğe bağlı özniteliğin içeriği, Veyon Master’da görüntülenen bir bilgisayarın adını belirlemek için kullanılır. Boş bırakılırsa bunun yerine genel ad (cn) kullanılır.

Varsayılan: cn

Bilgisayar ana bilgisayar adı özniteliği: Bu öznitelik bilgisayarın DNS adını tutmalıdır. Belirli bir bilgisayar ana bilgisayar adıyla ilişkili LDAP bilgisayar nesnesini belirlemek için kullanılır. Bir OpenLDAP ortamında genellikle öznitelik adı name kullanılırken, dNSHostName adı Active Directory’lerde yaygındır.

Tam nitelikli alan adları (FQDN, örn. myhost.example.org) olarak depolanan ana bilgisayar adları

Bu seçenek, bilgisayar adlarını LDAP bilgisayar nesnelerine eşlemek için tam nitelikli etki alanı adı (FQDN) kullanılıp kullanılmayacağını belirtir. Bilgisayar adları LDAP dizininde etki alanı bölümü olmadan depolanırsa, bu seçeneğin devre dışı bırakılması gerekir, aksi takdirde etkinleştirilmesi gerekir.

Varsayılan: devre dışı

Bilgisayar MAC adresi özniteliği: Bilgisayar adına ek olarak, bazı ortamlarda bilgisayarların MAC adresleri LDAP dizininde saklanır, örneğin DHCP sunucusu LDAP dizinine de erişiyorsa. Veyon özelliğinin Wake-on-LAN üzerinden bilgisayarları açmak için kullanılması durumunda, bu işlevsellik için MAC adresi gerekli olduğundan, karşılık gelen öznitelik adı buraya girilmelidir. Tipik öznitelik adları hwAddress veya dhcpAddress’tir.

İpucu

Standart bir Active Directory’de MAC adreslerini depolayan bir öznitelik yoktur. Bu nedenle, wwwHomepage gibi mevcut kullanılmayan bir öznitelikte MAC adreslerini manuel olarak doldurmanız veya AD şemasını genişletmeniz gerekir. Ek olarak, bilgisayarlara SELF için grup yazma erişimi verebilir ve her bilgisayarın önyükleme sırasında ilk fiziksel LAN bağdaştırıcısının MAC adresini otomatik olarak depolamasını sağlamak için bir PowerShell betiği kullanabilirsiniz.

Bilgisayar konum özniteliği: Bilgisayar nesneleri için LDAP şeması bir konuma eşleme için özel bir öznitelik sağlıyorsa, bu öznitelik adı buraya girilebilir. Test düğmesi, yapılandırılmış öznitelik kullanılarak bir konumdaki bilgisayarların doğru şekilde sorgulanıp sorgulanamayacağını doğrulamak için kullanılabilir. Gelişmiş ayarlarda, daha sonra Bilgisayar konumları bölümünde bilgisayar konumu özniteliğinin kullanıldığını belirtebilirsiniz.

Konum adı özniteliği: Bilgisayar grupları veya bilgisayar kapsayıcıları aracılığıyla bilgisayar konumlarını tanımlarken, belirli bir özniteliğin değeri, bu grupların veya nesnelerin Ortak Adları yerine konum adı olarak görüntülenebilir. Örneğin, bilgisayar gruplarının name veya description adlı bir özniteliği varsa, bu öznitelikte anlamlı bir konum adı saklanabilir ve öznitelik adı buraya girilebilir.

Gelişmiş ayarlar

Gelişmiş ayarlar sayesinde LDAP entegrasyonu ve LDAP dizininden gelen bilgilerin kullanımı bireysel ihtiyaçlara göre özelleştirilebilir.

İsteğe bağlı nesne filtreleri

LDAP filtreleriyle, örneğin yazıcılar gibi bilgisayar nesnelerinin Veyon Master’da görüntülenmemesi gerekiyorsa, Veyon tarafından kullanılan LDAP nesneleri daraltılabilir. Her giriş alanının yanında, ilgili nesne filtresini kontrol etmek için bir düğme bulunur.

Veyon 4.1’den itibaren isteğe bağlı filtreler LDAP filtreleri için bilinen şemayı takip eder (örneğin RFC 2254 veya Active Directory: LDAP Sözdizimi Filtreleri) örneğin (objectClass=XYZ).

Kullanıcılar için filtre: Burada kullanıcılar için bir LDAP filtresi tanımlayabilirsiniz, örneğin (objectClass=person) veya (&(objectClass=person)(objectClass=veyonUser)).
Kullanıcı grupları için filtre: Burada kullanıcı grupları için bir LDAP filtresi tanımlayabilirsiniz, örneğin (objectClass=group) veya (|(cn=teachers)(cn=students)(cn=admins)).
Bilgisayarlar için filtre: Burada bilgisayarlar için bir LDAP filtresi tanımlayabilirsiniz, örneğin (objectClass=computer) veya (&(!(cn=printer*))(!(cn=scanner*))).

Bilgisayar grupları için filtre: Burada bilgisayar grupları için bir LDAP filtresi tanımlayabilirsiniz, örneğin (objectClass=room) veya (cn=Room*). Bilgisayar grupları konum olarak kullanılıyorsa, görüntülenen konumları bu şekilde filtreleyebilirsiniz.

Bilgisayar kapsayıcıları için filtre: Burada bilgisayar kapsayıcıları için bir LDAP filtresi tanımlayabilirsiniz, örneğin (objectClass=container) veya (objectClass=organizationalUnit). Kapsayıcılar/OU’lar konum olarak kullanılıyorsa, görüntülenen konumları bu şekilde filtreleyebilirsiniz.

Sorgu seçenekleri

İç içe geçmiş kullanıcı gruplarını sorgula (yalnızca AD tarafından desteklenir)

İç içe kullanıcı gruplarınız varsa (şu anda yalnızca Active Directory tarafından desteklenmektedir), Veyon’un bir kullanıcının tüm (dolaylı bile olsa) gruplarını sorgulamasını sağlamak için bu seçeneği etkinleştirebilirsiniz. Etkinleştirildiğinde, örneğin üye olarak mevcut kullanıcı grupları Öğretmenler ve BT Personeli ile Veyon Kullanıcıları adlı bir grup oluşturabilirsiniz. Veyon Kullanıcıları grubu daha sonra Erişim denetimi amaçları için kullanılabilir.

Varsayılan: devre dışı

Harita konteyneri/OU yapısı 1:1 konumlara göre

Bilgisayar konumları seçeneği Bilgisayar kapsayıcıları veya OU’lar kullanıldığında, varsayılan olarak tüm kapsayıcılar/OU’lar düz bir listede gösterilir. Bunun yerine orijinal kapsayıcı/OU yapısı görüntülenecekse, bu seçeneği etkinleştirmeniz yeterlidir.

Varsayılan: devre dışı

Grup üye tanımlaması

Grup üyeliği özniteliklerinin içeriği farklı LDAP uygulamaları arasında değişir. Active Directory’de bir nesnenin ayırt edici adı (DN) üye özniteliğinde saklanırken, OpenLDAP genellikle kullanıcı oturum açma adını (uid veya benzeri) veya bilgisayar adını saklar. Veyon’un bir kullanıcı veya bilgisayarın gruplarını sorgulamak için doğru değeri kullanabilmesi için burada uygun ayarın seçilmesi gerekir.

Ayırt edici isim (Samba/AD): Bir nesnenin ayırt edici adı (DN) grubun bir üye özniteliğinde saklanıyorsa, bu seçenek seçilmelidir. Genellikle Samba ve AD sunucusu bu şemayı kullanır.
Kullanıcı oturum açma adı veya bilgisayar ana bilgisayar adı için yapılandırılmış öznitelik (OpenLDAP): Bir kullanıcının oturum açma adı (username) veya bir bilgisayarın ana bilgisayar adı bir grubun üye niteliklerinde saklanıyorsa, bu seçenek seçilmelidir. Genellikle OpenLDAP sunucusu bu şemayı kullanır.

Bilgisayar konumları

Veyon, bir LDAP dizinindeki bilgisayar konumlarını temsil etmek için çeşitli yöntemler sunar. Basit durumda her konum için bir bilgisayar grubu vardır (ör. oda). Belirli bir konumdaki tüm bilgisayarlar ilgili grubun üyeleridir. Bilgisayarlar bunun yerine kapsayıcılar veya organizasyon birimleri (OU’lar) halinde düzenlenirse, bu üst nesneler konum olarak kullanılabilir. Her iki prosedür de LDAP şemasının herhangi bir şekilde uyarlanmasını gerektirmez. Üçüncü bir olasılık olarak, konum adı her bilgisayar nesnesinde özel bir öznitelik olarak da saklanabilir.

Bilgisayar grupları

Bu seçenek, bilgisayar konumlarının bilgisayar grupları aracılığıyla tanımlandığını belirtir. Tüm bilgisayar grupları daha sonra Veyon Master’da konumlar olarak görüntülenir. Her konum için ilgili grubun üyesi olan tüm bilgisayarlar görüntülenir. Tüm LDAP grupları konumlar olarak görüntülenmeyecekse, özel bir bilgisayar grubu ağacı yapılandırılmalı veya bilgisayar grupları bir bilgisayar grubu filtresi kullanılarak kısıtlanmalıdır.

Varsayılan: etkin

Bilgisayar konteynerleri veya OU’lar

Bu seçenek, bilgisayar nesnelerini içeren kapsayıcıların/OU’ların bilgisayar konumları olarak kullanıldığını belirtir. Kapsayıcılar, LDAP ağacındaki bilgisayar nesnelerinin üst öğeleri olan nesnelerdir. Tüm kapsayıcıların konum olarak görüntülenmesi istenmiyorsa, karşılık gelen bir bilgisayar kapsayıcı filtresi ayarlanabilir.

Varsayılan: devre dışı

Bilgisayar nesnelerindeki konum niteliği

Bilgisayar nesneleri için LDAP şeması, bilgisayar nesnelerini konumlara eşlemek için özel bir öznitelik sağlıyorsa, bu seçenek etkinleştirilebilir ve öznitelik adı girilebilir. Test düğmesi, bir bilgisayar konumunun üyelerinin yapılandırılmış öznitelik kullanılarak doğru şekilde sorgulanıp sorgulanamayacağını kontrol etmek için kullanılabilir.

Varsayılan: devre dışı

Entegrasyon testleri

Entegrasyon testleri, LDAP entegrasyonunu bir bütün olarak kontrol etmek için kullanılabilir. Düğmeler çeşitli testlerin gerçekleştirilmesine olanak tanır. LDAP bağlantısı üretimde kullanılmadan önce tüm testler başarılı olmalı ve geçerli sonuçlar sağlamalıdır.

LDAP arka uçlarını kullanma

LDAP entegrasyonunun başarılı bir şekilde yapılandırılması ve test edilmesiyle, LDAP arka uçları artık etkinleştirilebilir. Bunun için, network object directory ve computer access control için kullanıcı grupları arka ucu uyarlanmalıdır. Yalnızca network object dizini LDAP olarak değiştirildikten sonra LDAP dizininden gelen konum ve bilgisayar bilgileri Veyon Master’da kullanılır.

Dikkat

Bilgisayar erişim kontrolü için arka uç değiştirildikten sonra, daha önce yapılandırılmış tüm erişim kuralları her koşulda kontrol edilmelidir, çünkü grup ve konum bilgileri değişir ve çoğu durumda erişim kuralları artık geçerli olmayacaktır veya doğru şekilde işlenmeyecektir.

Komut satırı arayüzü

Veyon’un Komut satırı arayüzü’i bazı LDAP’ye özgü işlemlere izin verir. Tüm işlemler ldap modülü kullanılarak kullanılabilir. Desteklenen tüm komutların listesi veyon-cli ldap help aracılığıyla görüntülenirken, komuta özgü yardım metinleri veyon-cli ldap help <command> aracılığıyla görüntülenebilir.

autoconfigurebasedn

Bu komut, kullanılan temel DN’yi otomatik olarak belirlemek ve bunu yapılandırmaya kalıcı olarak yazmak için kullanılabilir. Bir LDAP sunucusu URL’si ve isteğe bağlı olarak bir adlandırma bağlamı niteliği parametre olarak sağlanmalıdır:

veyon-cli ldap autoconfigurebasedn ldap://192.168.1.2/ namingContexts
veyon-cli ldap autoconfigurebasedn ldap://Administrator:MYPASSWORD@192.168.1.2:389/

İpucu

@ veya : gibi özel karakterler (özellikle parolada) URL yüzde kodlaması kullanılarak belirtilebilir.

query

Bu komut LDAP nesnelerinin (konumlar, bilgisayarlar, gruplar, kullanıcılar) sorgulanmasına izin verir ve esas olarak test için kullanılır. İşlev ayrıca sistem bütünleştirme görevleri için betikler geliştirmek için de kullanılabilir.

veyon-cli ldap query users
veyon-cli ldap query computers