Ibruktagning av LDAP-protokoll

Er brandvägg ska tillåta förbindelse från nat-adgateway.service.inschool.fi till porten 636 eller 389 och till AD-katalogens offentliga IP-adress.

För att det skall vara möjligt att identifiera de uppgifter som en användare skriver i inloggningsfönstret i Primus med katalogtjänst måste Primus ha kontakt med katalogtjänsten. För detta krävs att man i katalogtjänsten skapar ett eget sökkriterium för detta.

Under huvudnivån skapas det en organisationsenhet (OU), som heter t.ex. servicekoder. Under den skapar man en user med t.ex. namnet sökkriterium. Man behöver inte upprätta en e-postadress eller ge användarrättigheter till detta sökkriterium. Det är dock bra att ställa in att detta sökkriterium aldrig ska föråldras.

Identifieringen av användaren i katalogtjänsten kan ske på olika sätt. Exempelvis sker identifieringen på basen av fältet Full Name (attribut CN dvs Common Name). Om man vill att identifieringen sker på basen av någon annan uppgift måste dessa uppgifter vara ifyllda i katalogtjänsten. Tilläggsuppgifter fås av de personer som upprätthåller katalogtjänst-servern i er läroanstalt.

Innan man ändrar på LDAP-inställningarna ska man på huvudanvändarens kort i Primus Användarnamn-register kryssa i Använd inte LDAP-identifiering för att det ska vara möjligt att logga in i Primus även om LDAP-autentiseringen skulle misslyckas.

Samma fält ska ikryssas för alla andra Primusanvändares registerkort när LDAP tas i bruk samt permanent för de användarnamn som man inte vill hämta från katalogtjänsten. Detta innebär att alla användare ännu i detta skede igenkänns internt i Primus.

Wilmas allmänna lösen det Primus-användarlösen som Wilma använder.

• Välj registerkortet för Wilmas allmänna lösen i Primusregistret Användarnamn och kryssa i fältet Använd inte LDAP-identifiering.
• Kontrollera att fältet Hemskola är tomt om ni har multiPrimus. Om en skola definierats, fungerar lösenordet endast för användarna vid denna skola.

LDAP-inställningarna matas in i fältet LDAP-inställningar i registret Information om skolan. När inställningarna finns i registret Information om skolan kan inställningarna ändras även då Primus-servern är i gång. Inställningarna är skolspecifika, dvs. skolorna kan också använda separata LDAP-servrar. Inställningarna fungerar endast vid de skolor på vilkas kort inställningarna finns inmatade.

I anvisningen Exempel på LDAP-inställningar har vi förklarat vad de enskilda LDAP-inställningarna betyder. Anvisningen innehåller också exempel på hur man antecknar inställningarna.

När LDAP-inställningar är gjorda, ska man i registret Användarnamn göra följande åtgärder för de Primus-användare, som i fortsättningen ska igenkännas med hjälp av katalogtjänsten:

• Öppna personens registerkort.
• Ändra användarnamnet så att det motsvarar det användarnamn som definierats i katalogtjänsten. Den vanligaste formen är antagligen förnamn.efternamn. Eftersom lösenorden kontrolleras via katalogtjänsten behöver man inte göra ändringar i fälten för lösenord i Primus. Fälten Lösenord och Upprepa lösenordet har alltså i praktiken inte någon betydelse i detta fall.
• Kryssa av Använd inte LDAP-identifiering–fältet. Nu identifieras användaren med LDAP från katalogtjänsten.

Gör samma för alla användare som ska igenkännas med hjälp av katalogtjänsten.

Obs! För underhållets användarnamn lönar det sig att lämna ovan nämnda fält ikryssat. Då kan underhållet logga in i Primus även om katalogtjänst-servern kraschar eller förbindelsen till servern bryts.

Den här egenskapen gäller AD-uppdateringen som görs hösten 2022. Genom att utföra testet kan du försäkra dig om att er brandväggsförbindelse är i skick.

Med en egenskap som finns i Information om skolan kan man testa förbindelsen mellan Primus och kundens LDAP/AD:

• Öppna Information om skolan och välj i kortlistan de läroanstalter som ska ingå i testet.
• Välj Tilläggsfunktioner / Kontrollera LDAP gateway-förbindelsen.
• I Primus visas ett sammandrag enligt skola och användartyp:
  • OK = förbindelsen fungerar
  • ERROR = förbindelsen fungerar inte (inte tillåten i brandväggsinställningarna)
  • - (tom) = LDAP-definitionerna saknas

OBS! Om det i Information om skolanfinns arkiverade kort som har LDAP-inställningar-fältet ifyllt, så töm fältet för dessa kort. Annars kan det nertill i Primus huvudruta förekomma ett felmeddelande om LDAP-förbindelseproblem, även då LDAP gateway fungerar på aktiva skolor. Efter att du har tömt fältet kan du kvittera bort felmeddelandet genom att välja alla kort i registerkortlistan (också de arkiverade) och genomföra LDAP gateway-förbindelsekontrollen som beskrivs ovan, såvida de aktiva skolorna har LDAP-förbindelserna och brandväggen i skick.

Den förvalda inställningen är att användarna inte kan byta sitt lösenord då deras Wilma-lösenord kontrolleras i katalogtjänsten (AD). Det är dock möjligt att tillåta byte av AD-lösenord i Wilma, se då anvisningen Byte av AD-lösenord i Wilma.

Avbrott i server- eller nätverksförbindelser

Om katalogtjänst-servern kraschar eller förbindelsen till servern bryts och det är fråga om ett längre driftsavbrott, kan underhållaren logga in i Primus, välja alla användarnamn i Användarnamn-registret och återställa krysset i Använd inte LDAP-identifiering–fältet. Då identifieras användarna internt och alla användare kan fortsätta arbeta med Primus. Observera att alla användare måste då igen använda de lösenord som finns i Primus.

När katalogtjänst-servern är igång igen kan man kryssa ur Använd inte LDAP-identifiering–fältet, varvid användarna igen identifieras med hjälp av katalogtjänsten.