Replikation - Benutzer- und Gruppenimport
Intrexx stellt mehrere Möglichkeiten zur Replikation Ihrer bestehenden IT - Infrastruktur zur Verfügung. Im Modul Benutzer können Sie über das Hauptmenü Benutzer / Benutzer- und Gruppenimport Daten aus
LDAP-Verzeichnissen (z.B. Windows Active Directory)
JDBC-Quellen
ASCII-Dateien (z.B. Linux/Unix Passwd)
importieren. Mit der Taste F1 erhalten Sie in den Import-Dialogen weitere Informationen.
LDAP-Authentifizierung
Damit Benutzer aus LDAP-Quellen repliziert werden können, muss zuerst das Zertifikat des LDAP-Servers über die Portaleigenschaften eingelesen werden. Damit eine Authentifizierung der Benutzer gegen den LDAP-Server möglich ist, sollte über Intrexx eine Benutzerreplikation durchgeführt werden. Eine Replikation ist für die Authentifizierung nicht zwingend erforderlich, sollte jedoch als "erste Wahl" angesehen werden. Alternativ können Benutzer in Intrexx manuell angelegt werden mit dem Schema (Benutzername, Domain, ..) des LDAP-Servers. Beim Login wird unabhängig von der Erstellungsweise des Benutzers zuerst versucht, gegen den LDAP-Server zu authentifizieren. Wenn Sie die Replikation durchführen, gehen Sie bitte wie folgt vor:
Wechseln Sie in das Modul Benutzer und wählen Sie dort das Hauptmenü Benutzer / Benutzer- und Gruppenimport.
-
Klicken Sie hier auf
"Hinzufügen".
Tragen Sie hier einen Namen ein und wählen Sie die Option "LDAP".
Klicken Sie "Weiter".
Hier werden die Verbindungsdaten eingetragen.
Geben Sie den Servernamen oder die IP des ADS und den Port an. Die einfache Authentifizierung ist in den meisten Fällen ausreichend. Geben Sie den Benutzer an, der den LDAP-Server kontaktiert (z.B.: mail@example.org) und das zugehörige Passwort (Anmeldekennwort an der Domäne). Wählen Sie die Basis-DN mit Klick auf
"Suchen" aus. Wählen Sie in der Auswahlliste das passende Profil für Ihren LDAP-Server. Klicken Sie "Weiter".
Sind alle Eingaben korrekt, wird ein weiterer Dialog eingeblendet, in dem definiert werden kann welche Werte ausgelesen werden sollen. Darüber hinaus lassen sich weitere Eigenschaften wie Passwörter etc. definieren.
Ihr persönliches Benutzerkonto muss zur Administratorengruppe hinzugefügt werden, um mit dem Windowskonto alle Rechte im Portal Manager zu bekommen.
Authentifizierungsmethode
Die Authentifizierungsmethode, die von Intrexx verwendet wird, muss umgestellt werden. Gehen Sie dafür bitte wie folgt vor:
Wählen Sie im Modul Benutzer das Hauptmenü Benutzer / Konfiguration.
-
Klicken Sie hier auf
"Client-Binding bearbeiten".
Wählen Sie die Option "Generische Authentifizierung".
Schließen Sie den Dialog mit Klick auf "OK".
Melden Sie sich anschließend über das Hauptmenü Start / Portaldienst trennen von Ihrem Portal ab.
Anpassung der Konfigurationsdatei
Öffnen Sie die Datei "LucyAuth.cfg" im Portalverzeichnis internal/cfg mit einem beliebigen Texteditor. In dieser Datei müssen die Adresse des LDAP-Servers und weitere Verbindungsinformationen eingetragen werden. Erstellen Sie vor dem Editieren unbedingt ein Backup dieser Datei. Navigieren Sie im Texteditor zu folgendem Abschnitt:
GenericAuth
{
de.uplanet.lucy.server.auth.module.ldap.LdapBindLoginModule
sufficient
java.naming.provider.url="ldap://localhost:389"
java.naming.security.authentication="simple"
java.naming.security.principal="$[DN]"
debug=false;
de.uplanet.lucy.server.auth.module.anonymous.AnonymousLoginModule
sufficient
debug=false;
};
In Abhängigkeit davon, ob in einem Portal Benutzer vom LDAP-Server repliziert oder manuell angelegt wurden und sich gegenüber dem LDAP-Server authentifizieren, muss der Eintrag entsprechend ersetzt werden. Wenn Sie eine Replikation durchgeführt haben, nehmen Sie bitte folgende Einträge vor:
GenericAuth
{
de.uplanet.lucy.server.auth.module.ldap.LdapBindLoginModule
sufficient
java.naming.provider.url="ldap://ldapserver.example.org:389"
java.naming.security.authentication="simple"
java.naming.security.principal="$[DN]"
debug=false;
de.uplanet.lucy.server.auth.module.anonymous.AnonymousLoginModule
sufficient
debug=false;
};
Geben Sie in der Provider-URL "ldap" an, wenn Sie keine SSL-Verschlüsselung verwenden. Geben Sie statt "ldapserver.example.org" die IP-Adresse oder den voll qualifizierten Name des LDAP-Servers an, gefolgt vom Port des LDAP-Servers (Standard: 389, Standard SSL: 636). Die Einstellung "$[DN]" ist bei einer erfolgten Replikation nicht zu ändern. Dieser Distinguished Name ist zu verwenden bei OpenLDAP, Novell eDirectory, Sun ONE und Active Directory Server. Bei manuell angelegten Benutzern ändern Sie die Einstellungen bitte wie folgt:
GenericAuth
{
de.uplanet.lucy.server.auth.module.ldap.LdapBindLoginModule
sufficient
java.naming.provider.url="ldap://ldapserver.example.org:389"
java.naming.security.authentication="simple"
java.naming.security.principal="$[LOGIN_NAME]@$[LOGIN_DOMAIN]"
debug=false;
de.uplanet.lucy.server.auth.module.anonymous.AnonymousLoginModule
sufficient
debug=false;
};
Geben Sie in der Provider-URL "ldap" an, wenn Sie keine SSL-Verschlüsselung verwenden. Geben Sie statt "ldapserver.example.org" die IP-Adresse oder den voll qualifizierten Name des LDAP-Servers an, gefolgt vom Port des LDAP-Servers (Standard: 389, Standard SSL: 636). $[LOGIN_NAME]@$[LOGIN_DOMAIN] ist der uusammengesetzter principal-Name. Dieses Pattern bitte genau wie oben dargestellt übernehmen. Die Anmeldung funktioniert so zunächst nur im Portal Manager. Soll die Variante auch im Browser beim Zugriff auf das Portal funktionieren, muss die folgende Änderung in der Datei "initlogin.vm" im Portalverzeichnis internal/system/vm/html/login durchgeführt werden.
##Initparams for Intrexx Loginbox
##Module Subdirectory, depends on Loginmodule ## default "intrexxauth"
#set($l_strModuleSubDir = "intrexxauth")
Ändern Sie die Zeile #set($l_strModuleSubDir = "intrexxauth") ab auf #set($l_strModuleSubDir = "ldapauth").
Bitte beachten Sie, dass die Anmeldedaten bei einer LDAP Authentifizierung zwischen Browser (Client) und Server im Klartext übertragen werden. Es wird daher empfohlen, diese Methode nur über HTTPS zu betreiben.