LDAP-Authentifizierung

Bei dieser Anmeldeart wird ein LDAP-Server zur Authentifizierung verwendet. Die Liste der URLs stellt eine Verbindung zur gleichen replizierten LDAP-Umgebung auf verschiedenen Servern dar. Die Liste wird von oben nach unten geprüft, wenn ein Server nicht erreichbar ist, z.B. aufgrund von Updates.

LDAP-Server werden automatisch im DNS der aktuellen Domäne mit den Schlüsseln _ldap._tcp.<domain> und _ldaps._tcp.<domain> gesucht, wenn die Liste leer gelassen wird.

Beispielhafte Anmelde-URLs sehen so aus: ldap://MyLdapServer:389/ oder ldaps://MyLdapServer:636/ (mit SSL).

Der Authentifizierungsanbieter unterstützt sowohl das Active Directory LDAP- als auch das OpenLDAP v3-Backend. Ein AD-Backend authentifiziert Benutzer automatisch, während OpenLDAP die folgenden Filter verwendet: 

# OpenLDAP Suchfilter für Benutzer
(&(objectClass=person)(uid=<username>))

Benutzergruppen werden anhand der Attribute memberOf und primaryGroupId eines Benutzers ermittelt, d.h. die Gruppen eines Benutzers werden erst nach erfolgreicher Authentifizierung ermittelt. Die Suchanfrage für Benutzer, die zum Laden der verfügbaren Rollen verwendet wird, enthält auch einen Filter für AD: 

# AD / OpenLDAP Suchfilter um Benutzergruppen zu bestimmen
(|(&(objectCategory=person)(sAMAccountName=<username>))(&(objectClass=person)(uid=<username>)))

Standard-Domäne

Die Standard-Domäne wird in Windows-Umgebungen verwendet, um diesen dem Benutzernamen bei der Authentifizierung in der Form <WINDOWS DOMAIN NAME>\<Benutzername> voranzustellen. Es ermöglicht die Anmeldung von Benutzern gegenüber einer Windows-Domäne, ohne dem Benutzernamen dieses Domäne voranstellen zu müssen.

  • Standardwert: leer

Binding Benutzer / Binding Passwort

Der Binding Benutzer und das Passwort können erforderlich sein, um nach Benutzereinträgen im AD / OpenLDAP zu suchen, die keine anonyme Bindung erlauben. Der Binding Benutzer muss in DN-Notation angegeben werden, z.B. cn=service,dc=mydomain,dc=local.

  • Standardwert: leer (anonyme Authentifizierung)

Basis DN

Der Basis DN ist eine erweiterte Option und erlaubt es, einen Distinguished Name zu setzen, der als Suchbasis für Benutzer und Gruppen verwendet werden soll.

  • Standardwert: leer (wird automatisch ermittelt)

Benutzer RDN

Der Benutzer RDN ist eine erweiterte Option und erlaubt es, einen Distinguished Name relativ zum Basis-DN zu setzen, der als Suchbasis für Benutzer verwendet werden soll.

  • Standardwert: leer (Basis DN wird verwendet)

Gruppen RDN

Die Gruppen RDN ist eine erweiterte Option und erlaubt es, einen Distinguished Name relativ zum Base DN zu setzen, der als Suchbasis für Gruppen verwendet werden soll.

  • Standardwert: leer (Basis DN wird verwendet)