Uppdaterad: 20.4.2021
Den här artikeln beskriver LDAP-inställningar som ska läggas till i fältet LDAP-inställningar i registret Information om skolan.Anvisningen innehåller även exempel på användningen av LDAP.
Olika typer av användare definieras separat, eftersom det är möjligt att läroanstalten använder skilda LDAP-servrar för studerande och personal. Man kan identifiera Wilmas användare på två olika sätt beroende på uppbyggnaden av katalogtjänsten.
Obs! Exempelkonfigureringar och referenser till katalogtjänsten ska ändras så att de motsvarar den egna organisationens struktur. Testa ibruktagningen av LDAP gärna med en separat test-Primus, inte i produktionsdatabasen.
Förklaringar av LDAP-inställningar
Nedan finns en förteckning över de inställningar som kan användas och förklaringar av dem. Vilka inställningar som kan användas beror på om användare är i samma organisationsenhet eller ej, dvs. det finns två olika metoder.
METOD 1. Definitionen av LDAP är systematisk (alla Wilma-användare finns i exakt samma enhet (OU):
Host= Katalogtjänst_serverns_ip_adress
Port=636
Dn=cn=$USERNAME,ou=users,dc=domain,dc=fi
METOD 2. Definitionen av LDAP varierar (Wilma-användarna hör till olika organisationsenheter):
Host=Katalogtjänst_serverns_ip_adress
Port=636
MainDn=CN=sökkriterium,OU=servicekoder,DC=domain,DC=fi
MainPasswd=sökkriteriets_lösenord
Search=([email protected])
SearchBase=OU=users,DC=domain,DC=fi
SearchScope=2
Inställningen Type=AD används om katalogtjänsten är MS Active Directory. I annat fall lämnas inställningen bort.
Förklaringar av inställningarna
Host är katalogtjänstens serverns IP-adress.
Port är portet som används, dvs. 636 (brandväggen ska tillåta förbindelsen från virtualservern till ifrågavarande portet.
MainDn-raden kan i Windows AD-miljön användas även för DOMAIN\userid-värden, till exempel:
- MainDn=DOMAIN\ldap.användarnamn, där DOMAIN är Windows verksamhetsort och ldap.användarnamn är användarnamnet i AD.
Namnen på organisationens enheter (OU) måste motsvara den egna organisationens uppbyggnad. Observera att katalogtjänsthierarkin läses baklänges, dvs. från den minsta till den största enheten. Verksamhetsortens namn skrivs likaså från den minsta till den största, t.ex.
MainDn=CN= sökkriterium, OU=grupp, OU=lag,OU=kompani, DC=företag, DC=fi
I Search-fältet skrivs den uppgift, med vilken man jämför den uppgift som användaren matar in.
- Ett vanligt alternativ är att jämföra den uppgift som användaren matar in med den e-postadress som finns i katalogtjänsten (General-mellanbladets fält E-mail).
- Ett annat alternativ är att jämföra den uppgift som användaren matar in med användarkontots namn (Account-mellanbladets fält User logon name (pre-Windows 2000)). I detta fall måste Search-fältets uppgift skrivas i formatet Search=(samAccountName=$USERNAME).
- Kontakta katalogtjänst-serverns underhållare om du vill använda någon annan uppgift som identifierande uppgift.
- I OpenLDAP fungerar inte samAccountname, så när man använder det borde uid motsvara detta.
I SearchBase -fältet skrivs enhetens sökväg. Den här sökvägen används när man söker Primus-användare. Om man inte anger någon sökväg går LDAP igenom katalogtjänstens hela hierarki. I en stor organisation förlänger detta svarstiden.
Med SearchScope kan man begränsa LDAP- sökningen. Nummer 2 innebär att hela hierarkin gås igenom.
Det senare alternativet ovan gör först en LDAP-sökning och kontrollerar sedan lösenordet på basen av dn-definitionen. Användarnas enhet kan variera och således varierar också DN. För att upprätta LDAP-sökningen måste man skriva in sig i katalogtjänsten med MainDn- och MainPasswd-användarlösen.
I Dn- och Search-definitionerna kan man använda de uppgifter som finns i Primus:
$USERNAME = användarens användarnamn
$EMAIL = användarens e-postadress
Definitioner med eller utan siffra
Primus-användarnas LDAP-inställningar
Definitioner för LDAP-inställningar för administrativ personal som använder Primus görs utan siffra (t.ex. Host=, Port=...) och de hänvisar till registret Användarnamn i Primus. De behövs för att Primus administrativa användare och Wilmas allmänna användarnamn kan logga in i Primus.
Wilma-användarnas LDAP-inställningar
Definitioner för Wilma-användarnas d.v.s. studerandenas, lärarnas och personalens LDAP-inställningar görs med siffror. Användare som finns i Studeranderegistret har siffra 1 (t.ex. Host1=, Port1=...). Användare i Lärarregistret har 2 (t.ex. Host2=, Port2=...) och i Personalregistret 3 (t.ex. Host3=, Port3=...).
Definitioner med siffra behöver man naturligtvis inte göra om man hämtar endast den administrativa personalen som använder Primus från katalogen. Om man utöver den administrativa personalen som använder Primus vill autentisera t.ex. endast studerande i katalogtjänsten, gör man inga definitioner med siffra för lärare och personal.
Exempel 1: inställningar för administrativ personal och studerande
I exemplet hämtas administratörerna som använder Primus och studerandena som använder Wilma från katalogtjänsten.
Alternativ 1. Definitionen av LDAP är systematisk (alla användare hör till samma organisationsenhet (OU)).
Host=administration_katalogtjänstens_ip_adress
Port=636
Dn=CN=$USERNAME,ou=administration,dc=domain,dc=fi
Host1=studerande_katalogtjänstens_ip_adress
Port1=636
Dn1=CN=$USERNAME,ou=studerande,dc=domain,dc=fi
Alternativ 2. Definitionen av LDAP varierar (användarna tillhör olika enheter)
Host=administration_katalogtjänstens_ip_adress
Port=636
MainDn=CN=sökkriterium,OU=verifieringsnyckel,DC=domain,DC=fi
MainPasswd=sökkriteriets_lösenord
Search=(samAccountName=$USERNAME)
SearchBase=OU=administration,DC=domain,DC=fi
SearchScope=2
Host1=studerande_katalogtjänstens_ip_adress
Port1=636
MainDn1=CN=studerandesökkriterium,OU=verifieringsnyckel,DC=domain,DC=fi
MainPasswd1=studerandesökkriteriets_lösenord
Search1=(samAccountName=$USERNAME)
SearchBase1=OU=studerande,DC=domain,DC=fi
SearchScope1=2
Obs! Ifall man använder endast en katalogtjänst, räcker ett användarlösen.
I Dn- och Search-definitioner kan man använda sig av den information som finns i Primus:
$USERNAME = användarens användarnamn
$EMAIL = användarens e-postadress
$CRYPTID = användarens krypterade personbeteckning
$AD-USERNAME = användarens katalogtjänst-lösen till kommunens nätverk
Observera att MainDn=CN=användarens söknamn motsvaras av det namn som finns i AD och inte av användarnamnet (userid).
Exempel 2: helhetskonfiguration
Nedan finns ett exempel på definitioner i en situation där LDAP-autentiseringen gäller den administrativa personal som använder Primus samt studerande, lärare och personal som använder Wilma. I exemplet hämtas administratörerna och studerandena från adressen 192.168.0.1 och lärarna samt personalen från adressen 192.168.0.2.
Exempeldefinitioner
#Primus_adminstratörer_och_wilmas_primuslösen
Host=192.168.0.1
Port=636
MainDn=CN=användarens söknamn,ou= verifieringsnyckel,dc=domain,dc=fi
MainPasswd=sökkriteriets_lösenord
Search=(samAccountName=$USERNAME)
SearchBase=ou=administration,dc=domain,dc=fi
SearchScope=2
#Studerande
Host1=192.168.0.1
Port1=636
MainDn1=CN=användarens söknamn,ou= verifieringsnyckel,dc=domain,dc=fi
MainPasswd1=sökkriteriets_lösenord
Search1=(samAccountName=$USERNAME)
SearchBase1=ou=studerande,dc=domain,dc=fi
SearchScope1=2
#Lärare
Host2=192.168.0.2
Port2=636
MainDn2=CN=användarens söknamn,ou= verifieringsnyckel,dc=domain,dc=fi
MainPasswd2=sökkriteriets_lösenord
Search2=(samAccountName=$USERNAME)
SearchBase2=ou=Lärare,dc=domain,dc=fi
SearchScope2=2
#Personal
Host3=192.168.0.2
Port3=636
MainDn3=CN=användarens söknamn,ou= verifieringsnyckel,dc=domain,dc=fi
MainPasswd3=sökkriteriets_lösenord
Search3=(samAccountName=$USERNAME)
SearchBase3=ou=Personal,dc=domain,dc=fi
SearchScope3=2
Observera att MainDn=CN=användarens söknamn motsvaras av det namn som finns i AD och inte av användarnamnet (userid).
