LDAP und AD Import

Folgen

Die Anbindung von Just Social an ein LDAP- oder AD-System basiert einerseits auf dem Import von Profildaten und andererseits auf dem Login über LDAP/AD.

Um dies initial einzurichten, benötigen wir folgende Informationen. Bitte ergänze an den mit "==> ?" markierten Stellen die Werte eures Systems und sende uns die Angaben an support@just.social 

LDAP-Zugangsdaten

  • Natürlich muss der LDAP-Server vom Just Social-Server (direkt oder per permanentem Client-to-Site VPN) erreichbar sein. (Bei Cluster-Installationen von jedem Application-Server)
  • Username (bitte den vollständigen dn) und Passwort für einen Nutzer, der lesenden Zugriff auf alle zu importierenden User und Gruppen hat (das Passwort kann gerne per Telefon an uns durchgegeben werden).
  • URL des LDAP-Servers ==> ?
  • Port des LDAP-Servers ==> ?
    • default: 389
  • Base-DN, unter dem die Nutzer liegen ==> ?
    • z.B. "OU=User,OU=Abteilung,DC=Firma,DC=local"
  • Einen Filter, mit dem wir die Nutzer herausfiltern können, die importiert werden sollen ==> ?
    • z.B. "(objectClass=person)" , ggf. Einschränkung auf Mitglieder einer Gruppe, z.B. "(&(objectClass=person)(memberOf=cn=just-social-users,ou=users,dc=FIRMA,dc=de)"

Import von Profilfeldern

Pflichtfelder

Just Social benötigt für den Import folgende Pflichtfelder (mit Datentyp inkl. max. Länge):

  • Eindeutige und unveränderliche ID im Directory ==> ?
    • default ist: objectGUID in Active Directory, entryUUID in openLdap
  • Vorname (String(50)) ==> ?
    • default ist: givenName
  • Nachname (String(100)) ==> ?
    • default ist: sn
  • Email (String(100)), muss für alle importieren Nutzer eindeutig sein ==> ?
    • default: mail 

Optionale Felder

Es ist möglich, weitere Profilfelder zu importieren, z.B. Telefonnummer. Hier müssten wir wissen, welche Attribute aus dem LDAP (Bezeichnung im LDAP) in welche Felder in Just Social importiert werden sollen.

Die Liste ist nach folgendem Muster aufgebaut:

  • Bezeichnung im Interface von Just Social --> technische Bezeichnung in Just Social ==> Bezeichnung im LDAP
  • Telefon 1 --> person.dynamic.tel ==> ?
  • Telefon 2 --> person.dynamic.Telefon2 ==> ?
  • Mobil --> person.dynamic.mobile ==> ?
  • Fax --> person.dynamic.fax ==> ?
  • Abteilung --> person.dynamic.Abteilung ==> ?
  • Straße und Hausnummer --> person.dynamic.street ==> ?
  • PLZ --> person.dynamic.plz ==> ?
  • Ort --> person.dynamic.city ==> ?

Deaktivieren von Profilen in Just Social

Aus dem Unternehmen ausscheidende Mitarbeiter können beim Import deaktiviert werden. Sie sind dann nicht mehr im System auffindbar (außer für System Administratoren), ihr Account wird aber nicht gelöscht.
Sofern ein Active Directory verwendet wird, wird der Status des Nutzers über das Deactivated-Flag im Attribut UserAccountControl importiert.
Damit der Nutzer beim Import deaktiviert werden kann, muss der Nutzer nach Deaktivierung mindestens einmal noch importiert werden, d.h. im genutzten Importfilter auffindbar sein. Es ist aktuell nicht möglich, automatisiert Nutzer in Just Social zu deaktivieren, wenn diese im Directory gelöscht wurden oder in einen nicht importierten Pfad verschoben wurden.

Importzeitpunkt

Der Import erfolgt nächtlich einmal um 3 Uhr. Die über LDAP importierten Profile sind direkt nach dem Import aktiv, d.h. Nutzer der importierten Profile können sich unmittelbar nach dem erfolgreichen Import einloggen und sind in der Suche auffindbar.

Import von Abos und ggf. Mitgliedschaften

Da die benötigten Abos und Mitgliedschaften mit dem Projektteam abgesprochen werden müssen, melden wir uns noch einmal wenn wir den Rest eingerichtet haben.

Verbindung des Just Servers mit dem LDAP

Der Just Server muss mittels des LDAP Protokolls (Port 389 oder 636) mit dem AD/LDAP Server kommunizieren können.

Wenn der Just Server beim Kunden gehostet ist muss dieser Port intern zum AD/LDAP Server frei geschaltet werden.

Wenn der Just Server von Just Social und der AD / LDAP Server beim Kunden intern gehostet wird, gibt es 3 Möglichkeiten eine Verbindung sicherzustellen.

  1. ipsec Site-to-Site Verbindung (präferierte Lösung)
  2. OpenVPN Client-to-Site Verbindung
  3. Port Forwarding mit einer festen Source IP

Zu 1) (präferierte Lösung) Der Just Server baut in diesem Fall mittels ipsec eine Site-to-Site Verbindung mit folgenden Parametern zum Kundennetzwerk auf. Diese müssen ebenfalls auf Kundenseite eingestellt werden:

ipsec_remote_host ==> ? (IP der Kunden IPSec Gegenstelle)
ipsec_remote_internal_host ==> ? (IP des AD-Servers)
ikev2 (ikev1 kann auf Wunsch auch eingestellt werden)
(P1)ipsec_ike: "aes256-sha2_256-modp2048!"
(P2)ipsec_esp: "aes256-sha2_256-modp2048!"
(P1)ipsec_ikelifetime: 1h
(P2)ipsec_lifetime: 8h
ipsec_dpddelay: 10
ipsec_dpdtimeout: 120
ipsec_local_ip: 172.16.1.28/32 (interne IP des Just Server.
Auf Wunsch kann eine andere IP eingestellt werden)
ipsec_external_ip: URL des Just Server.
Bsp: kundenname.just.social

An Ports wird nur der LDAP Port (389/636) benötigt.

Zu 2) Sollte Variante 1 nicht möglich sein, ist auch eine OpenVPN Client-to-Site Verbindung möglich. Hierfür benötigen wir von euch lediglich eine .ovpn Config Datei samt dazugehöriger Zertifikate oder Login Dateien um diese bei uns im openvpn Client zu importieren. Wichtig ist, dass im Tunnel NICHT eingestellt wird, dass sämtlicher Traffic durch den Tunnel geleitet wird. Dieses würde eure Internet Verbindung nur unnötig belasten.

zu 3) Die einfachste aber unsicherste Variante wäre ein Port Forwarding mit fester Source IP unseres Just Servers. In diesem Fall sollte auf jeden Fall LDAPS genutzt werden, da die Daten ansonsten komplett unverschlüsselt sind.

 

Nächste Schritte

Bitte teilt uns die mit ==> ? markierten Daten mit.

Bei Fragen dazu könnt ihr uns gerne über support@just.social kontaktieren.

 

0 von 0 fanden dies hilfreich

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.