Ansichten:

Frage:
Wie ist es Möglich einen LDAP-Zugriff auf ein Novell eDirectory über den Port 389 einzurichten?
Benutzer sollen aus einem Novell eDirectory in das DocuWare System importiert werden.

Antwort:
Am Novell Server

 

  1. Gruppe für DocuWare Benutzer im eDirectory anlegen.

    Figure 1: Gruppe für DocuWare Benutzer anlegen

     
  2. Benutzer der DocuWare Gruppe hinzufügen


    Figure 2: Benutzer der DocuWare Gruppe hinzufügen

     
  3. ProxyUser anlegen (Nur für die Verbindung über den Port 389)
    eDirectory erlaubt prinzipiell eine anonyme Anmeldung von LDAP-Clients über den Port 389. In der Voreinstellung hat dabei der LDAP-Client die Zugriffsrechte, die für das Objekt [Public] im eDirectory eingetragen sind. In der Voreinstellung verfügt [Public] über das Recht Browse auf dem gesamten Baum.

    Für die Benutzersynchronisation muss dem anonymen Benutzern auf die DocuWare Gruppe weitergehender Zugriff eingeräumt werden. Dafür muss ein gesondertes Benutzerkonto angelegt werden. Dieses Benutzerkonto muss dann, als so genannter ProxyUser, für den anonymen LDAP-Zugriff eingetragen werden. Dieses Konto darf kein Passwort erfordern, damit ein anonymer Zugang möglich ist. Es muss ferner darauf geachtet werden, dass dieses Benutzerkonto auch kein Passwort einrichten kann, da der anonyme Zugang sonst blockiert werden könnte.


    Figure 3: Benutzerkonto ProxyUser anlegen


    Figure 4: Benutzerkonto ProxyUser ohne Passwortanforderung konfigurieren.


    Figure 5: Benutzerkonto ProxyUser Zugriffsrechte auf DocuWare Gruppe erteilen.


    Figure 6: Benutzerkonto ProxyUser im LDAP Group Objekt freigeben.


    Figure 7: Die ACL* der LDAP Services für NDS im LDAP Server Objekt festlegen

    Die Konfiguration der LDAP Services für NDS wird über die Eigenschaften ("Properties") der beiden Objekte LDAP Group (Figur 3) und LDAP Server (Figur 4) festgelegt. Die Einstellung ist anhand der erarbeiteten Sicherheitsstrategie vorzunehmen.

     
  4. Konfiguration des LDAP-Zugriffes prüfen
    eDirectory bietet die Möglichkeit, die innerhalb von LDAP verwendeten standardisierten Objektklassen auf andere im eDirectory intern verwendete Objektklassen abzubilden. Diese Eigenschaft wird relevant, wenn LDAP-Clients bei der Suche standardisierte LDAP-Objektklassen verwenden, die entsprechenden Daten sich jedoch in Attributen von eDirectory-Objektklassen mit anderen Namen befinden. Bei der erstmaligen Verwendung von LDAP-Clients oder bei Änderungen des eDirectory-Schemas sollte daher überprüft werden, ob die Abbildung der LDAP-Objektklassen auf eDirectory-Objektklassen schlüssig ist und die verwendeten LDAP- Applikationen damit korrekt funktionieren.


    Figure 8: Eigenschaften der LDAP Group

Wichtige Informationen:
In den LDAP Services for NDS für Netware 4.11 ist leider nur LDAP Version 2 implementiert. LDAP Version 3 ist ab Netware 5 im Einsatz.

Die LDAP Services for NDS übernehmen eine Mittlerfunktion zwischen der NDS und dem LDAP Client. Der Client stellt eine LDAP Anfrage an den Server, auf dem die LDAP Services laufen. Diese Anfrage wird entgegengenommen und von den LDAP Services for NDS in eine NDS Anfrage umgewandelt. Die NDS wertet die Anfrage aus und liefert die angeforderten Informationen an die LDAP Services for NDS zurück. Diese wiederum generieren aus der NDS Antwort eine LDAP Antwort und leiten diese an den Client weiter.

Am DocuWare Server
Bevor Sie einen Benutzersynchronisations-Workflow einrichten, müssen Sie zuerst den LDAP-Zugriff auf das Novell eDirectory einrichten.

  1. LDAP-Zugriff auf das Novell eDirectory einrichten


    Figure 9: Konfiguration des LDAP-Zugriffs in der DocuWare Administration

    1 = Name für die Verbindung eingeben
    1.1 = LDAP und Novell eDirectory auswählen
    1.2 = Servername und ProxyUser ohne Passwort eingeben
    1.3 = Port 389 auswählen
    1.4 = Organisationscontainer wo DocuWare Gruppe sich befindet eingeben
    1.5 = DocuWare Gruppe aus eDirectory Baum auswählen
    1.6 = DN Name für DocuWare Benutzer eingeben
    1.7 = Attribut für Benutzername wie es ausgelesen soll eingeben. Sie können hier die Uid, Name(sn) oder Novellname(cn) eingeben
    1.8 = Attribut member muss hier eingeben werden
    1.9 = Konfiguration testen und das Resultat sieht dann wie im Figur 10 dargestellt aus.


    Figure 10: Ergebnis der LDAP-Zugriffskonfiguration

     
  2. Benutzersynchronisationsworkflow einrichten

    Figure 11: Benutzersynchronisationsworkflow einrichten

    2 = Name für des Workflows eingeben
    2.1 = LDAP Konfiguration auswählen
    2.2 = Benutzer mit entsprechenden Berechtigung und Passwort eingeben
    2.3 = Zielgruppe in DocuWare auswählen
    2.4 = Source Gruppe aus eDirectory eingeben

    *ACL (Access Control List)
    **LDAP (Lightweight Directory Access Protocol)