LDAP - Jak synchronizovat uživatele ze vzdáleného adresáře do 2N® Access Commanderu
Od verze 1.17 lze 2N® Access Commander kromě Active Directory synchronizovat i s jinými adresáři pomocí protokolu LDAP.
Pro tuto funkcionalitu je vyžadována licence 2N® Access Commander - Licence Integrace - objednací kód licence je: 91379042.
Kompatibilní s adresáři podporujícími protokol LDAP.
Otestováno s MS Active Directory, OpenLDAP, Apache DS.
Verze 3.0+
Jak vytvořit připojení ke vzdálenému adresáři
- Přihlaste se do Vaší instalace 2N® Access Commanderu.
- Ujistěte se, že máte aktivovanou Licenci Pro nebo Unlimited.
- Otevřete sekci Společnosti zvolte společnost, do které chcete uživatele z daného adresáře importovat:
- V nastavení společnosti zvolte záložku Synchronizace uživatelů a klikněte na Vytvořit konfiguraci LDAP:
Vyplňte Název serveru, Přihlašovací jméno, Heslo a LDAP Schéma a vpravo dole klikněte na VYTVOŘIT:
Jako příklad je na následujícím obrázku použit účet Administrator (z adresáře), který je umístěn v adresáři v containeru Users
na doméně adresáře acom.local .
Univerzální Přihlašovací jméno:
CN=<login>,CN=<název_containeru_v_adresáři_obsahující_administrátora_s_daným_loginem>,DC=<doména>,DC=<koncovka_domény>
Pouze v případě MS Active Directory je možné zadání ve tvaru: Administrator@acom.local
LDAP Schéma (BaseDN):
OU=<název_organizační_jednotky_v_adresáři_obsahující_uživatele_k_synchronizaci>,DC=<doména>,DC=<koncovka_domény>
Pokud jsou uživatelé, které chceme importovat, hlouběji v hierarchii adresáře, je třeba vyplnit celou cestu. Pro uživatele, kteří jsou tedy například umístěni v organizační jednotce Sales, která je součástí organizační jednotky 2N, která je již v kořenu adresáře na doméně acom.local, pak schéma vypadá následovně:
OU=Sales,OU=2N,DC=acom,DC=local
SSL je zde nepoužito - připojení na server je tedy nezabezpečené.
Jak importovat uživatele z připojeného adresáře včetně jejich kontaktů a přístupů
- Po vytvoření připojení ke vzdálenému adresáři klikněte na tlačítko Upravit schéma:
Zde definujeme Uživatelský filtr, Uživatelské jméno a názvy atributů, pod kterými se v adresáři dané informace nachází.
V případě MS Active Directory můžemt použít již přednastavený Uživatelský filtr "(&(objectclass=user)(objectcategory=person))",
čímž se naimportují pouze uživatele, jež mají v atributu "objectclass" user a v atributu "objectcategory" person.V případě synchronizace z jiných adresářů je třeba filtr náležitě upravit aby odpovídal požadavku daného adresáře:
Přednastavené Uživatelské jméno ("cn") a atributy níže se mohou některé vztahovat pouze k MS Active Directory a v případě synchronizace z jiných adresářů je třeba ty, které se liší, náležitě upravit dle daného adresáře.
Následně potvrdíte kliknutím na tlačítko ZMĚNIT.Nastavte další parametry LDAP-synchronizace:
- Zanořené vyhledávání: Naimportuje dané uživatele i z podsložek (organizačních jednotek nebo containerů) zvoleného BaseDN-adresáře.
- Povolit přesměrování (LDAP Referral): Naimportuje dané uživatele i z případných jiných úložišť daného adresáře.
- Synchronizace avatarů: Pokud mají uživatelé v adresáři přiřazenou fotografii, lze ji naimportovat také.
- Deaktivovat uživatele deaktivované v Active Directory: Pokud je uživatel deaktivovaný v adresáři, naimportuje se a deaktivuje i v Access Commanderu
(nebude mít přístup do dveří, nepůjde na něj volat).
- Zpracování smazaných uživatelů: Zvolíme, co má Access Commander udělat, je-li uživatel v daném adresáři smazán.
Buď Beze změny, nebo Deaktivovat, a nebo Smazat v Access Commanderu.
- Stránkování: Požádá-li Access Commander daný adresář o uživatele, jsou poslány po tzv. stránkách (aby nedošlo k přetížení serveru).
Zde tedy definujte, po kolika budou uživatelé posíláni (hodnota nesmí přesáhnout hodnotu nastavenou v adresáři).Pokud potřebujete, aby se uživatelé z daného adresáře do 2N® Access Commanderu synchronizovali automaticky, nastavte v něm parametr
Čas pravidelného importu, kde vybereme mezi hodinovým, denním a týdenním intervalem,
zvolíme minutu, hodinu či den pravidelné synchronizace a potvrdíme kliknutím na tlačítko ZMĚNIT:- Závěrem můžete otestovat dané LDAP-nastavení kliknutím na příslušné tlačítko dole
a kliknutím na tlačítko IMPORTOVAT se již poté stáhnou informace o uživatelích z daného adresáře do 2N® Access Commanderu .
Importované uživatele naleznete ve sekci Uživatelé pod danou Společností 2N® Access Commanderu. - Ve více možnostech sekce "Import" je možné LDAP konfiguraci smazat.
Jak naimportovat s uživatelem i identifikátor RFID karet či PIN-kód
- klikněte na tlačítko možnost "Upravit schéma".
Zde definujeme názvy atributů v adresáři, odkud se jednotlivé informace stahují. V případě karet či PIN-kódu musíme často použít políčko pro jinou položku,
jelikož v adresáři obvykle místo pro identifikátor karty či PIN-kódu není.
V následujícím příkladu je vidět, že pro identifikátor karty č.1 jsme použili v adresáři políčko Description a pro PIN-kód políčko Fax v detailu uživatele.
Abychom tedy mohli dané informace naimportovat, je třeba nastavit 2N® Access Commander, aby tyto informace hledal v daných políčkách detailu uživatele v adresáři:Názvy jednotlivých atributů (pro MS Active Directory) jsou pak popsány zde: https://docs.classic.secureauth.com/display/KBA/Active+Directory+Attributes+List )
Příklad:
PIN-kód jsme například v adresáři zadali pod položku uživatele "Fax" - název tohoto atributu v adresáři je: facsimileTelephoneNumber
Číslo karty #1 jsme například v adresáři zadali pod položku uživatele "Description" - název tohoto atributu v adresáři je: description
Pro druhou kartu je třeba zvolit v detailu uživatele samostatné políčko.
Jak synchronizovat členství ve skupiny pro importované uživatele
Please be informed, that this is not an import of the groups from the LDAP directory, this is only a Synchronization of the membership, you need to manually create those groups in your Access Commander database. This was done to prevent importing all unnecessary groups, that are not tied with accesses of the users (e-mail groups etc.)
- If you have done all of the steps above, you now should have users in your database with their accesses, phone numbers etc.
Now you can create groups in the Access Commander, keep in mind that the name of the group is case sensitive and must be exactly the same as you use in your remote directory.
After you create all the necessary groups, you need to enable synchronization in the Access Commander and edit group schema settings according to your needs
Additional Group DN:
CN=<container_name_in_directory_containing_groups_of_users>
(do not insert BaseDN as it will be automatically used according to the LDAP schema set in previous steps)
Group Filter:
In our example, we used a filter for MS Active Directory (&(objectClass=group)(member=*)), thereby synchronizing the users with groups that have "group" in the "objectclass" attribute and "member" in the "objectcategory" attribute and they are also simultaneously created in the Access Commander.
The default Group Name ("cn") and Group Member ("member") above may apply only to MS Active Directory, and in case of synchronisation from other directories, those that differ must be adjusted according to the given directory.Now you can import the LDAP settings and check if everything is properly synchronized and the users are assigned to the correct groups in the user detail
Verze 2.7 nebo starší
Jak vytvořit připojení ke vzdálenému adresáři
- Přihlaste se do Vaší instalace 2N® Access Commanderu.
- Ujistěte se, že máte aktivovanou Licenci Integrace (Nastavení > Licence > LDAP synchronizace: Ano).
- Otevřete sekci Společnosti a vstupte do úpravy společnosti, do které chcete uživatele z daného adresáře importovat:
- V nastavení společnosti zvolte záložku LDAP a klikněte na VYTVOŘIT (LDAP-konfiguraci):
Vyplňte Název serveru, Přihlašovací jméno, Heslo a LDAP Schéma a vpravo dole klikněte na VYTVOŘIT:
Jako příklad je na následujícím obrázku použit účet Administrator (z adresáře), který je umístěn v adresáři v containeru Users
na doméně adresáře acom.local .
Univerzální Přihlašovací jméno:
CN=<login>,CN=<název_containeru_v_adresáři_obsahující_administrátora_s_daným_loginem>,DC=<doména>,DC=<koncovka_domény>
Pouze v případě MS Active Directory je možné zadání ve tvaru: Administrator@acom.local
LDAP Schéma (BaseDN):
OU=<název_organizační_jednotky_v_adresáři_obsahující_uživatele_k_synchronizaci>,DC=<doména>,DC=<koncovka_domény>
Pokud jsou uživatelé, které chceme importovat, hlouběji v hierarchii adresáře, je třeba vyplnit celou cestu. Pro uživatele, kteří jsou tedy například umístěni v organizační jednotce Sales, která je součástí organizační jednotky 2N, která je již v kořenu adresáře na doméně acom.local, pak schéma vypadá následovně:
OU=Sales,OU=2N,DC=acom,DC=local
SSL je zde nepoužito - připojení na server je tedy nezabezpečené.
Jak importovat uživatele z připojeného adresáře včetně jejich kontaktů a přístupů
- Po vytvoření připojení ke vzdálenému adresáři klikněte na tlačítko VLASTNÍ NASTAVENÍ UŽIVATELSKÉHO SCHÉMATU:
Zde definujeme Uživatelský filtr, Uživatelské jméno a názvy atributů, pod kterými se v adresáři dané informace nachází.
V případě MS Active Directory můžemt použít již přednastavený Uživatelský filtr "(&(objectclass=user)(objectcategory=person))",
čímž se naimportují pouze uživatele, jež mají v atributu "objectclass" user a v atributu "objectcategory" person.V případě synchronizace z jiných adresářů je třeba filtr náležitě upravit aby odpovídal požadavku daného adresáře:
Přednastavené Uživatelské jméno ("cn") a atributy níže se mohou některé vztahovat pouze k MS Active Directory a v případě synchronizace z jiných adresářů je třeba ty, které se liší, náležitě upravit dle daného adresáře.
Následně potvrdíte kliknutím na tlačítko ZMĚNIT.Nastavte další parametry LDAP-synchronizace:
- Zanořené vyhledávání: Naimportuje dané uživatele i z podsložek (organizačních jednotek nebo containerů) zvoleného BaseDN-adresáře.
- Povolit přesměrování (LDAP Referral): Naimportuje dané uživatele i z případných jiných úložišť daného adresáře.
- Importovat uživatelské fotografie: Pokud mají uživatelé v adresáři přiřazenou fotografii, lze ji naimportovat také.
- Deaktivovat uživatele deaktivované v Active Directory: Pokud je uživatel deaktivovaný v adresáři, naimportuje se a deaktivuje i v Access Commanderu
(nebude mít přístup do dveří, nepůjde na něj volat).
- Zpracování smazaných uživatelů: Zvolíme, co má Access Commander udělat, je-li uživatel v daném adresáři smazán.
Buď Beze změny, nebo Deaktivovat, a nebo Smazat v Access Commanderu.
- Stránkování: Požádá-li Access Commander daný adresář o uživatele, jsou poslány po tzv. stránkách (aby nedošlo k přetížení serveru).
Zde tedy definujte, po kolika budou uživatelé posíláni (hodnota nesmí přesáhnout hodnotu nastavenou v adresáři).Pokud potřebujete, aby se uživatelé z daného adresáře do 2N® Access Commanderu synchronizovali automaticky, nastavte v něm parametr
Čas pravidelného importu, kde vybereme mezi hodinovým, denním a týdenním intervalem,
zvolíme minutu, hodinu či den pravidelné synchronizace a potvrdíme kliknutím na tlačítko ZMĚNIT:- Závěrem můžete otestovat dané LDAP-nastavení kliknutím na příslušné tlačítko dole
a kliknutím na tlačítko IMPORTOVAT (vlevo výše) se již poté stáhnou informace o uživatelích z daného adresáře do 2N® Access Commanderu (viz obrázek níže).
Importované uživatele naleznete ve sekci Uživatelé pod danou Společností 2N® Access Commanderu. - Vlevo nahoře můžete pod příslušnou kolonkou ověřit Stav posledního importu
a tlačítkem SMAZAT KONFIGURACI vlevo dole můžete danou LDAP-synchronizaci kompletně odstranit.
Jak naimportovat s uživatelem i identifikátor RFID karet či PIN-kód
- klikněte na tlačítko VLASTNÍ NASTAVENÍ UŽIVATELSKÉHO SCHÉMATU
Zde definujeme názvy atributů v adresáři, odkud se jednotlivé informace stahují. V případě karet či PIN-kódu musíme často použít políčko pro jinou položku,
jelikož v adresáři obvykle místo pro identifikátor karty či PIN-kódu není.
V následujícím příkladu je vidět, že pro identifikátor karty č.1 jsme použili v adresáři políčko Description a pro PIN-kód políčko Fax v detailu uživatele.
Abychom tedy mohli dané informace naimportovat, je třeba nastavit 2N® Access Commander, aby tyto informace hledal v daných políčkách detailu uživatele v adresáři:Názvy jednotlivých atributů (pro MS Active Directory) jsou pak popsány zde: https://docs.classic.secureauth.com/display/KBA/Active+Directory+Attributes+List )
Příklad:
PIN-kód jsme například v adresáři zadali pod položku uživatele "Fax" - název tohoto atributu v adresáři je: facsimileTelephoneNumber
Číslo karty #1 jsme například v adresáři zadali pod položku uživatele "Description" - název tohoto atributu v adresáři je: description
Pro druhou kartu je třeba zvolit v detailu uživatele samostatné políčko.
Jak synchronizovat členství ve skupiny pro importované uživatele
Please be informed, that this is not an import of the groups from the LDAP directory, this is only a Synchronization of the membership, you need to manually create those groups in your Access Commander database. This was done to prevent importing all unnecessary groups, that are not tied with accesses of the users (e-mail groups etc.)
- If you have done all of the steps above, you now should have users in your database with their accesses, phone numbers etc.
Now you can create groups in the Access Commander, keep in mind that the name of the group is case sensitive and must be exactly the same as you use in your remote directory.
After you create all the necessary groups, you need to enable synchronization in the Access Commander and edit group schema settings according to your needs
Additional Group DN:
CN=<container_name_in_directory_containing_groups_of_users>
(do not insert BaseDN as it will be automatically used according to the LDAP schema set in previous steps)
Group Filter:
In our example, we used a filter for MS Active Directory (&(objectClass=group)(member=*)), thereby synchronizing the users with groups that have "group" in the "objectclass" attribute and "member" in the "objectcategory" attribute and they are also simultaneously created in the Access Commander.
The default Group Name ("cn") and Group Member ("member") above may apply only to MS Active Directory, and in case of synchronisation from other directories, those that differ must be adjusted according to the given directory.Now you can import the LDAP settings and check if everything is properly synchronized and the users are assigned to the correct groups