Esimerkkejä LDAP-asetuksista
Päivitetty viimeksi: 7.4.2020
Tässä ohjeessa on esitelty Primuksen Koulun tiedot -rekisterin LDAP-asetukset-kenttään tehtävät LDAP-asetukset. Ohjeessa on myös esimerkkejä LDAP:n käytöstä.
Eri käyttäjätyyppien määritykset syötetään erikseen, koska on mahdollista, että opiskelijoille ja henkilökunnalle käytetään eri LDAP-palvelimia. Wilma-käyttäjätkin voidaan tunnistaa kahdella eri tavalla, riippuen aktiivihakemiston rakenteesta.
Huom. Tässä ohjeessa olevat esimerkkikonfiguroinnit ja aktiivihakemiston viittaukset tulee muuttaa vastaamaan oman organisaationne rakennetta. LDAP:n käyttöönottoa kannattaa testata erillisen testi-Primuksen avulla, ei tuotantokannassa.
Alla on listattu käytettävissä olevat asetukset ja niiden selitykset. Käytettävät asetukset riippuvat siitä, ovatko käyttäjät samassa organisaatioyksikössä vai ei, eli toteutustapoja asetuksille on kaksi.
TAPA 1. LDAP:n dn-määritys on systemaattinen (kaikki käyttäjät löytyvät täsmälleen samasta organisaatioyksiköstä (OU):
Host= Aktiivihakemiston_palvelimen_ip_osoite
Port=63
Dn=cn=$USERNAME,ou=users,dc=domain,dc=fi
TAPA 2. LDAP:n dn-määritys vaihtelee (käyttäjät sijaitsevat useissa eri organisaatioyksiköissä):
Host=Aktiivihakemiston_palvelimen_ip_osoite
Port=636
MainDn=CN=hakunimi,OU=palvelutunnukset,DC=domain,DC=fi
MainPasswd=hakutunnuksen_salasana
Search=(mail=$USERNAME@domain.fi)
SearchBase=OU=users,DC=domain,DC=fi
SearchScope=2
Lisäksi voi laittaa asetuksen Type=AD, jos käyttäjähakemistona on MS Active Directory. Muussa tapauksessa jätä asetus pois.
Asetusten selitykset
Host on aktiivihakemiston palvelimen IP-osoite.
Port on käytettävä portti eli 636 (palomuurissa pitää olla sallittuna virtuaalipalvelimelta yhteys ko. porttiin).
MainDn-rivillä voidaan käyttää Windows AD -ympäristössä myös DOMAIN\userid-arvoja, esimerkiksi:
- MainDn=DOMAIN\ldap.tunnus, jossa DOMAIN on Windows-toimialue ja ldap.tunnus on AD:ssa oleva käyttäjätunnus.
OU-määritykset eli organisaatioyksiköiden nimet on laitettava vastaamaan oman aktiivihakemistonne rakennetta. Huomaa, että aktiivihakemiston puuta luetaan takaperin eli alaoksista kohti runkoa. Toimialueen nimen muodostavien osien nimet kirjoitetaan DC-määrityksin niinikään pienimmästä suurimpaan. Siis esimerkiksi: MainDn=CN=hakunimi,OU=ryhma,OU=joukkue,OU=komppania,DC=yritys,DC=fi
Search-kenttään kirjoitetaan se tieto, johon käyttäjän syötettä verrataan.
- Yleinen tapa on verrata syötettä käyttäjän aktiivihakemistossa olevaan sähköpostiosoitteeseen (General-välilehdellä kenttä E-mail).
- Toinen yleinen tapa on verrata käyttäjän syötettä aktiivihakemistossa olevaan käyttäjätilin nimeen (Account-välilehdellä kenttä User logon name (pre-Windows 2000)). Tällöin konfiguroinnin rivi muutetaan muotoon Search=(samAccountName=$USERNAME).
- Mikäli käyttäjän syötettä halutaan verrata johonkin muuhun AD:ssa olevaan tietoon, voi lisätietoja pyytää aktiivihakemiston palvelimen ylläpitäjältä.
- OpenLDAP:ssa samAccountname ei toimi, joten sitä käyttäessänne uid:n pitäisi vastata tätä.
SearchBase-kenttään puolestaan kirjoitetaan sen organisaatioyksikön polku, josta Primus-käyttäjiä lähdetään etsimään. Jos tätä ei tehdä, LDAP käy läpi koko aktiivihakemiston puun. Suurissa organisaatioissa tämä lisää haun vasteaikaa huomattavasti.
SearchScope-määrityksellä voidaan rajata LDAP-hakua. Numero 2 tarkoittaa, että koko kyseinen haara kaikkine alihaaroineen käydään läpi.
Ylläolevista esimerkeistä tapa 2 tekee ensin LDAP-haun ja vasta sitten sidonnan (bind) haun palauttamalla dn-määrityksellä. Eri käyttäjien organisaatioyksikköhän voi vaihdella ja täten dn:kin vaihtelee. LDAP-haun tekemistä varten AD:hen kirjaudutaan MainDn- ja MainPasswd-tunnuksilla (siis hakutunnuksella ja hakutunnuksen salasanalla).
Dn- ja Search-määrityksissä voi käyttää hyväksi Primuksessa olevaa tietoa:
- $USERNAME = käyttäjän syöttämä käyttäjätunnus
- $EMAIL = käyttäjän sähköpostiosoite
Primus-käyttäjien LDAP-asetukset
Primus-käyttäjien eli hallintohenkilöstön LDAP-asetusten määritykset tehdään ilman numeroa (esim. Host=, Port=...) viittaavat Primuksen Käyttäjätunnukset-rekisteriin. Niitä tarvitaan, jotta Primuksen hallintokäyttäjät sekä Wilman yleistunnus pystyvät kirjautumaan Primukseen.
Wilma-käyttäjien LDAP-asetukset
Wilma-käyttäjien eli opiskelijoiden, opettajien ja henkilökunnan LDAP-asetusten määritykset tehdään numeroituna. Opiskelijat-rekisteristä löytyvillä käyttäjillä numero on 1 (esim. Host1=, Port1=...). Opettajat-rekisteristä löytyvillä 2 (esim. Host2=, Port2=...) ja Henkilökunta-rekisteristä löytyvillä 3 (esim. Host3=, Port3=...).
Numeroituja määrityksiä ei luonnollisesti tarvitse tehdä, jos vain Primusta käyttävä hallintohenkilöstö halutaan tunnistaa aktiivihakemistosta. Jos taas Primuksen hallintohenkilöstön lisäksi esim. vain opiskelijat halutaan tunnistaa aktiivihakemistosta, jätetään opettajien ja henkilökunnan numeroidut määritykset tekmättä.
Alla on esimerkki asetuksista, kun Primusta käyttävän hallintohenkilöstön lisäksi LDAP-tunnistus koskee Wilmaa käyttäviä oppilaita.
Tapa 1. LDAP:n dn-määritys systemaattinen (kaikki käyttäjät löytyvät täsmälleen samasta organisaatioyksiköstä (OU)
Host=hallinto_aktiivihakemistopalvelimen_ip_osoite
Port=636
Dn=CN=$USERNAME,ou=hallinto,dc=domain,dc=fi
Host1=oppilas_aktiivihakemistopalvelimen_ip_osoite
Port1=636
Dn1=CN=$USERNAME,ou=oppilaat,dc=domain,dc=fi
Tapa 2. LDAP:n dn-määritys vaihtelee (käyttäjät sijaitsevat useissa eri organisaatioyksiköissä)
Host=hallinto_aktiivihakemistopalvelimen_ip_osoite
Port=636
MainDn=CN=hakunimi,OU=palvelutunnukset,DC=domain,DC=fi
MainPasswd=hakutunnuksen_salasana
Search=(samAccountName=$USERNAME)
SearchBase=OU=hallinto,DC=domain,DC=fi
SearchScope=2
Host1=oppilas_aktiivihakemistopalvelimen_ip_osoite
Port1=636
MainDn1=CN=oppilashakunimi,OU=palvelutunnukset,DC=domain,DC=fi
MainPasswd1=oppilashakutunnuksen_salasana
Search1=(samAccountName=$USERNAME)
SearchBase1=OU=oppilaat,DC=domain,DC=fi
SearchScope1=2
Huom. Jos käytetään vain yhtä aktiivihakemistopalvelinta, yksi hakutunnus riittää.
Dn- ja Search-määrityksissä voi käyttää hyväksi Primuksessa olevaa tietoa:
- $USERNAME = käyttäjän syöttämä käyttäjätunnus
- $EMAIL = käyttäjän sähköpostiosoite
- $CRYPTID = käyttäjän salattu henkilötunnus
- $AD-USERNAME = käyttäjän kuntalaisverkon aktiivihakemiston tunnus
Huom. MainDn=CN=hakunimi on AD:ssa oleva nimi eikä tunnus (userid)
Alla on esimerkki asetuksista, kun Primusta käyttävän hallintohenkilöstön lisäksi LDAP-tunnistus koskee Wilmaa käyttäviä oppilaita, opettajia ja henkilökuntaa. Esimerkissä hallintokäyttäjät ja oppilaat haetaan osoitteesta 192.168.0.1 ja opettajat ja henkilökunta osoitteesta 192.168.0.2.
Esimerkkiasetukset
#Primuksen_hallintokayttajat_ja_wilman_primustunnus
Host=192.168.0.1
Port=636
MainDn=CN=hakunimi,ou=palvelutunnukset,dc=domain,dc=fi
MainPasswd=hakutunnuksen_salasana
Search=(samAccountName=$USERNAME)
SearchBase=ou=hallinto,dc=domain,dc=fi
SearchScope=2
#Oppilaat
Host1=192.168.0.1
Port1=636
MainDn1=CN=hakunimi,ou=palvelutunnukset,dc=domain,dc=fi
MainPasswd1=hakutunnuksen_salasana
Search1=(samAccountName=$USERNAME)
SearchBase1=ou=Oppilaat,dc=domain,dc=fi
SearchScope1=2
#Opettajat
Host2=192.168.0.2
Port2=636
MainDn2=CN=hakunimi,ou=palvelutunnukset,dc=domain,dc=fi
MainPasswd2=hakutunnuksen_salasana
Search2=(samAccountName=$USERNAME)
SearchBase2=ou=Opettajat,dc=domain,dc=fi
SearchScope2=2
#Henkilokunta
Host3=192.168.0.2
Port3=636
MainDn3=CN=hakunimi,ou=palvelutunnukset,dc=domain,dc=fi
MainPasswd3=hakutunnuksen_salasana
Search3=(samAccountName=$USERNAME)
SearchBase3=ou=Henkilokunta,dc=domain,dc=fi
SearchScope3=2
Huom. MainDn=CN=hakunimi on AD:ssa oleva nimi eikä tunnus (userid)