Skip to main content
Skip table of contents

Einrichten einer LDAP-Synchronisierung

Die Einrichtung besteht aus drei Teilen: dem Erstellen der Synchronisierung auf der Registerkarte „Allgemein“, dem Einrichten des Imports von Benutzern auf der Registerkarte „Benutzer“ und dem Einrichten des Imports von Gruppen auf der Registerkarte „Gruppen“. Sie können zwischen diesen Registerkarten über die Leiste in der oberen linken Ecke des Fensters „LDAP-Synchronisierungseigenschaften“ wechseln.

image-20241125-115510.png

Registerkarte „Allgemein“

Legen Sie auf der Registerkarte „Allgemein“ die allgemeinen Eigenschaften der Synchronisierung fest: Aktivieren oder deaktivieren Sie die Synchronisierung, wählen Sie die LDAP-Serverdomäne aus, geben Sie Benutzername und Passwort für den Zugriff auf den Server ein und wählen Sie gegebenenfalls aus, ob die importierten Benutzer in eine CSV-Datei exportiert werden sollen. Eine Beschreibung der einzelnen Einstellungen finden Sie in der folgenden Liste.

LDAP sync general tab settings

 

  • Aktiviert: Hier können Sie die Synchronisierung aktivieren oder deaktivieren.

  • LDAP-Server: Hier können Sie die Domäne auswählen, aus der Sie synchronisieren möchten.

  • Benutzer: Geben Sie den Benutzernamen für den Zugriff auf den LDAP-Domänenserver ein.

  • Passwort: Geben Sie das Passwort für den Zugriff auf den LDAP-Domänenserver ein.

  • Aktiviert: Wenn Sie die Option „Nach erfolgreichem Import in CSV exportieren“ aktivieren, erstellt MyQ nach der Synchronisierung eine CSV-Datei mit den importierten Benutzern.

  • Datei: Wählen Sie den Ordner aus, in dem Sie die erstellte Datei speichern möchten.

Nachdem Sie die Verbindungsparameter (LDAP-Server, Benutzer und Passwort) korrekt eingestellt und die Einstellungen gespeichert haben, öffnet sich der LDAP-Browser auf der rechten Seite des Bildschirms.

In der Einstellung „Benutzer“ kann auch ein Benutzerkonto einer Subdomain mit ausreichenden Rechten zur Authentifizierung verwendet werden, allerdings muss die Subdomain im Benutzernamen angegeben werden.

Beispiel: Der Benutzer „Administrator“ stellt eine Verbindung zum LDAP-Server „testAD.local“ her, sein Konto befindet sich jedoch in der Subdomain „cz.testAD.local“. Für eine erfolgreiche Authentifizierung sollte der eingegebene Benutzername lauten:
Administrator@cz.testAD.local

Registerkarte „Benutzer“

Wählen Sie auf der Registerkarte „Benutzer“ einen oder mehrere Basis-DNs (Distinguished Names) aus, aus denen Sie die Benutzer importieren möchten. Darüber hinaus können Sie Benutzerattribute vom LDAP-Server den Benutzereigenschaften in MyQ zuweisen und zusätzliche Optionen bezüglich der Synchronisierung auswählen.

image-20241002-111308.png

  • Basis-DN: Hier können Sie die Basisdomäne oder -domänen auswählen, aus denen Sie Benutzer importieren möchten. Klicken Sie auf „+ Hinzufügen“, um ein Textfeld für die neue Basis-DN hinzuzufügen, und ziehen Sie dann eine Gruppe aus dem Datenbankbrowser in das Textfeld. Auf diese Weise können Sie mehrere Domänen hinzufügen.

    image-20241125-115854.png

  • Eigenschaften: Dies sind die Eigenschaften jedes einzelnen Benutzers. MyQ ermittelt automatisch den SAM-Kontonamen des Benutzers und ordnet ihn dem Benutzernamen zu, „cn“ dem vollständigen Namen und „mail“ der E-Mail-Adresse (dies gilt nur für Active Directory und OpenLDAP). Die Eigenschaft „Benutzername“ ist die einzige, die nicht geändert werden kann. Um einer Eigenschaft ein Attribut zuzuweisen, geben Sie den Namen des Attributs in das Textfeld der Eigenschaft ein oder ziehen Sie es aus den Attributen eines beliebigen einzelnen Benutzers in das Textfeld. Die folgenden Eigenschaften unterstützen das Hinzufügen mehrerer Werte, getrennt durch ein Semikolon (;):

    • Alias

    • PIN

    • Karte

Beispielsweise könnten Sie in der Eigenschaft „Alias“ alias1;alias2;alias3 hinzufügen.

Der Name des AD-Attributs darf kein Semikolon (;) enthalten. Wenn ein Semikolon Teil des Attributnamens ist, wird dieses Attribut in MyQ nicht synchronisiert.

Für die Eigenschaften „Karte“ und „PIN“ kann der Administrator eine der folgenden Optionen wählen:

  1. Nicht synchronisieren: Diese Option überspringt die Synchronisierung dieser Werte.

  2. Vollständige Synchronisierung: Diese Option ersetzt die vorhandenen Werte durch die neuen Werte aus LDAP, unabhängig davon, ob der neue Wert leer ist oder nicht.

  3. Synchronisieren, wenn nicht leer: Diese Option ersetzt die vorhandenen Werte nur, wenn die neuen Werte aus LDAP nicht leer sind. Die vorhandenen Werte werden nicht entfernt, wenn der entsprechende Wert in LDAP leer ist.

  4. Neu hinzufügen: Diese Option aktualisiert die vorhandenen Werte, indem sie neue Werte aus LDAP hinzufügt, ohne die vorhandenen zu ersetzen.

Um Benutzern Standardsprachen zuzuweisen, müssen Sie ein Attribut vom LDAP-Server verwenden, das die Sprachabkürzungen als Werte enthält. Sie können beispielsweise ein Attribut namens „lang“ mit den Werten „en“ für Englisch, „hr“ für Kroatisch usw. erstellen und verwenden. Die Liste der in MyQ verwendeten Abkürzungen finden Sie hier.

  • Optionen: Eine Beschreibung der allgemeinen Synchronisierungsoptionen finden Sie unterBenutzerinformationen und -einstellungen. Die grundlegenden Optionen, die sowohl für die Synchronisierung von LDAP-Servern als auch für die Synchronisierung aus CSV-Dateien gelten, sind:

    • Fehlende Benutzer deaktivieren: Wenn Sie diese Option auswählen, löscht MyQ Benutzer, die aus der aktuellen Synchronisierungsquelle importiert wurden und nicht mehr in der Quelle vorhanden sind. Um Benutzer zu löschen, die aus anderen Quellen hinzugefügt wurden, wählen Sie zusätzlich zu dieser Option die Option „Synchronisierungsquelle ignorieren“ aus.

    • Neue Benutzer hinzufügen: Wenn Sie diese Option auswählen, fügt MyQ neue Benutzer aus der aktuellen Synchronisierungsquelle hinzu. Wenn Sie sie nicht auswählen, aktualisiert MyQ die Benutzerkonten der Benutzer, die bereits in MyQ vorhanden sind, fügt jedoch keine neuen Benutzer hinzu.

    • Benutzernamen in Kleinbuchstaben umwandeln: Im Gegensatz zu einigen anderen Systemen, die nicht zwischen zwei Wörtern mit denselben Buchstaben, aber unterschiedlicher Groß-/Kleinschreibung unterscheiden (z. B. „Pear“, „pear“), unterscheidet MyQ zwischen Groß- und Kleinschreibung. Sie können die Option „Benutzernamen in Kleinbuchstaben umwandeln“ verwenden, um zu verhindern, dass mehrere Konten für einen Benutzer erstellt werden.

    • Authentifizierungsserver verwenden: Wenn Sie diese Option auswählen und sich ein Benutzer durch Eingabe seines Benutzernamens und Passworts anmeldet, werden die Anmeldedaten nicht anhand der MyQ-Datenbank, sondern anhand eines LDAP- oder Radius-Servers authentifiziert. Wenn Sie Benutzer über LDAP synchronisieren, wird der Quell-LDAP-Server automatisch als
      Authentifizierungsserver zugewiesen. Wenn Sie Benutzer über CSV synchronisieren, können Sie den Authentifizierungsserver aus der Liste vordefinierter Authentifizierungsserver auswählen.

    • Nach persönlicher Nummer zuordnen: Wenn Sie diese Option auswählen, identifiziert MyQ Benutzer anhand ihrer persönlichen Nummer statt anhand ihres Benutzernamens. Auf diese Weise können Sie einen einzelnen Benutzer mit unterschiedlichen Namen in verschiedenen Quellen oder einen Benutzer, dessen Name sich aus irgendeinem Grund geändert hat, nachverfolgen. Wenn diese Option beispielsweise aktiviert ist und sich ein Benutzername in LDAP von cat.stevens zu yusuf.islam ändert, erstellt MyQ kein neues Benutzerkonto, sondern erkennt den alten Benutzer anhand seiner persönlichen Nummer.

    • Synchronisationsquelle ignorieren: Wenn diese Option nicht ausgewählt ist, erkennt MyQ zwei Benutzer aus unterschiedlichen Synchronisationsquellen als zwei verschiedene Entitäten. Dies kann bei Synchronisationen aus mehreren Quellen zu Konflikten führen. Wenn sie ausgewählt ist, ignoriert MyQ die Synchronisationsquellen und behandelt alle Benutzer gleich, unabhängig von ihrer Synchronisationsquelle. Wenn Sie beispielsweise eine Synchronisierung durchführen und MyQ einen Benutzer importieren/aktualisieren würde, der bereits aus einer anderen Synchronisierungsquelle hinzugefügt wurde, aktualisiert es den Benutzer nicht. Stattdessen wird unter den Synchronisierungsergebnissen die Meldung „Der Name/Alias „X“ wird bereits vom Benutzer „X“ verwendet“ angezeigt. Nachdem Sie die Option „Synchronisationsquelle ignorieren“ ausgewählt haben, wird der Benutzer durch die letzte Synchronisation aktualisiert.
      Wenn Sie diese Option zusammen mit der Option „Fehlende Benutzer deaktivieren“ auswählen, werden alle Benutzer, die aus verschiedenen Quellen hinzugefügt wurden und nicht in der aktuellen Synchronisationsquelle enthalten sind, während der Synchronisation gelöscht.

    • Domänennamen an den Benutzernamen anhängen (username@domain.local): Wenn diese Option ausgewählt ist, kann der Name der Domäne aus dem MyQ-Benutzernamen abgerufen werden. Die Informationen zur Domäne können beispielsweise benötigt werden, wenn auf einem Embedded Terminal das Scannen in die Home-Ordner der Benutzer verwendet wird.

  • Filter: Sie können den Benutzerimport filtern, indem Sie die Werte von Attributen angeben. Fügen Sie die Bedingungen in Form der LDAP-Filtersyntax hinzu. Benutzer mit einem anderen Wert für dieses Attribut werden nicht akzeptiert und aus dem Import herausgefiltert. Zum Beispiel:

Suchfilter

Beschreibung

(objectClass=*)

Alle Objekte.

(&(objectCategory=person)(objectClass=user)(!(cn=andy)))

Alle Benutzerobjekte außer „andy“.

(sn=sm*)

Alle Objekte, deren Nachname mit „sm“ beginnt.

(&(Objektkategorie=Person)(Objektklasse=Kontakt)(|(sn=Smith)(sn=Johnson)))

Alle Kontakte mit einem Nachnamen, der „Smith“ oder „Johnson“ lautet.

Bei Attributen, deren Werte Zeichenfolgen sind, wie beispielsweise das Attribut „cn“, können Sie das Platzhalterzeichen * verwenden, um nach Teilzeichenfolgen zu suchen.

image-20241125-124947.png

DN-Attribute (wie memberOf) akzeptieren keine Suche mit dem Platzhalter * und müssen nach der gesamten Zeichenfolge durchsucht werden.

Wenn das Filterfeld leer gelassen wird, wird automatisch der aktuelle Standardfilter für den jeweiligen LDAP-Quelltyp angewendet.

Umgang mit Sonderzeichen in rohen LDAP-Abfragen

Beim Erstellen von Raw-LDAP-Abfragen ist es entscheidend, Sonderzeichen innerhalb von Attributwerten korrekt zu escapen, um eine korrekte Abfrageverarbeitung durch den LDAP-Server sicherzustellen. Sonderzeichen wie Backslashes (\), Semikolons (;), Sternchen (*), Klammern (( und )) und Nullzeichen (\0) müssen nur dann maskiert werden, wenn sie in Attributwerten vorkommen (z. B. Benutzerattribute – E-Mail, Abteilung, memberOf usw.), nicht jedoch, wenn sie Teil der LDAP-Abfragesyntax sind.

Escape-Regeln:

  • \ (Backslash) wird zu \5c

  • ; (Semikolon) wird umgewandelt in \3b

  • * (Sternchen) wird umgewandelt in \2a

  • ( (linke Klammer) wird umgewandelt in \28

  • ) (rechte Klammer) wird zu \29

  • \0 (Nullzeichen) wird umgewandelt in \00

  • Transformation: Mit dieser Funktion können Administratoren reguläre Ausdrücke (RegEx) definieren, um Benutzerdaten während des Synchronisationsprozesses zu transformieren. Details finden Sie hier.

Registerkarte „Gruppen“

Auf dieser Registerkarte können Sie Gruppen und die Gruppenstruktur aus der LDAP-Quelle importieren. Es gibt vier verschiedene Möglichkeiten, festzulegen, welche Gruppen importiert werden sollen. Sie können mehrere Methoden gleichzeitig verwenden und mit jeder Methode unterschiedliche Benutzergruppen erstellen. Sie können auch festlegen, dass die Gruppen unter einer bestehenden Gruppe in MyQ importiert werden.

LDAP sync groups tab

  • Standardgruppe nicht ändern: Ein Benutzer kann Mitglied mehrerer Gruppen sein, aber alle seine Drucke, Kopien und Scans werden nur einer Gruppe zugeordnet: der Standardgruppe (Abrechnungsgruppe) des Benutzers. Wenn Sie diese Option auswählen, ändert sich die Standardgruppe des ausgewählten Benutzers während der Synchronisierung nicht.

  • Gruppen unter dieser Gruppe importieren: Sie können eine vorhandene Gruppe in MyQ auswählen, unter der Sie die Gruppen aus der LDAP-Datenbank importieren.

  • Gruppen, die im Benutzerattribut gespeichert sind:

    • Attribut: Sie können diese Option auswählen, wenn Sie ein Attribut verwenden möchten, das Gruppen in der LDAP-Datenbank definiert. Um es hinzuzufügen, geben Sie den Namen des Attributs in das Eigenschaftsfeld ein oder ziehen Sie das Attribut von einem beliebigen einzelnen Benutzer in das Attributfeld.

      image-20241125-120217.png

      Sie können Gruppen auch durch die Kombination mehrerer Attribute erstellen. Um solche Gruppen zu erstellen, setzen Sie jedes der Attribute zwischen zwei Prozentzeichen (%). Beispielsweise importiert die Kombination der Attribute %attribute1%_%attribute2% eine neue Gruppe mit dem Namen value1_value2.

      image-20241125-120503.png

      Darüber hinaus können Sie Baumstrukturen von Gruppen erstellen, indem Sie die Attribute durch senkrechte Striche trennen. Beispielsweise importiert die Kombination der Attribute %attribute1%|%attribute2% eine Gruppe „value1“ und deren Untergruppe „value2“.

    • Als Standard festlegen: Wenn Sie diese Option auswählen, wird die Gruppe zur Standardgruppe des importierten Benutzers.

  • Gruppe im DN des Benutzers gespeichert:

    • OU-Komponentenindex: Hier können Sie eine Gruppe anhand ihres OU-Index (Organisatorische Einheit) unter den DN-Komponenten auswählen. Der Index wird von rechts nach links gezählt: Die erste OU-Gruppe von rechts hat den Index 1, die zweite von rechts den Index 2 und so weiter.

      image-20241125-123022.png

      Auf dem Bild oben gibt es zwei OU-Gruppen: test_users hat den Index 1 (da es die erste OU-Gruppe von rechts ist), tree1 hat den Index 2. Die anderen Komponenten sind keine OU und haben daher keinen Index.

    • Als Standard festlegen: Wenn Sie diese Option auswählen, wird die Gruppe zur Standardgruppe des importierten Benutzers.

  • In der DN des Benutzers gespeicherte Baumgruppe: Hier können Sie die gesamte Baumstruktur der Gruppen importieren. Sie können den Import auf einen beliebigen Teil der Struktur beschränken, indem Sie die DN-Komponenten links und rechts entfernen. Geben Sie in den entsprechenden Textfeldern die Anzahl der Komponenten ein, die links und
    rechts entfernt werden sollen. Sie müssen mindestens eine Komponente von links (die Benutzer-CN-Komponente) und eine Komponente von rechts (die ganz rechts stehende DC-Komponente) entfernen.

    image-20241125-124555.png

    Auf dem Bild oben sind sechs Komponenten zu sehen. Wenn Sie eine Komponente von links und eine von rechts entfernen, importieren Sie die folgende Gruppenstruktur: MYQTESTLAB > test_users > tree1 > tree3. Durch das Entfernen von Komponenten von links entfernen Sie die Gruppen vom unteren zum oberen Ende der Struktur. Durch das Entfernen von Komponenten von rechts entfernen Sie die Gruppen vom oberen zum unteren Ende der Struktur.

    • Als Standard festlegen: Wenn Sie diese Option auswählen, wird die unterste Gruppe der importierten Struktur zur Standardgruppe des importierten Benutzers.

  • Gruppe im memberOf-Attribut des Benutzers gespeichert:

    • Gruppen-Basis-DN: MyQ kann Sicherheits- und Verteilergruppen importieren, die im memberOf-Attribut des Benutzers gespeichert sind. Die Sicherheitsgruppen dienen dazu, den Mitgliedern gewährte Zugriffsberechtigungen zu definieren. Verteilergruppen können zum Versenden von E-Mails an eine Gruppe von Benutzern verwendet werden. Um anzugeben, welche Gruppen beim Import berücksichtigt werden sollen, müssen Sie den Basis-DN der Gruppen eingeben. MyQ importiert nur Gruppen, die im Basis-DN enthalten sind; andere im memberOf-Attribut gespeicherte Gruppen werden ignoriert. Der Basis-DN der Gruppen muss sich nicht in derselben Organisationseinheit wie die Basisdomäne der Benutzer befinden. Wenn ein Benutzer Mitglied in mehr als einer Gruppe auf dem LDAP-Server ist, werden alle Gruppen im „memberOf“-Attribut gespeichert. Daher ist die Option „Als Standard festlegen“, die einen einzelnen Wert erfordert, für diese Importmethode nicht verfügbar.
      Um den Basis-DN der Gruppen hinzuzufügen, ziehen Sie ihn aus dem Datenbank-Browser und legen Sie ihn im Textfeld „Basis-DN der Gruppen“ ab.

    • Filter: Sie können diesen Import filtern, indem Sie die Werte von Attributen angeben. Fügen Sie die Bedingungen im Format „Attribut=Wert“ hinzu. Gruppen mit einem anderen Wert für dieses Attribut werden nicht akzeptiert und aus dem Import herausgefiltert. Sie können das Symbol * verwenden, um nach Teilzeichenfolgen zu suchen. Das Symbol kann von beiden Seiten angehängt werden. Wenn Sie beispielsweise die Bedingung „cn=*in*“ hinzufügen, werden nur Benutzer akzeptiert, deren Attribut „common name“ den Wert „in“ enthält. Sie können pro Zeile eine Bedingung hinzufügen. Gruppen werden akzeptiert, wenn sie mindestens eine Bedingung erfüllen.

      image-20241125-125316.png

      • Leere Gruppen importieren: Wenn Sie diese Option auswählen, werden Gruppen aus dem Gruppen-Basis-DN importiert, auch wenn kein Benutzer sie in seinem memberOf-Attribut hat.

      • Gruppenstruktur importieren: Wenn Sie diese Option auswählen, wird die gesamte Baumstruktur importiert. Andernfalls werden alle Gruppen separat hinzugefügt, nicht als Teil einer Baumstruktur.

 

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.

Contact Support Close