Versionen im Vergleich

Alte Version 1

changes.mady.by.user Redakteur5

Gespeichert am

verglichen mit

Neue Version 2

changes.mady.by.user Redakteur7

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

In der Version 4.2 des Spoolers haben sich die properties für die LDAP Anbindung geändert. 

Mittels der LDAP Anbindung ist es möglich Benutzer und/oder Rechte von einem LDAP Server abzufragen.

Für die Benutzer benötigt man eine entsprechende LDAP Suchabfrage, um die berechtigten User vom LDAP abzufragen. Berechtigungen können über ein separates Attribut (z.B. das Feld Description) im User hinterlegt werden und/oder der User kann Member einer Gruppe sein, die definierte Berechtigungen bereitstellt.

Ebenso kann ein hybrides Szenario aufgebaut werden, sodass die User im LDAP abgefragt werden und deren Berechtigungen lokal im Spooler gepflegt werden. Dies wird mittels spooler.policies gepflegt (siehe hier).

Codeblock
languagebash
firstline1
titlespooler.properties
collapsetrue
###### Allg. Einstellungen ####
## Synchronisation der User : ldap | local
spooler.user-service.users-synchronization = ldap

## Synchronisation der Berechtigungen: ldap | local 
spooler.user-service.policies-synchronization =  ldap

## Synchronisierungsintervall in Millisekunden. Minimaler Wert "5000"
spooler.user-service.sync-interval = 20000


## LDAP-Serveraddresse 
ldap.server.url=ldap://openldap:1389

## LDAP-Base
ldap.server.base=dc\=example,dc\=org

# Benutzername  für die Abfragen am LDAP  
ldap.server.auth.username=cn\=admin,dc\=example,dc\=org

# Passwort für die Abfragen am LDAP 
ldap.server.auth.password=adminpassword


###### User-Abfrage ####
## Abfrage-Base - auf dieser Ebene wird der nachfolgende Filter ausgeführt 
ldap.service.user.baseDn=ou\=OMS-Users,dc\=example,dc\=org

## Filter/ Suchabfrage - Zurückgelieferte User können nun über die Policies Zugang zum Spooler erhalten
ldap.service.user.filter=objectClass\=inetOrgPerson

## Authentifizierungs-Pattern -  für die meisten LDAP Server leer lassen
ldap.service.user.auth-pattern=


###### Policies-Abfrage ####
## Attribut in dem der Username enthalten ist um Policies zuzuordnen
ldap.service.user.attribute.username=uid

## Attributsfeld des Users in dem die Berechtigung enthalten ist
ldap.service.user.attribute.policy=description

## Wenn ohne Gruppenberechtigungen gearbeitet werden soll, muss nachfolgendes Feld leer bleiben
## Base in der nach Gruppen gesucht werden soll
ldap.service.group.baseDn=dc\=example,dc\=org

## Filter, um die passenden Gruppen zu finden, in denen die User Mitglieder sind und entsprechende Berechtigungen gepflegt sind.
ldap.service.group.filter=(objectclass\=groupOfUniqueNames)

## Attributs-Feld der Gruppe in dem die Policies enthalten sind.
ldap.service.group.attribute.policy=description

## Attributsfeld der Gruppe, in der die Mitglieder enthalten sind. (Voller DN Pfad wird benötigt)
ldap.service.group.attribute.member=uniqueMember

Beispiel LDAP-Aufbau für o.g. Konfiguration

Blau = Base der Userabfrage (kann auch auf einer höheren Ebene sein, dann muss der Filter entsprechend angepasst werden)

Rot = Base der Gruppenabfrage für Berechtigungen 

Grün = Berechtigungen der Gruppenmitglieder

Gelb = Mitglieder der Gruppe