LDAP:n käyttöönotto

LDAP

Päivitetty viimeksi: 20.12.2022

Aktiivihakemistosta voidaan tunnistaa Primusta ja Kurrea käyttävät hallintokäyttäjät sekä Wilmaa käyttävät opiskelijat, opettajat ja henkilökunnan. LDAP-asetukset ovat käyttäjäryhmäkohtaisia eli aktiivihakemiston käyttö voidaan rajata koskemaan esim. vain hallintohenkilöstöä.

Tässä ohjeessa on kuvattu valmistelut, joita LDAP:n käyttöönotto edellyttää.

Huom. Käyttäjien tunnistus AD-hakemistosta edellyttää salatun yhteyden eli LDAPS:n käyttöä.

Palomuurissanne tulee olla sallittu osoitteesta nat-adgateway.service.inschool.fi pääsy porttiin 636 tai 389 ja AD-hakemiston julkiseen IP-osoitteeseen.

Jotta Primus-käyttäjien tunnistus aktiivihakemistosta olisi mahdollista heidän syöttäessään kirjautumisikkunaan tunnuksensa, on Primuksella oltava pääsy aktiivihakemistoon. Tämä tapahtuu luomalla aktiivihakemistoon tätä tarkoitusta varten oma hakutunnus.

Toimialueen päätason alle luodaan esim. palvelutunnukset-niminen organisaatioyksikkö (OU), jonka alle luodaan esim. hakutunnus-niminen user. Hakutunnukselle ei tarvitse luoda sähköpostilaatikkoa tai antaa oikeuksia. Hakutunnuksen salasanan voimassaoloaika kannattaa kuitenkin määrittää päättymättömäksi.

Hakutunnuksen tunnistaminen aktiivihakemistosta voidaan tehdä lukuisien eri tietojen avulla, esim. Full Name -kentän (attribuutti CN eli Common Name) avulla. Mikäli tunnistaminen halutaan tehdä jonkin muun tiedon perusteella, on hakutunnuksen vastaavat kentät oltava aktiivihakemistossa täytettyinä. Lisätietoja voit kysyä aktiivihakemistonne palvelimen ylläpitäjältä.

Ennen LDAP-asetusten tekoa Primukseen rasti pääkäyttäjän kortille Primuksen Käyttäjätunnukset-rekisterissä kenttä Älä käytä LDAP-tunnistusta. Näin kirjautuminen Primukseen onnistuu, vaikka LDAP-autentikointi ei onnistuisi.

Sama kenttä kannattaa rastia käyttöönoton ajaksi muidenkin Primus-käyttäjien korteille sekä pysyvästi niille käyttäjätunnuksille, joita ei haluta hakea aktiivihakemistosta. Kaikki käyttäjät tunnistetaan vielä tässä vaiheessa Primuksen kautta sisäisesti.

Wilman yleistunnus on Wilman ja Primuksen välisen tiedonvaihdon mahdollistava tunnus.

  • Avaa Primuksen Käyttäjätunnukset-rekisteristä löytyvän Wilman yleistunnuksen rekisterikortti ja rasti kenttä Älä käytä LDAP-tunnistusta.
  • Varmista, että Kotikoulu-kenttä on tyhjä, jos käytössä on multiPrimus. Muutoin vain kenttään merkityn koulun käyttäjien autentikoituminen onnistuu.

LDAP-asetukset syötetään Koulun tiedot -rekisteriin kenttään LDAP-asetukset. Asetuksia voi tarvittaessa muuttaa Primuksen serverin ollessa käynnissä. Asetukset ovat koulukohtaisia, eli koulut voivat myös käyttää eri LDAP-palvelimia. Asetukset toimivat vain niillä kouluilla, joiden korteille asetukset on syötetty.

Ohjeessa Esimerkkejä LDAP-asetuksista on selitetty yksittäisten LDAP-asetusten merkitys. Ohjeessa on myös esimerkkejä asetusten kirjaamisesta.

Kun LDAP-asetukset on tehty, täytyy niille Primus-käyttäjille, joiden halutaan tunnistuvan jatkosa aktiivihakemistosta, tehdä seuraavat toimenpiteet Primuksen Käyttäjätunnukset-rekisterissä:

  • Avaa henkilön rekisterikortti.
  • Muuta hänen käyttäjätunnuksensa vastaamaan aktiivihakemistossa määriteltyä tunnusta. Yleisimmin käytetty muoto on etunimi.sukunimi. Salasanakenttiin ei tarvitse koskea, koska salasanat tarkistetaan jatkossa aktiivihakemistosta. Salasana- ja sen vahvistuskentällä ei normaalitilanteessa ole tässä rekisterissä enää mitään käyttöä.
  • Poista rasti kentästä Älä käytä LDAP-tunnistusta. Tällöin autentikointi suoritetaan jatkossa LDAP:lla.

Tee sama kaikille käyttäjille, jotka halutaan tunnistaa aktiivihakemistosta.

Huom. Ylläpitotunnuksille pitää rasti kuitenkin jättää, jotta ylläpitäjä pääsee kirjautumaan Primukseen, jos aktiivihakemiston palvelin kaatuu tai verkkoyhteys siihen katkeaa.

Tämä toiminto liittyy syksyn 2022 AD-uudistukseen. Testauksen avulla voit käytännössä varmistaa, että AD-uudistuksen vaatima palomuuriyhteys on kunnossa.

Koulun tiedot -rekisterissä on toiminto, jolla voi testata, toimiiko Primuksen ja asiakkaan LDAP/AD-palvelun välinen yhteys:

  • Avaa Koulun tiedot -rekisteri ja valitse korttilistasta oppilaitokset, joiden osalta haluat tarkistaa yhteyden toimivuuden.
  • Valitse ylävalikosta Lisätoiminnot / Tarkista LDAP gateway -yhteys.
  • Primus näyttää yhteenvedon kouluittain ja käyttäjätyypeittäin:
    • OK = yhteys toimii
    • ERROR = yhteys ei toimi (palomuuriyhteyttä ei ole sallittu)
    • - (tyhjä) = LDAP-määrityksiä ei ole tehty

Huom. Jos Koulun tiedot -rekisterin arkistoiduilla korteilla on täytettynä LDAP-asetukset-kenttä, niin tyhjää kenttä niiltä korteilta. Muuten Primuksen pääikkunan alareunassa saattaa näkyä virheilmoitus LDAP-yhteysongelmasta, vaikka aktiivisilla kouluilla LDAP gateway -yhteys toimisikin. Ilmoituksen saa kentän tyhjäyksen jälkeen pois valitsemalla rekisterikorttilistasta kaikki kortit (myös arkistoidut) ja tekemällä edellä ohjeistetun LDAP gateway -yhteyden tarkistuksen, kunhan aktiivilla kouluilla on LDAP-asetukset ja palomuuriyhteys kunnossa.

Oletuksena Wilma estää käyttäjää vaihtamasta salasanaansa, jos käyttäjän Wilma-tunnus tarkistetaan aktiivihakemistosta. AD-salasanan vaihdon voi kuitenkin sallia Wilmassa, ks. ohje AD-salasanan vaihto Wilmassa.

Palvelin- tai verkkoyhteyskatkokset

Jos aktiivihakemiston palvelin kaatuu tai verkkoyhteys siihen katkeaa ja kyse on pidemmästä aktiivihakemiston palvelimen toimintakatkosta, voi ylläpitäjä kirjautua Primukseen, valita Käyttäjätunnukset-rekisterissä kaikki käyttäjät ja rastia Älä käytä LDAP-tunnistusta -kentän. Tällöin muutkin käyttäjät tunnistetaan jälleen Primuksen kautta ja ohjelman käyttö voi jatkua. Huomaa, että tällöin käyttäjien pitää jälleen käyttää Primukseen määriteltyjä salasanoja.

Kun aktiivihakemiston palvelin on jälleen tavoitettavissa, voi rastin poistaa muilta käyttäjiltä, jolloin nämä tunnistetaan taas aktiivihakemistosta.