MyQ X Server
MyQ X Server
Breadcrumbs

Einrichten einer LDAP-Synchronisierung

Die Einrichtung besteht aus drei Teilen: dem Erstellen der Synchronisierung auf der Registerkarte „Allgemein“, dem Einrichten des Imports von Benutzern auf der Registerkarte „Benutzer“ und dem Einrichten des Imports von Gruppen auf der Registerkarte „Gruppen“. Sie können zwischen diesen Registerkarten über die Leiste in der oberen linken Ecke des Fensters „LDAP-Synchronisierungseigenschaften“ wechseln.

image-20241125-115510.png

Registerkarte „Allgemein“

Legen Sie auf der Registerkarte „Allgemein“ die allgemeinen Eigenschaften der Synchronisierung fest: Aktivieren oder deaktivieren Sie die Synchronisierung, wählen Sie die LDAP-Serverdomäne aus, geben Sie Benutzername und Passwort für den Zugriff auf den Server ein und wählen Sie gegebenenfalls aus, die importierten Benutzer in eine CSV-Datei zu exportieren. Eine Beschreibung der einzelnen Einstellungen finden Sie in der folgenden Liste.

LDAP sync general tab settings

 

  • Aktiviert: Hier können Sie die Synchronisierung aktivieren oder deaktivieren.

  • LDAP-Server: Hier können Sie die Domäne auswählen, aus der Sie synchronisieren möchten.

  • Benutzer: Geben Sie den Benutzernamen für den Zugriff auf den LDAP-Domänenserver ein.

  • Passwort: Geben Sie das Passwort für den Zugriff auf den LDAP-Domänenserver ein.

  • Aktiviert: Wenn Sie die Option „Nach erfolgreichem Import in CSV exportieren“ aktivieren, erstellt MyQ nach der Synchronisierung eine CSV-Datei mit den importierten Benutzern.

  • Datei: Wählen Sie den Ordner aus, in dem Sie die erstellte Datei speichern möchten.

Nachdem Sie die Verbindungsparameter (LDAP-Server, Benutzer und Passwort) korrekt eingestellt und die Einstellungen gespeichert haben, öffnet sich der LDAP-Browser auf der rechten Seite des Bildschirms.

In der Einstellung „Benutzer“ kann auch ein Benutzerkonto einer Subdomain mit ausreichenden Rechten zur Authentifizierung verwendet werden, allerdings muss die Subdomain im Benutzernamen angegeben werden.

Beispiel: Der Benutzer „Administrator“ stellt eine Verbindung zum LDAP-Server „testAD.local“ her, sein Konto befindet sich jedoch in der Subdomain „cz.testAD.local“. Für eine erfolgreiche Authentifizierung sollte der eingegebene Benutzername lauten:
Administrator@cz.testAD.local

Registerkarte „Benutzer“

Wählen Sie auf der Registerkarte „Benutzer“ einen oder mehrere Basis-DNs (Distinguished Names) aus, aus denen Sie die Benutzer importieren möchten. Darüber hinaus können Sie Benutzerattribute vom LDAP-Server den Benutzereigenschaften in MyQ zuweisen und zusätzliche Optionen zur Synchronisierung auswählen.

image-20241002-111308.png

  • Basis-DN: Hier können Sie die Basisdomäne(n) auswählen, aus der/denen Sie Benutzer importieren möchten. Klicken Sie auf „+ Hinzufügen“, um ein Textfeld für die neue Basis-DN hinzuzufügen, und ziehen Sie dann eine Gruppe aus dem Datenbank-Browser in das Textfeld. Auf diese Weise können Sie mehrere Domänen hinzufügen.

    image-20241125-115854.png

  • Eigenschaften: Dies sind die Eigenschaften jedes einzelnen Benutzers. MyQ ermittelt automatisch den SAM-Kontonamen des Benutzers und ordnet ihn dem Benutzernamen zu, „cn“ dem vollständigen Namen und „mail“ der E-Mail-Adresse (dies gilt nur für Active Directory und OpenLDAP). Die Eigenschaft „Benutzername“ ist die einzige, die nicht geändert werden kann. Um einer Eigenschaft ein Attribut zuzuweisen, geben Sie den Namen des Attributs in das Eigenschafts-Textfeld ein oder ziehen Sie es aus den Attributen eines beliebigen einzelnen Benutzers in das Textfeld.
    Die folgenden Eigenschaften unterstützen das Hinzufügen mehrerer Werte, getrennt durch ein Komma (,):

    • Alias

    • PIN

    • Karte

    Beispielsweise könnten Sie in der Eigenschaft „Alias“ Folgendes hinzufügen alias1,alias2,alias3.

    Attributnamen, die Semikolons enthalten (zum Beispiel email;x-private) werden ab 10.2 Patch 24 unterstützt. In früheren Versionen wurde ein Semikolon in einem Attributnamen als Werttrennzeichen interpretiert, was dazu führte, dass die Synchronisation für diese Attribute fehlschlug.

Das Semikolon als Trennzeichen wird zwar weiterhin akzeptiert, ist aber ab Patch 24 veraltet, und wir empfehlen, bestehende Konfigurationen auf Kommas umzustellen.

Für die Eigenschaften „Karte“ und „PIN“ kann der Administrator eine der folgenden Optionen wählen:

  1. Nicht synchronisieren: Diese Option überspringt die Synchronisierung dieser Werte.

  2. Vollständige Synchronisierung: Diese Option ersetzt die vorhandenen Werte durch die neuen Werte aus LDAP, unabhängig davon, ob der neue Wert leer ist oder nicht.

  3. Synchronisieren, wenn nicht leer: Diese Option ersetzt die vorhandenen Werte nur, wenn die neuen Werte aus LDAP nicht leer sind. Sie entfernt die vorhandenen Werte nicht, wenn der entsprechende Wert in LDAP leer ist.

  4. Neu hinzufügen: Diese Option aktualisiert die vorhandenen Werte, indem sie neue Werte aus LDAP hinzufügt, ohne die vorhandenen zu ersetzen.

Um Benutzern Standardssprachen zuzuweisen, müssen Sie ein Attribut vom LDAP-Server verwenden, das die Sprachkürzel als Werte enthält. Sie können beispielsweise ein Attribut namens „lang“ mit den Werten en für Englisch, hrAvailable languages für Kroatisch usw. Eine vollständige Liste der unterstützten Sprachen und ihrer Abkürzungen finden Sie unter (10.2) Verfügbare Sprachen.

  • Editing User AccountsOptionen: Eine Beschreibung der allgemeinen Synchronisierungsoptionen finden Sie unter Benutzerinformationen und -einstellungen. Die grundlegenden Optionen, die sowohl für die Synchronisierung von LDAP-Servern als auch für die Synchronisierung aus CSV-Dateien gelten, sind:

    • Fehlende Benutzer deaktivieren: Wenn Sie diese Option auswählen, löscht MyQ Benutzer, die aus der aktuellen Synchronisierungsquelle importiert wurden und nicht mehr in der Quelle vorhanden sind. Um Benutzer zu löschen, die aus anderen Quellen hinzugefügt wurden, wählen Sie die Option „Synchronisierungsquelle ignorieren“ zusammen mit dieser Option aus.

    • Neue Benutzer hinzufügen: Wenn Sie diese Option auswählen, fügt MyQ neue Benutzer aus der aktuellen Synchronisationsquelle hinzu. Wenn Sie diese Option nicht auswählen, aktualisiert MyQ die Benutzerkonten der bereits in MyQ vorhandenen Benutzer, fügt jedoch keine neuen Benutzer hinzu.

    • Benutzernamen in Kleinbuchstaben umwandeln: Im Gegensatz zu einigen anderen Systemen, die nicht zwischen zwei Wörtern mit denselben Buchstaben, aber unterschiedlicher Groß-/Kleinschreibung unterscheiden (wie z. B. „Pear“, „pear“), unterscheidet MyQ zwischen Groß- und Kleinschreibung. Sie können die Option „Benutzernamen in Kleinbuchstaben umwandeln“ verwenden, um zu verhindern, dass mehrere Konten für einen Benutzer erstellt werden.

    • Authentifizierungsserver verwenden: Wenn Sie diese Option auswählen und sich ein Benutzer durch Eingabe seines Benutzernamens und Passworts anmeldet, werden die Anmeldedaten nicht anhand der MyQ-Datenbank, sondern anhand eines LDAP- oder Radius-Servers überprüft. Wenn Sie Benutzer über LDAP synchronisieren, wird der Quell-LDAP-Server automatisch als
      Authentifizierungsserver zugewiesen. Wenn Sie Benutzer über CSV synchronisieren, können Sie den Authentifizierungsserver aus der Liste vordefinierter Authentifizierungsserver auswählen.

    • Nach persönlicher Nummer zuordnen: Wenn Sie diese Option auswählen, identifiziert MyQ Benutzer anhand ihrer persönlichen Nummer anstelle ihres Benutzernamens. Auf diese Weise können Sie einen einzelnen Benutzer mit unterschiedlichen Namen in verschiedenen Quellen oder einen Benutzer, dessen Name sich aus irgendeinem Grund geändert hat, nachverfolgen. Wenn diese Option beispielsweise aktiviert ist und sich ein Benutzername in LDAP von cat.stevens zu yusuf.islam ändert, erstellt MyQ kein neues Benutzerkonto, sondern erkennt den alten Benutzer anhand seiner persönlichen Nummer.

    • Synchronisationsquelle ignorieren: Wenn diese Option nicht ausgewählt ist, erkennt MyQ zwei Benutzer aus unterschiedlichen Synchronisationsquellen als zwei verschiedene Entitäten. Dies kann bei Synchronisationen aus mehreren Quellen zu Konflikten führen. Wenn sie ausgewählt ist, ignoriert MyQ die Synchronisationsquellen und behandelt alle Benutzer gleich, unabhängig von ihrer Synchronisationsquelle. Wenn Sie beispielsweise eine Synchronisierung durchführen und MyQ einen Benutzer importieren/aktualisieren würde, der bereits aus einer anderen Synchronisierungsquelle hinzugefügt wurde, aktualisiert es den Benutzer nicht. Stattdessen wird unter den Synchronisierungsergebnissen die Meldung „Der Name/Alias „X“ wird bereits vom Benutzer „X“ verwendet“ angezeigt. Nachdem Sie die Option „Synchronisationsquelle ignorieren“ ausgewählt haben, wird der Benutzer durch die letzte Synchronisation aktualisiert.
      Wenn Sie diese Option zusammen mit der Option „Fehlende Benutzer deaktivieren“ auswählen, werden alle Benutzer, die aus verschiedenen Quellen hinzugefügt wurden und nicht in der aktuellen Synchronisationsquelle enthalten sind, während der Synchronisation gelöscht.

    • Domänennamen an den Benutzernamen anhängen (username@domain.local): Wenn diese Option ausgewählt ist, kann der Name der Domäne aus dem MyQ-Benutzernamen abgerufen werden. Die Informationen zur Domäne können beispielsweise benötigt werden, wenn das Scannen in die Home-Ordner der Benutzer auf einem Embedded Terminal verwendet wird.

  • Filter: Sie können den Benutzerimport filtern, indem Sie die Werte von Attributen angeben. Fügen Sie die Bedingungen in Form der LDAP-Filtersyntax hinzu. Benutzer mit einem anderen Wert für dieses Attribut werden nicht akzeptiert und aus dem Import herausgefiltert. Beispiel:

Suchfilter

Beschreibung

(objectClass=*)

Alle Objekte.

(&(objectCategory=person)(objectClass=user)(!(cn=andy)))

Alle Benutzerobjekte außer „andy“.

(sn=sm*)

Alle Objekte, deren Nachname mit „sm“ beginnt.

(&(objectCategory=person)(objectClass=contact)(|(sn=Smith)(sn=Johnson)))

Alle Kontakte mit einem Nachnamen, der „Smith“ oder „Johnson“ lautet.

Bei Attributen, deren Werte Zeichenfolgen sind, wie beispielsweise das Attribut „cn“, können Sie das Platzhalterzeichen * verwenden, um nach Teilzeichenfolgen zu suchen.

image-20241125-124947.png

DN-Attribute (wie memberOf) akzeptieren keine Suche mit dem Platzhalter * und müssen anhand der gesamten Zeichenfolge durchsucht werden.

Wenn das Filterfeld leer gelassen wird, wird automatisch der aktuelle Standardfilter für den jeweiligen LDAP-Quelltyp angewendet.

Umgang mit Sonderzeichen in rohen LDAP-Abfragen

Beim Erstellen von Raw-LDAP-Abfragen ist es entscheidend, Sonderzeichen innerhalb von Attributwerten korrekt zu escapen, um eine korrekte Abfrageverarbeitung durch den LDAP-Server sicherzustellen. Sonderzeichen wie Backslashes (\), Semikolons (;), Sternchen (*), Klammern (( und )) und Nullzeichen (\0) müssen nur dann maskiert werden, wenn sie in Attributwerten vorkommen (z. B. Benutzerattribute – E-Mail, Abteilung, memberOf usw.), nicht jedoch, wenn sie Teil der LDAP-Abfragesyntax sind.

Escape-Regeln:

  • \ (Backslash) wird zu \5c

  • ; (Semikolon) wird umgewandelt in \3b

  • * (Sternchen) wird umgewandelt in \2a

  • ( (linke Klammer) wird umgewandelt in \28

  • ) (rechte Klammer) wird zu \29

  • \0 (Nullzeichen) wird umgewandelt in \00

  • Transformation: Diese Funktion ermöglicht es Administratoren, reguläre Ausdrücke (RegEx) zu definieren, um Benutzerdaten während des Synchronisationsprozesses zu transformieren. Details finden Sie hier.

Registerkarte „Gruppen“

Auf dieser Registerkarte können Sie Gruppen und die Gruppenstruktur aus der LDAP-Quelle importieren. Es gibt vier verschiedene Möglichkeiten, festzulegen, welche Gruppen importiert werden sollen. Sie können mehrere Methoden gleichzeitig verwenden und mit jeder Methode unterschiedliche Benutzergruppen erstellen. Sie können auch festlegen, dass die Gruppen unter einer bestehenden Gruppe in MyQ importiert werden.

LDAP sync groups tab

  • Standardgruppe nicht ändern: Ein Benutzer kann Mitglied mehrerer Gruppen sein, aber alle seine Drucke, Kopien und Scans werden nur einer Gruppe zugeordnet: der Standardgruppe (Abrechnungsgruppe) des Benutzers. Wenn Sie diese Option auswählen, ändert sich die Standardgruppe des ausgewählten Benutzers während der Synchronisierung nicht.

  • Gruppen unter dieser Gruppe importieren: Sie können eine vorhandene Gruppe in MyQ auswählen, unter der Sie die Gruppen aus der LDAP-Datenbank importieren.

  • In Benutzerattribut gespeicherte Gruppen:

    • Attribut: Sie können diese Option auswählen, wenn Sie ein Attribut verwenden möchten, das Gruppen in der LDAP-Datenbank definiert. Um es hinzuzufügen, geben Sie den Namen des Attributs in das Eigenschaftsfeld ein oder ziehen Sie das Attribut von einem beliebigen einzelnen Benutzer in das Attributfeld.

      image-20241125-120217.png

      Sie können Gruppen auch durch die Kombination mehrerer Attribute erstellen. Um solche Gruppen zu erstellen, setzen Sie jedes der Attribute zwischen zwei Prozentzeichen (%). Beispielsweise importiert die Attributkombination %attribute1%_%attribute2% eine neue Gruppe mit dem Namen value1_value2.

      image-20241125-120503.png

      Darüber hinaus können Sie Baumstrukturen von Gruppen erstellen, indem Sie die Attribute durch senkrechte Striche trennen. Beispielsweise importiert die Attributkombination %attribute1%|%attribute2% die Gruppe „value1“ und deren Untergruppe „value2“.

    • Als Standard festlegen: Wenn Sie diese Option auswählen, wird die Gruppe zur Standardgruppe des importierten Benutzers.

  • Gruppe im DN des Benutzers gespeichert:

    • OU-Komponentenindex: Hier können Sie eine Gruppe anhand ihres OU-Index (Organisatorische Einheit) unter den DN-Komponenten auswählen. Der Index wird von rechts nach links gezählt: Die erste OU-Gruppe von rechts hat den Index 1, die zweite von rechts den Index 2 und so weiter.

      image-20241125-123022.png

      Auf dem Bild oben gibt es zwei OU-Gruppen: test_users hat den Index 1 (da es die erste OU-Gruppe von rechts ist), tree1 hat den Index 2. Die anderen Komponenten sind keine OU und haben daher keinen Index.

    • Als Standard festlegen: Wenn Sie diese Option auswählen, wird die Gruppe zur Standardgruppe des importierten Benutzers.

  • In der DN des Benutzers gespeicherte Baumgruppe: Hier können Sie die gesamte Baumstruktur der Gruppen importieren. Sie können den Import auf einen beliebigen Teil der Struktur beschränken, indem Sie die DN-Komponenten links und rechts entfernen. Geben Sie in den entsprechenden Textfeldern die Anzahl der Komponenten ein, die links und
    rechts entfernt werden sollen. Sie müssen mindestens eine Komponente von links (die Benutzer-CN-Komponente) und eine Komponente von rechts (die ganz rechts stehende DC-Komponente) entfernen.

    image-20241125-124555.png

    Auf dem obigen Bild sind sechs Komponenten zu sehen. Wenn Sie eine Komponente von links und eine von rechts entfernen, importieren Sie die folgende Gruppenstruktur: MYQTESTLAB > test_users > tree1 > tree3. Durch das Entfernen von Komponenten von links entfernen Sie die Gruppen vom unteren zum oberen Ende der Struktur. Durch das Entfernen von Komponenten von rechts entfernen Sie die Gruppen vom oberen zum unteren Ende der Struktur.

    • Als Standard festlegen: Wenn Sie diese Option auswählen, wird die unterste Gruppe der importierten Struktur zur Standardgruppe des importierten Benutzers.

  • Gruppe im memberOf-Attribut des Benutzers gespeichert:

    • Gruppen-Basis-DN: MyQ kann Sicherheits- und Verteilergruppen importieren, die im memberOf-Attribut des Benutzers gespeichert sind. Die Sicherheitsgruppen dienen dazu, den Mitgliedern gewährte Zugriffsberechtigungen zu definieren. Verteilergruppen können zum Versenden von E-Mails an eine Gruppe von Benutzern verwendet werden. Um festzulegen, welche Gruppen beim Import berücksichtigt werden sollen, müssen Sie den Basis-DN der Gruppen eingeben. MyQ importiert nur Gruppen, die im Basis-DN enthalten sind; andere im memberOf-Attribut gespeicherte Gruppen werden ignoriert. Der Basis-DN der Gruppe muss sich nicht in derselben Organisationseinheit wie die Basisdomäne der Benutzer befinden. Wenn ein Benutzer Mitglied in mehr als einer Gruppe auf dem LDAP-Server ist, werden alle Gruppen im „memberOf“-Attribut gespeichert. Daher ist die Option „Als Standard festlegen“, die einen einzelnen Wert erfordert, für diese Importmethode nicht verfügbar.
      Um den Basis-DN der Gruppe hinzuzufügen, ziehen Sie ihn aus dem Datenbank-Browser und legen Sie ihn im Textfeld „Basis-DN der Gruppe“ ab.

    • Filter: Sie können diesen Import filtern, indem Sie die Werte von Attributen angeben. Fügen Sie die Bedingungen im Format „Attribut=Wert“ hinzu. Gruppen mit einem anderen Wert für dieses Attribut werden nicht akzeptiert und aus dem Import herausgefiltert. Sie können das Symbol * verwenden, um nach Teilzeichenfolgen zu suchen. Das Symbol kann von beiden Seiten angehängt werden. Wenn Sie beispielsweise die Bedingung „cn=*in*“ hinzufügen, werden nur Benutzer akzeptiert, deren Attribut „Common Name“ den Wert „in“ enthält. Sie können pro Zeile eine Bedingung hinzufügen. Gruppen werden akzeptiert, wenn sie mindestens eine Bedingung erfüllen.

      image-20241125-125316.png

      • Leere Gruppen importieren: Wenn Sie diese Option auswählen, werden Gruppen aus dem Gruppen-Basis-DN importiert, auch wenn kein Benutzer sie in seinem memberOf-Attribut hat.

      • Gruppenstruktur importieren: Wenn Sie diese Option auswählen, wird die gesamte Baumstruktur importiert. Andernfalls werden alle Gruppen separat hinzugefügt und nicht als Teil einer Baumstruktur.