Was ist LDAP Mapping?
LDAP-Mapping bezieht sich auf den Prozess der Konfiguration der Zuordnung zwischen LDAP-Attributen (Lightweight Directory Access Protocol) und den entsprechenden Attributen in einem System oder einer Anwendung. Dabei wird festgelegt, wie LDAP-Attribute, wie z. B. Benutzernamen, E-Mail-Adressen und Anzeigenamen, den im Zielsystem verwendeten Attributen zugeordnet werden.
Wie kann ich die LDAP-Zuordnung konfigurieren?
Um die LDAP-Zuordnung zu konfigurieren, müssen Sie die erforderlichen Einstellungen und Parameter in der LDAP-Konfigurationsdatei angeben. Die Konfigurationsdatei enthält Eigenschaften wie die URL des LDAP-Servers, Authentifizierungsdetails, den Basis-Domänennamen (DN), Filter und eindeutige Bezeichner. Diese Einstellungen definieren, wie LDAP-Attribute auf die in Ihrem BOC-Produkt verwendeten Attribute abgebildet werden.
Was sind einige wichtige LDAP-Zuordnungseigenschaften?
Einige wichtige LDAP-Zuordnungseigenschaften sind:
| Attribute | Beschreibung |
|---|---|
| provider_url | Gibt die URL für den LDAP-Verzeichnisserver an. |
| principal | Der Anmeldename des Hauptbenutzers, der für die Suche nach anderen Benutzern verwendet wird. |
| login_base_dn | Die Angabe der Basisdomäne, in der sich die Benutzerobjekte befinden. |
| login_filter | Eine Filteroption mit einem Platzhalter für den Benutzernamen, um das gewünschte Benutzerobjekt zu finden. |
| unique_identifier | Eine oder mehrere Eigenschaften, die als eindeutiger Bezeichner für den internen Gebrauch dienen. |
| sync_base_dn | Ein optionaler Parameter, der die Basisdomäne für Synchronisationsaufträge angibt. |
| sync_filter | Ein optionaler Filter zur Eingrenzung der Suchergebnismenge für die Synchronisation. |
| ignore_missing_objectSid | Gibt an, ob fehlende objectSid für LDAP-Benutzer ignoriert werden sollen. |
| referral | Legt das Verhalten bei der Behandlung von Verweisen fest. |
Was ist der Zweck der LDAP-Synchronisierung?
Bei der LDAP-Synchronisierung werden die Benutzerdaten regelmäßig vom LDAP-Verzeichnisserver mit Ihrem System synchronisiert. Dadurch wird sichergestellt, dass die Benutzerdaten, wie z. B. Benutzernamen, E-Mail-Adressen und Gruppenmitgliedschaften, in Ihrem System auf dem neuesten Stand bleiben. Die Synchronisierung kann in bestimmten Intervallen geplant werden und hilft dabei, die Benutzerdaten zwischen LDAP und Ihrer Anwendung konsistent zu halten.
Wie kann ich LDAP-Synchronisierungsaufträge planen?
LDAP-Synchronisierungsaufträge können geplant werden, indem die Synchronisierungsdetails in der LDAP-Konfigurationsdatei angegeben werden. Jeder Synchronisierungsauftrag umfasst Eigenschaften wie Name, Filter (optional), Startknoten (optional) und Zeitplantyp (z. B. täglich, wöchentlich, monatlich). Durch die Definition mehrerer Synchronisierungsaufträge können Sie verschiedene Synchronisierungsaufgaben entsprechend Ihren Anforderungen planen.
Beispiel:
"synchronization": {
"schedules": [
{
"name": "LDAP_Sync",
"scheduleCronData": {
"h": 1,
"m": 0,
"w": [2, 3, 4, 5, 6]
},
"scheduleType": 4
}
]
}
Welche Bedeutung hat die LDAP-Zuordnung bei der Benutzerauthentifizierung?
Die LDAP-Zuordnung spielt eine entscheidende Rolle bei der Benutzerauthentifizierung. Wenn ein Benutzer versucht, sich zu authentifizieren, hilft die LDAP-Zuordnungskonfiguration dabei, die Anmeldedaten des Benutzers vom LDAP-Verzeichnisserver abzurufen, z. B. den Benutzernamen und das Kennwort. Das Mapping stellt sicher, dass die richtigen Attribute für die Authentifizierung verwendet werden, so dass sich die Benutzer sicher am System anmelden können.
Gibt es Sicherheitsaspekte beim LDAP-Mapping?
Ja, es gibt Sicherheitsüberlegungen für LDAP-Mapping. Es ist wichtig sicherzustellen, dass die LDAP-Verbindung sicher ist, z. B. durch Verwendung von SSL/TLS-Protokollen bei der Kommunikation mit dem LDAP-Server. Außerdem sollten geeignete Zugriffskontrollen vorhanden sein, um den LDAP-Zugriff auf autorisierte Benutzer zu beschränken. Die Speicherung sensibler Informationen, wie LDAP-Kennwörter, sollte unter Verwendung von Verschlüsselungstechniken sicher erfolgen.
Eine Beispielkonfiguration finden Sie im Anhang.
Wichtig: Bitte beachten Sie, dass die bereitgestellten Informationen auf einem allgemeinen Verständnis der LDAP-Zuordnung beruhen und je nach Ihren spezifischen LDAP-Server- und Anwendungsanforderungen variieren können.
LDAP Mapping Beispiel
"ldap": {
"allow_client_action": false,
"authentication_mode": "simple",
"context_factory": "com.sun.jndi.ldap.LdapCtxFactory",
"default_domain": "Domain1",
"domains": [
{
"connection_timeout": "5000",
"defaultConnector": "Standard Login",
"ignore_missing_objectSid": false,
"index": 0,
"login_base_dn": "dc=BOC,dc=com",
"login_filter": "(&(objectClass=user)(sAMAccountName=%username%))",
"login_scope": "subtree",
"name": "Domain1",
"page_size": 1000,
"paged_result_control_oid": "1.2.840.113556.1.4.319",
"password": null,
"principal": null,
"principal_domain": "company.eu",
"principal_format": "%principal%@%principaldomain%",
"provider_url": "ldap://company.com:389",
"referral": null,
"security_protocol": null,
"ssl_certificate": null,
"sync_base_dn": "dc=company,dc=com",
"sync_filter": "(objectClass=user)",
"unique_identifier": [
"distinguishedName"
],
"user-mapping": {
"autoCreateUser": true,
"auto_sync_user": {
"auto_sync_attributes": true,
"auto_sync_groups": true,
"auto_sync_nameduse": true,
"auto_sync_repos": true,
"auto_sync_roles": true,
"enabled": true
},
"default_groups": [],
"default_roles": [],
"groups": [
{
"additionalConfig": {},
"mapexistingusers": false,
"match": "BOC_Group",
"name": "memberOf",
"targetName": "BOC_Group",
"targetType": "group",
"type": "contains"
}
],
"mapped_user_handling": {
"default_mapping": "Reader",
"mappings": []
},
"nameduse": [
{
"match": "BOC_nameduse",
"name": "memberOf",
"targetName": "{ID}",
"targetType": "nameduse",
"type": "contains"
}
],
"properties": [
{
"attr": "NAME",
"name": "sAMAccountName"
},
{
"attr": "FORENAME",
"name": "givenName"
},
{
"attr": "SURNAME",
"name": "sn"
},
{
"attr": "EMAIL",
"name": "mail"
},
{
"attr": "DESCRIPTION",
"name": "displayName"
}
],
"repositories": [
{
"additionalConfig": {
"objectgroup": "{ID}"
},
"mapexistingusers": false,
"targetName": "{ID}",
"targetType": "repository",
"type": "contains"
}
],
"roles": [],
"user_deletion_handling": {
"deleteNotFoundUsers": true,
"moveUndeletableUsersToGroup": true,
"userGroupForUndeletableUsers": "to_be_deleted"
}
}
}
],
"enabled": true,
"environment": {},
"properties": [
{
"name": "mail",
"recursiveNodeLookup": false
},
{
"name": "sAMAccountName",
"recursiveNodeLookup": false
},
{
"name": "displayName",
"recursiveNodeLookup": false
},
{
"name": "givenName",
"recursiveNodeLookup": false
},
{
"name": "distinguishedName",
"recursiveNodeLookup": false
},
{
"name": "cn",
"recursiveNodeLookup": false
},
{
"name": "memberOf",
"recursiveNodeLookup": false
},
{
"name": "sn",
"recursiveNodeLookup": false
},
{
"name": "department",
"recursiveNodeLookup": false
}
],
"synchronization": {
"schedules": [
{
"name": "LDAP_Sync",
"scheduleCronData": {
"h": 1,
"m": 0,
"w": [2, 3, 4, 5, 6]
},
"scheduleType": 4
}
]
},
"url_pkg_prefixes": "com.sun.jndi.url"
}