Zum Hauptinhalt springen
Hilfecenter

LDAP-Anmeldung anbinden

teamspace/projectfacts an einen LDAP-/Active-Directory-Server anbinden: DNs ermitteln, die web.xml anpassen, die LDAP-Parameter verstehen und Benutzer zuweisen.

Voraussetzungen

  • Eine laufende teamspace-Installation
  • Zugriff auf den LDAP-/Active-Directory-Server
  • Bei LDAP-SSL: das LDAP-Zertifikat im Java-Truststore (siehe Weitere Server-Konfigurationen)

Du kannst die Anmeldung an teamspace/projectfacts über einen LDAP-Server (z. B. Active Directory) abwickeln. Diese Anleitung zeigt, wie du die nötigen DNs ermittelst, die web.xml anpasst und die Parameter setzt.

LDAP über SSL: Verwendest du eine verschlüsselte LDAP-Verbindung, muss das LDAP-Zertifikat zuvor in den Java-Truststore importiert werden. Das beschreibt der Abschnitt „SSL-Zertifikat in den Java-Truststore importieren” in Weitere Server-Konfigurationen.

DNs und Hostnamen ermitteln

Verbinde dich auf den LDAP-Server und ermittle die Werte über die CMD:

  • User Base DN: dsquery user -name <verwendeter Benutzername>
  • Group Base DN: dsquery group -name <Gruppenname>
  • LDAP-Hostname: set L

web.xml anpassen

In der web.xml ist die LDAP-Anbindung auskommentiert. Kommentiere den Block ein und passe die markierten Bereiche an. Ist der Block nicht vorhanden, füge ihn ein.

LDAP-Block in der web.xml mit den anzupassenden Parametern wie ldap.host, ldap.userBaseDN und ldap.groupDN
Der LDAP-Block in der web.xml – die hervorgehobenen Bereiche anpassen

Parameter-Erklärung für LDAP

BezeichnungBeschreibung
app.authMethodKann auf „basic” gesetzt werden, wenn man „Basic Authentication” statt eines Formulars für den Login verwenden möchte.
app.authBackendFür die LDAP-Anbindung muss hier „ldap” eingetragen werden.
app.defaultMandantDie ID des Mandanten.
ldap.hostVollständige URL zum LDAP-Server (z. B. ldap://127.0.0.1:389).
ldap.authMethod„none”, „simple” oder eine sasl_mech-Liste (siehe Oracle-JNDI-Dokumentation).
ldap.allowOfflineLoginWie lange man sich nach dem letzten erfolgreichen LDAP-Login noch einloggen darf, wenn der LDAP nicht erreichbar ist (Wert in Stunden).
ldap.userBaseDNDer DN, in dem nach Benutzern gesucht wird.
ldap.groupDNDN der Gruppe, zu der ein Benutzer gehören muss, um sich einloggen zu dürfen.
ldap.principalPatternBestimmt, ob und wie der „rohe” Loginname zu einem Principal umformatiert wird (z. B. {0}@5p).
ldap.userUIDAttribut, das den Benutzer eindeutig identifiziert (der Loginname). Beim AD i. d. R. sAMAccountName.
ldap.userGUIDAttribut, das den Benutzer global eindeutig identifiziert und auch beim Umbenennen/Verschieben gleich bleibt. Beim AD die objectGUID.
ldap.userSearchSuchfilter, um einen Benutzer zu finden. Platzhalter für den Benutzernamen ist {0}.
ldap.searchUserDNDer DN eines Benutzers, der im LDAP nach Benutzern suchen darf.
ldap.searchUserPwPasswort für den Such-Benutzer.

LDAP-Benutzer zuweisen

Ordne im teamspace-Mandanten die LDAP-Benutzer den teamspace-Benutzern zu:

Dialog zum Zuweisen von LDAP-Benutzern zu teamspace-Benutzern
LDAP-Benutzer den teamspace-Benutzern zuweisen

Typische Fragen & Anforderungen

Du möchtest …So geht’s
Login per Formular durch Basic Auth ersetzenapp.authMethod auf „basic” setzen.
Anmeldung soll auch bei LDAP-Ausfall kurz funktionierenldap.allowOfflineLogin (in Stunden) setzen.
Nur Mitglieder einer bestimmten Gruppe zulassenDie Gruppe über ldap.groupDN festlegen.
LDAP über SSL verbindenZuvor das Zertifikat in den Java-Truststore importieren (siehe Weitere Server-Konfigurationen).

Verwandte Themen