Die Properties für die LDAP Anbindung haben sich geändert. 

Mittels der LDAP Anbindung ist es möglich Benutzer und/oder Rechte von einem LDAP Server abzufragen.

Für die Benutzer benötigt man eine entsprechende LDAP Suchabfrage, um die berechtigten User vom LDAP abzufragen. Berechtigungen können über ein separates Attribut (z.B. das Feld Description) im User hinterlegt werden und/oder der User kann Member einer Gruppe sein, die definierte Berechtigungen bereitstellt.

Ebenso kann ein hybrides Szenario aufgebaut werden, sodass die User im LDAP abgefragt werden und deren Berechtigungen lokal im Spooler gepflegt werden. Dies wird mittels spooler.policies gepflegt (siehe hier).

spooler.properties 
###### Allg. Einstellungen ####
## Synchronisation der User : ldap | local
spooler.user-service.users-synchronization = ldap

## Synchronisation der Berechtigungen: ldap | local 
spooler.user-service.policies-synchronization =  ldap

## Synchronisierungsintervall in Millisekunden. Minimaler Wert "5000"
spooler.user-service.sync-interval = 20000


## LDAP-Serveraddresse 
ldap.server.url=ldap://openldap:1389

## LDAP-Base
ldap.server.base=dc\=example,dc\=org

# Benutzername  für die Abfragen am LDAP  
ldap.server.auth.username=cn\=admin,dc\=example,dc\=org

# Passwort für die Abfragen am LDAP 
ldap.server.auth.password=adminpassword


###### User-Abfrage ####
## Abfrage-Base - auf dieser Ebene wird der nachfolgende Filter ausgeführt 
ldap.service.user.baseDn=ou\=OMS-Users,dc\=example,dc\=org

## Filter/ Suchabfrage - Zurückgelieferte User können nun über die Policies Zugang zum Spooler erhalten
ldap.service.user.filter=objectClass\=inetOrgPerson

## Authentifizierungs-Pattern -  für die meisten LDAP Server leer lassen
ldap.service.user.auth-pattern=


###### Policies-Abfrage ####
## Attribut in dem der Username enthalten ist um Policies zuzuordnen
ldap.service.user.attribute.username=uid

## Attribut des Users in dem die Berechtigung enthalten ist
ldap.service.user.attribute.policy=description

## Wenn ohne Gruppenberechtigungen gearbeitet werden soll, muss nachfolgendes Feld leer bleiben
## Base in der nach Gruppen gesucht werden soll
ldap.service.group.baseDn=dc\=example,dc\=org

## Filter, um die passenden Gruppen zu finden, in denen die User Mitglieder sind und entsprechende Berechtigungen gepflegt sind.
ldap.service.group.filter=(objectclass\=groupOfUniqueNames)

## Attribut der Gruppe in dem die Policies enthalten sind.
ldap.service.group.attribute.policy=description

## Attribut der Gruppe, in der die Mitglieder enthalten sind. (Voller DN Pfad wird benötigt)
ldap.service.group.attribute.member=uniqueMember

Es ist möglich in den LDAP Properties einzustellen sich mit einem leeren Passwort anzumelden.

#ldap.service.user.allow-empty-password=true

Diese Einstellung ist optional, im Standard ist hier false eingestellt. 
 (Warnung) Diese Einstellung sollte nur in Testsystemen oder um eine zwischenzeitliche Kompatibilität herzustellen genutzt werden, nicht für Produktionssysteme geeignet.


Hier das Beispiel des LDAP-Aufbau für die o.g. Konfiguration.



blauBase der Userabfrage
(Warnung) Kann auch auf einer höheren Ebene sein, dann muss der Filter entsprechend angepasst werden.
rotBase der Gruppenabfrage für Berechtigungen 
grünBerechtigungen der Gruppenmitglieder
gelbMitglieder der Gruppe
  • Keine Stichwörter