LDAP/AD 整合

本章介紹 Veyon 的設定,將其連線到 LDAP 相容的伺服器。 在以下通用術語 LDAP 中,將使用並引用所有與 LDAP 相容的產品和技術,如 OpenLDAP, SambaActive Directory。 LDAP 整合讓您能夠使用有關大多數環境中已存在的使用者、使用者群組、電腦和位置的資訊,而不是在 Veyon 組態中手動複製這些資訊。 組態完成後,Veyon Master 可以從目錄服務中檢索直接顯示的位置和電腦。 此外,LDAP 使用者和使用者群組可以作為 電腦存取控制 的基礎。

LDAP 整合的組態在 Veyon 組態器的組態頁 LDAP 中完成。 該頁分為幾個子頁面: 基本設定, 環境設定, 進階設定整合測試

基本設定

基本設定影響存取 LDAP 伺服器的所有基本參數。 它們對於正常工作的 LDAP 整合是必需的。

一般

LDAP 伺服器和埠
在此處輸入 LDAP 伺服器的位址 (主機名稱或 IP 位址)。 如果使用預設 LDAP 埠 389 以外的埠,則埠參數必須相應地進行調整。
匿名繫結 / 使用繫結認證
根據 LDAP 伺服器的環境和組態,LDAP 查詢可以作為匿名使用者執行,也可以只使用有效的使用者名稱和密碼執行。 如果伺服器存取需要使用者名稱和密碼,則必須選取選項 使用繫結認證,並且必須在下面的輸入欄位中輸入認證。 否則,可以使用預設選項 匿名繫結
繫結 DN
繫結 DN 是用於在伺服器上登入以執行 LDAP 操作的使用者名稱。 但是,所需的格式在很大程度上取決於 LDAP 伺服器及其組態。 可能的格式包括 User, DOMAIN\Usercn=User,…,dc=example,dc=org
繫結密碼
除了繫結 DN 之外,必須輸入相應的密碼。

您可以使用 測試 按鈕來驗證,伺服器存取是否以提供的參數動作。

提示

Veyon 只需要對 LDAP 目錄的讀取存取。 作為 LDAP 伺服器的附加安全措施,可以建立對 LDAP 目錄具有唯讀存取權限的專用使用者,例如 「Veyon-LDAP-RO」。 可以進一步限制這個使用者存取相關屬性。

連線安全性

Veyon 可以建立與 LDAP 伺服器的加密連線。 為此目的,設定在 連線安全性 區可用。

加密協定

您可以在 None, TLSSSL 之間選擇加密協定。 建議使用現代 TLS 協定。

預設:

TLS 憑證驗證

這個設定決定在建立加密連線時如何檢查 LDAP 伺服器的安全憑證。 使用預設設定 系統預設值,具體取決於作業系統,嘗試使用系統範圍內安裝的根憑證驗證憑證。 在此不考慮 Windows 憑證存放區,因此可能需要存儲單獨的 CA 憑證檔。 使用 永不 設定時,伺服器憑證完全不驗證。 但是,這允許在中間進行案例式攻擊,因此應只在特殊情況下使用。 使用者定義的 CA 憑證檔 設定可確保在指定的 CA 憑證檔基礎上執行憑證檢查。

預設值: 系統預設值

自訂 CA 憑證檔
如果您使用自己的憑證授權單位 (CA),則可能需要將其憑證以 PEM 檔案格式存儲,以便 Veyon 可以檢查 LDAP 伺服器的憑證。

基本 DN

基本 DN 定義目錄中根物件的位址。 所有物件都存儲在基本 DN 下方。 通常基本 DN 來自 DNS 或 AD 網域 (另請參閱 RFC 2247)。

在大多數情況下,使用固定基本 DN,因此必須選擇預設選項 固定基本 DN。 然後,必須在相應的輸入欄位中輸入基本 DN,或者使用 瀏覽 按鈕從伺服器中選取。 您可以使用 測試 按鈕來驗證設定是否正確,並能找到項目。

如果要在具有不同基本 DN 的多個站台之間使用通用 Veyon 組態,則可以組態 Veyon,以便始終使用 LDAP 命名內容動態查詢基本 DN。 為此,必須選擇 以命名內容探索基本 DN,並且必須調整命名內容屬性。 您可以使用 測試 按鈕來驗證是否可以判斷基本 DN。

匯入沒有固定基本 DN 的通用 Veyon 組態後,還可以透過 命令列介面 判斷基本 DN 並將其寫入本機組態。

環境設定

組態和測試基本設定後,現在可以進行特定於環境的設定。 這些設定決定哪些樹包含某些類型的物件以及某些物件屬性的名稱。 有了這些參數,Veyon 可以從 LDAP 目錄中檢索所有必需的資訊。

物件樹

物件樹是存儲某些類型物件 (使用者、群組、電腦) 的組織或結構單位。 必須在相應的輸入欄位中輸入相應的 CNs (通用名稱) 或 OUs (組織單位),不含基本 DN 部份。 每個輸入欄位旁都有用來開啟瀏覽對話方塊和測試單獨設定的按鈕。

使用者樹
使用者物件所在的 LDAP 樹 (不含基本 DN) 必須在此處輸入,例如 OU=UsersCN=Users
群組樹
群組物件所在的 LDAP 樹 (不含基本 DN) 必須在此處輸入,例如 OU=GroupsCN=Groups
電腦樹
電腦物件所在的 LDAP 樹 (不含基本 DN) 必須在此處輸入,例如 OU=ComputersCN=Computers
電腦群組樹
如果電腦群組位於與一般使用者群組不同的樹或子樹中,則可以在這裡指定相應的 LDAP 樹。 否則,群組樹用來查詢電腦群組,並在必要時使用特定的 物件篩選器 來篩選它們。
在物件樹中執行遞迴搜尋操作

這個選項可用來控制是否應遞迴查詢物件。 然後,搜尋不僅在指定的樹中進行,而且在任何現有的子樹中也發生。

預設值: 停用

提示

如果一種類型的物件存儲在不同的物件樹中 (例如,使用者同時存儲在 CN=TeachersCN=Students 中),則相應物件樹的參數可以為空,選項 在物件樹中執行遞迴搜尋操作 可以啟用。 然後,從基本 DN 開始,在整個 LDAP 目錄中執行遞迴搜尋。 但是,在這種情況下,強烈建議為相應的物件類型設定 物件篩選器

物件屬性

為了從查詢的物件中檢索所需的資訊,必須組態某些物件屬性的名稱,因為這些屬性根據環境和 LDAP 伺服器的不同而有很大差異。 每個輸入欄位旁都有用來瀏覽現有物件的屬性和測試相應的屬性名稱。

使用者登入名稱屬性
這屬性必須保存使用者的登入名稱。 該屬性用於判斷與特定使用者名稱關聯的 LDAP 使用者物件。 在 OpenLDAP 環境中,通常使用屬性名稱 uid,而名稱 sAMAccountName 在 Active Directories 中很常見。
群組成員屬性
群組的成員透過這個屬性在群組物件中列出。 該屬性用於判斷特定使用者的成員群組。 根據組態,該屬性也用來將電腦對應到位置。 在 OpenLDAP 環境中,通常使用屬性名稱 member,而名稱 memberUid 在 Active Directories 中很常見。
電腦顯示名稱屬性

這個選用屬性的內容用於決定在 Veyon Master 中顯示的電腦名稱。 如果留空,則改用通用名稱 (cn)。

預設值: cn

電腦主機名稱屬性
這個屬性必須保存電腦的 DNS 名稱。 它用於判斷與特定電腦主機名稱關聯的 LDAP 電腦物件。 在 OpenLDAP 環境中,通常使用屬性名稱 name,而名稱 dNSHostName 在 Active Directories 中很常見。
主機名稱存儲為完全限定網域名稱 (FQDN, 例如: myhost.example.org)

這個選項指定是否使用 完全限定網域名稱 (FQDN) 將電腦名稱對應到 LDAP 電腦物件。 如果電腦名稱在 LDAP 目錄中沒有網域部分的情形下存儲,則這個選項必須保持停用,否則必須啟用它。

預設值: 停用

電腦 MAC 位址屬性
除了電腦名稱外,電腦的 MAC 位址還存儲在某些環境中的 LDAP 目錄中,例如,如果 DHCP 伺服器也存取 LDAP 目錄。 如果要使用 Veyon 功能透過 Wake-on-LAN 在電腦上切換,則必須在此處輸入相應的屬性名稱,因為這個功能需要 MAC 位址。 典型的屬性名稱是 hwAddressdhcpAddress

提示

在標準 Active Directory 中沒有存儲 MAC 位址的屬性。 因此,您必須在現有未使用的屬性,(比如 wwwHomepage ) 手動填充 MAC 位址,或擴展 AD 架構。 此外,您可以授與電腦群組寫入 SELF 的存取權限,並使用 PowerShell 指令碼使每台電腦在啟動時自動存儲其第一個實體 LAN 介面卡的 MAC 位址。

電腦位置屬性
如果電腦物件的 LDAP 架構為對應到位置提供了特殊屬性,則可以在此處輸入這個屬性名稱。 測試 按鈕可用於驗證是否可以使用組態的屬性正確查詢位置的電腦。 在進階設定中,您可以在 電腦位置 區中指定使用電腦位置屬性。
位置名稱屬性
透過電腦群組或電腦容器標識電腦位置時,特定屬性的值可以顯示為這些群組或物件的 通用名稱。 例如,如果電腦群組具有稱為 namedescription 的屬性,則可以在這個屬性中存儲有意義的位置名稱,並可以在此處輸入屬性名稱。

進階設定

使用進階設定,LDAP 整合和使用 LDAP 目錄中的資訊可根據個人需求進行自訂。

可選的物件篩選器

使用 LDAP 篩選器,如果電腦物件 (比如印表機) 不在 Veyon Master 中顯示,則可以縮小 Veyon 使用的 LDAP 物件。 在每個輸入欄位旁邊有一個用於檢查相應物件篩選器的按鈕。

自 Veyon 4.1 起,選用篩選器遵循眾所周知的 LDAP 篩選器方案 (查看範例 RFC 2254Active Directory: LDAP 語法篩選器),比如 (objectClass=XYZ)

使用者的篩選器
您可以在此定義使用者的 LDAP 篩選器,例如: (objectClass=person)(&(objectClass=person)(objectClass=veyonUser))
使用者群組的篩選器
您可以在此定義使用者群組的 LDAP 篩選器,例如: (objectClass=group)(|(cn=teachers)(cn=students)(cn=admins))
電腦的篩選器
您可以在此定義電腦的 LDAP 篩選器,例如: (objectClass=computer)(&(!(cn=printer*))(!(cn=scanner*)))
電腦群組的篩選器
您可以在此定義電腦群組的 LDAP 篩選器,例如: (objectClass=room)(cn=Room*)。 如果電腦群組用作位置,則可以通過這種方式篩選顯示的位置。
電腦容器篩選
您可以在此定義電腦容器的 LDAP 篩選器,例如: (objectClass=container)(objectClass=organizationalUnit)。 如果容器/OU 用作位置,則可以通過這種方式篩選顯示的位置。

查詢選項

查詢巢狀使用者群組 (只有 AD 支援)
If you have nested user groups (currently supported by Active Directory only), you can enable this option to make Veyon query all (even indirect) groups of a user. When enabled, you could for example create a group Veyon Users with the existing user groups Teachers and IT Staff as members. The Veyon Users group can then be used for 存取控制 purposes.

群組成員身份

群組成員身份屬性的內容因實現 LDAP 而異。 在 Active Directory 中,物件的 可分辨名稱 (DN) 存儲在成員屬性中,而 OpenLDAP 通常存儲使用者登入名稱 (uid 或類似) 或電腦名稱。 為了使 Veyon 對使用者或電腦的查詢群組使用正確的值,必須在此處選擇適當的設定。

可分辨名稱 (Samba/AD)
如果物件的可分辨名稱 (DN) 存儲在群組的成員屬性中,則必須選擇這個選項。 通常 Samba 和 AD 伺服器使用此架構。
為使用者登入名稱或電腦主機名稱組態的屬性 (OpenLDAP)
如果使用者的登入名稱 (使用者名稱) 或電腦的主機名稱存儲在群組的成員屬性中,則必須選擇這個選項。 通常 OpenLDAP 伺服器使用這個架構。

電腦位置

Veyon 提供了幾種表示 LDAP 目錄中電腦位置的方法。 在簡單的情形下,每個位置 (例如教室) 都有一個電腦群組。 特定位置的所有電腦都是相應群組的成員。 如果電腦以容器或組織單位 (OUs) 組織,則這些父物件可作為位置。 這兩個過程都不需要對 LDAP 架構進行任何調整。 作為第三種可能性,位置名稱也能以特殊屬性存儲在每個電腦物件中。

電腦群組

這個選項指定透過電腦群組標識電腦位置。 然後,所有電腦群組都顯示為 Veyon Master 中的位置。 對於每個位置,將顯示作為相應群組成員的所有電腦。 如果並非所有 LDAP 群組都顯示為位置,則必須組態專用 電腦群組,或者必須使用 電腦群組篩選器 限制電腦群組。

預設值: 啟用

電腦容器或組織單位 (OU)

這個選項指定包含電腦物件的容器/OUs 用作電腦位置。 容器是 LDAP 樹中電腦物件的上層物件。 如果並非所有容器都顯示為位置,則可以設定相應的 電腦容器篩選器

預設值: 停用

電腦物件中的位置屬性

如果電腦物件的 LDAP 架構提供了用於將電腦物件對應到位置的特殊屬性,則可以啟用這個選項並輸入屬性名稱。 測試 按鈕可用來檢查是否可以使用組態的屬性正確查詢電腦位置的成員。

預設值: 停用

整合測試

可使用整合測試來檢查 LDAP 整合為整體。 這些按鈕允許執行各種測試。 在生產中使用 LDAP 連線前,所有測試都應成功並提供有效結果。

使用 LDAP 後端

藉由成功組態和測試 LDAP 整合,現在可以啟用 LDAP 後端。 為此,必須調整 網路物件目錄電腦存取控制 的使用者群組後端。 只有將網路物件目錄切換到 LDAP 後,在 Veyon Master 中才使用來自 LDAP 目錄的位置和電腦資訊。

注意

變更電腦存取控制的後端後,應檢查所有先前組態的存取規則,因為群組和位置資訊會改變,在大多數情形下,存取規則將不再有效或不再正確處理。

命令列介面

Veyon 的 命令列介面 允許一些 LDAP 特定的操作。 所有操作都可以使用 ldap 模組。 透過 veyon-cli ldap help 顯示所有支援的命令清單,而特定命令的說明文字可以透過 veyon-cli ldap help <command> 顯示。

autoconfigurebasedn

這個命令可用於自動判斷使用的基本 DN 並將其永久寫入到組態。 LDAP 伺服器 URL 和選用的命名內容屬性必須作為參數提供:

veyon-cli ldap autoconfigurebasedn ldap://192.168.1.2/ namingContexts
veyon-cli ldap autoconfigurebasedn ldap://Administrator:MYPASSWORD@192.168.1.2:389/

提示

特殊字元,如 @: – 特別是在密碼中 - 可以使用 URL 百分比編碼 來指定。

query

This command allows querying LDAP objects (locations, computers, groups, users) and is mainly used for testing. The function can also be used to develop scripts for system integration tasks.

veyon-cli ldap query users
veyon-cli ldap query computers