Einrichten einer LDAP-Synchronisierung

Die Einrichtung besteht aus drei Teilen: Erstellung der Synchronisation auf der Allgemein Registerkarte, Einstellung des Imports von Benutzern auf der Registerkarte Benutzer und die Einstellung des Imports von Gruppen auf der Registerkarte Gruppen Registerkarte. Sie können auf der Leiste in der oberen linken Ecke des LDAP-Synchronisierungs-Eigenschaftenfensters zwischen diesen Registerkarten wechseln.

Registerkarte Allgemein

Auf der Allgemein legen Sie die allgemeinen Eigenschaften der Synchronisierung fest: Aktivieren oder Deaktivieren der Synchronisierung, Auswahl der LDAP-Server-Domäne, Eingabe von Benutzername und Passwort für den Zugriff auf den Server und schließlich Auswahl des Exports der importierten Benutzer in eine CSV-Datei. In der folgenden Liste finden Sie eine Beschreibung der einzelnen Einstellungen.

• Aktiviert: Hier können Sie die Synchronisierung aktivieren oder deaktivieren.

• LDAP-Server: Hier können Sie die Domäne auswählen, von der aus Sie synchronisieren möchten.

• Benutzer: Geben Sie den Benutzernamen für den Zugriff auf den LDAP-Domänenserver ein.

• Passwort: Geben Sie das Passwort für den Zugriff auf den LDAP-Domänenserver ein.

• Aktiviert: Wenn Sie die Option Export nach CSV nach erfolgreichem Import erstellt MyQ nach der Synchronisation eine CSV-Datei mit den importierten Benutzern.

• Datei: Wählen Sie den Ordner, in dem Sie die erstellte Datei speichern möchten.

Nachdem Sie die Verbindungsparameter (LDAP-Server, Benutzer und Passwort) korrekt eingestellt und die Einstellungen gespeichert haben, öffnet sich der LDAP-Browser auf der rechten Seite des Bildschirms.

In der Benutzer Einstellung kann auch ein Subdomain-Benutzerkonto mit ausreichenden Rechten zur Authentifizierung verwendet werden, allerdings muss die Subdomain im Benutzernamen angegeben werden.

Zum Beispiel, der Benutzer Verwalter verbindet sich mit dem testAD.local LDAP-Server, aber ihr Konto ist in der cz.testAD.local Sub-Domäne. Für eine erfolgreiche Authentifizierung sollte der eingegebene Benutzername lauten:
Administrator@cz.testAD.local

Registerkarte "Benutzer

Auf der Benutzer wählen Sie einen oder mehrere Basis-DNs (Distinguished Names), aus denen Sie die Benutzer importieren. Darüber hinaus können Sie Benutzerattribute vom LDAP-Server den Benutzereigenschaften in MyQ zuweisen und weitere Optionen für die Synchronisierung auswählen.

• Basis-DN: Hier können Sie die Basisdomäne(n) auswählen, aus denen Sie Benutzer importieren. Klicken Sie auf +Hinzufügen um ein Textfeld für den neuen Basis-DN hinzuzufügen, und ziehen Sie dann eine Gruppe aus dem Datenbankbrowser und legen Sie sie im Textfeld ab. Auf diese Weise können Sie mehrere Domänen hinzufügen.

  

• Eigenschaften: Dies sind die Eigenschaften jedes einzelnen Benutzers. MyQ findet automatisch die Eigenschaften des Benutzers und ordnet sie ihm zu. SAM-Kontoname zu Nutzername, cn zu vollständiger Name und E-Mail zu E-Mail (dies gilt nur für Active directory und OpenLDAP). Die Eigenschaft Benutzername ist die einzige, die nicht geändert werden kann. Um einer Eigenschaft ein Attribut zuzuweisen, schreiben Sie den Namen des Attributs in das Textfeld der Eigenschaft oder ziehen Sie es aus den Attributen eines einzelnen Benutzers und legen es im Textfeld ab. Den folgenden Eigenschaften können mehrere Werte zugewiesen werden, die durch ein Semikolon (;) getrennt sind:

  • Alias

  • PIN

  • Karte

Zum Beispiel, in der Alias können Sie Folgendes hinzufügen alias1;alias2;alias3.

Der Name des AD-Attributs darf das Zeichen Semikolon (;) nicht enthalten. Wenn ein Semikolon Teil des Attributnamens ist, wird dieses Attribut in MyQ nicht synchronisiert.

Für die Karte und PIN Eigenschaften kann der Administrator eine der folgenden Optionen wählen:

1. Nicht synchronisieren: Mit dieser Option wird die Synchronisierung dieser Werte übersprungen.

2. Vollständige Synchronisierung: Mit dieser Option werden die vorhandenen Werte durch die neuen Werte aus LDAP ersetzt, unabhängig davon, ob der neue Wert leer ist oder nicht.

3. Synchronisieren, wenn nicht leer: Diese Option ersetzt die vorhandenen Werte nur, wenn die neuen Werte aus LDAP nicht leer sind. Sie entfernt die vorhandenen Werte nicht, wenn der entsprechende Wert in LDAP leer ist.

4. Neu hinzufügen: Mit dieser Option werden die vorhandenen Werte aktualisiert, indem neue Werte aus LDAP hinzugefügt werden, ohne die vorhandenen Werte zu ersetzen.

Um Benutzern Standardsprachen zuzuweisen, müssen Sie ein Attribut des LDAP-Servers verwenden, das die Sprachkürzel als Werte enthält. Sie können zum Beispiel ein Attribut namens lang mit den Werten en für Englisch, hr für Kroatisch, usw. Die Liste der in MyQ verwendeten Abkürzungen finden Sie unter hier.

• Optionen: Für eine Beschreibung der allgemeinen Synchronisationsoptionen siehe Benutzerinformationen und -einstellungen. Die grundlegenden Optionen, die sowohl für die Synchronisierung von LDAP-Servern als auch für die Synchronisierung von CSV-Dateien gelten, sind:

  • Deaktivieren Sie fehlende Benutzer: Wenn Sie diese Option wählen, löscht MyQ Benutzer, die aus der aktuellen Synchronisationsquelle importiert wurden und die nicht mehr in der Quelle enthalten sind. Um Benutzer zu löschen, die aus anderen Quellen hinzugefügt wurden, wählen Sie die Option Synchronisationsquelle ignorieren Option zusammen mit dieser Option.

  • Neue Benutzer hinzufügen: Wenn Sie diese Option wählen, fügt MyQ neue Benutzer aus der aktuellen Synchronisationsquelle hinzu. Wenn Sie diese Option nicht auswählen, aktualisiert MyQ die Benutzerkonten der Benutzer, die bereits in MyQ sind, fügt aber keine neuen Benutzer hinzu.

  • Benutzernamen in Kleinbuchstaben umwandeln: Im Gegensatz zu einigen anderen Systemen, die nicht zwischen zwei Wörtern mit gleichen Buchstaben, aber unterschiedlicher Groß- und Kleinschreibung unterscheiden (wie z. B. "Birne", "Birne"), unterscheidet MyQ zwischen Groß- und Kleinschreibung. Sie können die Benutzernamen in Kleinbuchstaben umwandeln um die Erstellung mehrerer Konten für einen Benutzer zu verhindern.

  • Authentifizierungsserver verwenden: Wenn Sie diese Option wählen und sich ein Benutzer durch Eingabe seines Benutzernamens und Kennworts anmeldet, werden die Anmeldeinformationen nicht gegenüber der MyQ-Datenbank, sondern gegenüber einem LDAP- oder Radius-Server authentifiziert. Wenn Sie Benutzer über LDAP synchronisieren, wird der Quell-LDAP-Server automatisch als
    den Authentifizierungsserver. Wenn Sie Benutzer über CSV synchronisieren, können Sie den Authentifizierungsserver aus der Liste der vordefinierten Authentifizierungsserver auswählen.

  • Paarung nach der persönlichen Nummer: Wenn Sie diese Option wählen, identifiziert MyQ die Benutzer anhand ihrer persönlichen Nummer und nicht anhand ihrer Benutzernamen. Auf diese Weise können Sie einen einzelnen Benutzer mit verschiedenen Namen in verschiedenen Quellen oder einen Benutzer, dessen Name sich aus irgendeinem Grund geändert hat, im Auge behalten. Wenn diese Option beispielsweise aktiviert ist und sich ein Benutzername in LDAP von Katze.Stevens zu yusuf.islamMyQ erstellt kein neues Benutzerkonto, sondern erkennt den alten Benutzer anhand seiner persönlichen Nummer.

  • Synchronisationsquelle ignorieren: Wenn diese Option nicht ausgewählt ist, erkennt MyQ zwei Benutzer aus verschiedenen Synchronisationsquellen als zwei verschiedene Entitäten. Dies kann zu Konflikten bei Synchronisierungen aus mehreren Quellen führen. Wenn diese Option aktiviert ist, ignoriert MyQ die Synchronisationsquellen und behandelt alle Benutzer gleich, unabhängig von ihrer Synchronisationsquelle. Wenn Sie beispielsweise eine Synchronisierung durchführen und MyQ einen Benutzer importieren/aktualisieren würde, der bereits aus einer anderen Synchronisierungsquelle hinzugefügt wurde, wird der Benutzer nicht aktualisiert. Stattdessen wird die folgende Meldung angezeigt Der Name/Alias "X" wird bereits von dem Benutzer "X" verwendet unter den Synchronisierungsergebnissen. Nachdem Sie die Synchronisationsquelle ignorieren wird der Benutzer durch die letzte Synchronisierung aktualisiert.
    Wenn Sie diese Option zusammen mit der Option Deaktivieren Sie fehlende Benutzer werden alle Benutzer, die aus anderen Quellen hinzugefügt wurden und nicht in der aktuellen Synchronisationsquelle enthalten sind, während der Synchronisation gelöscht.

  • Den Domänennamen an den Benutzernamen anhängen (username@domain.local): Wenn diese Option ausgewählt ist, kann der Name der Domäne aus dem MyQ-Benutzernamen abgerufen werden. Die Informationen über die Domäne werden z. B. benötigt, wenn auf einem eingebetteten Terminal nach den Home-Ordnern der Benutzer gescannt wird.

• Filter: Sie können den Import von Benutzern filtern, indem Sie die Werte von Attributen angeben. Fügen Sie die Bedingungen in Form von LDAP-Filter-Syntax. Benutzer mit einem anderen Wert für dieses Attribut werden nicht akzeptiert und werden aus dem Import herausgefiltert. Zum Beispiel:

Für Attribute, deren Werte Zeichenketten sind, wie z. B. das cn-Attribut, können Sie das Platzhaltersymbol * verwenden, um nach Teilstrings zu suchen.

DN-Attribute (wie memberOf) akzeptieren keine Wildcard-Suche * und müssen anhand der gesamten Zeichenkette durchsucht werden.

Wenn das Filterfeld leer bleibt, wird automatisch der aktuelle Standardfilter für den jeweiligen LDAP-Quellentyp angewendet.

Behandlung von Sonderzeichen in rohen LDAP-Abfragen

Bei der Erstellung von rohen LDAP-Abfragen ist es wichtig, Sonderzeichen innerhalb von Attributwerten korrekt zu entschlüsseln, um eine korrekte Abfrageverarbeitung durch den LDAP-Server zu gewährleisten. Sonderzeichen wie Backslashes (\), Semikolons (;), Sternchen (*), Klammern (( und )) und Null-Zeichen (\0) müssen nur dann escaped werden, wenn sie in Attributwerten vorkommen (z.B. das Benutzerattribut - E-Mail, Abteilung, memberOfusw.), nicht aber, wenn sie Teil der LDAP-Abfragesyntax sind.

Flucht vor den Regeln:

• \ (Backslash) wird nach \5c

• ; (Semikolon) entweicht nach \3b

• * (Sternchen) entweicht nach \2a

• ( (linke Klammer) springt nach \28

• ) (rechte Klammer) entweicht nach \29

• \0 (Null-Zeichen) wird zu \00

• UmwandlungDiese Funktion ermöglicht es Administratoren, reguläre Ausdrücke (RegEx) zu definieren, um Benutzerdaten während des Synchronisierungsprozesses umzuwandeln, Details sind verfügbar hier.

Registerkarte Gruppen

Auf dieser Registerkarte können Sie Gruppen und die Gruppenstruktur aus der LDAP-Quelle importieren. Es gibt vier verschiedene Möglichkeiten, um festzulegen, welche Gruppen importiert werden sollen. Sie können mehrere verschiedene Methoden zusammen verwenden und mit jeder Methode verschiedene Benutzergruppen erstellen. Sie können auch auswählen, dass die Gruppen unter einer bestehenden Gruppe in MyQ importiert werden.

• Standardgruppe nicht ändern: Ein Benutzer kann Mitglied mehrerer Gruppen sein, aber alle seine Drucke, Kopien und Scans werden nur einer Gruppe zugeordnet: der Standardgruppe (Abrechnungsgruppe) des Benutzers. Wenn Sie diese Option wählen, wird die Standardgruppe des ausgewählten Benutzers während der Synchronisierung nicht geändert.

• Gruppen unter dieser Gruppe importieren: Sie können eine bestehende Gruppe in MyQ auswählen, unter der Sie die Gruppen aus der LDAP-Datenbank importieren.

• Im Benutzerattribut gespeicherte Gruppen:

  • Attribut: Sie können diese Option wählen, wenn Sie ein Attribut verwenden möchten, das Gruppen in der LDAP-Datenbank definiert. Um es hinzuzufügen, geben Sie den Namen des Attributs in das Textfeld für die Eigenschaft ein oder ziehen Sie das Attribut von einem einzelnen Benutzer in das Feld Attribut Textfeld.

    

    Sie können auch Gruppen erstellen, indem Sie mehrere Attribute kombinieren. Um solche Gruppen zu erstellen, setzen Sie jedes der Attribute zwischen zwei Prozentzeichen (%). Zum Beispiel kann die Kombination von Attributen %Attribut1%_%Attribut 2% importiert eine neue Gruppe namens wert1_wert2.

    

    Außerdem können Sie Baumstrukturen von Gruppen erstellen, indem Sie die Attribute mit vertikalen Balken trennen. Zum Beispiel kann die Kombination von Attributen %Attribut1%|%Attribut2%importiert eine Gruppe Wert1und ihre Untergruppe Wert 2.

  • Standard machen: Wenn Sie diese Option wählen, wird die Gruppe die Standardgruppe des importierten Benutzers.

• Im DN des Benutzers gespeicherte Gruppe:

  • OE-Komponenten-Index: Hier können Sie eine Gruppe nach ihrem OU-Index (Organisationseinheit) unter den DN-Komponenten auswählen. Der Index wird von rechts nach links gezählt: die erste OU-Gruppe von rechts hat den Index 1, die zweite von rechts hat den Index 2 und so weiter.

    

    In der obigen Abbildung sind zwei OU-Gruppen zu sehen: test_benutzer hat Index 1 (da sie die erste OE-Gruppe von rechts ist), Baum1 hat Index 2. Die anderen Komponenten sind keine OE und haben daher keinen Index.

  • Standard machen: Wenn Sie diese Option wählen, wird die Gruppe die Standardgruppe des importierten Benutzers.

• Baumgruppe im DN des Benutzers gespeichert: Hier können Sie die gesamte Baumstruktur der Gruppen importieren. Sie können den Import auf einen beliebigen Teil der Struktur beschränken, indem Sie die DN-Komponenten von links und von rechts abziehen. Geben Sie in den entsprechenden Textfeldern die Anzahl der Komponenten ein, die von links und rechts gestrippt werden sollen.
  auf der rechten Seite. Sie müssen mindestens eine Komponente auf der linken Seite (die CN-Komponente des Benutzers) und eine Komponente auf der rechten Seite (die DC-Komponente ganz rechts) entfernen.

  

  In der obigen Abbildung gibt es sechs Komponenten. Wenn Sie eine Komponente von der linken und eine von der rechten Seite entfernen, importieren Sie die folgende Struktur von Gruppen: MYQTESTLAB > test_users > Baum1 > Baum3. Wenn Sie Komponenten von links abziehen, entfernen Sie die Gruppen von unten nach oben aus der Struktur. Wenn Sie Komponenten von rechts abziehen, entfernen Sie die Gruppen von oben nach unten aus der Struktur.

  • Standard machen: Wenn Sie diese Option wählen, wird die unterste Gruppe der importierten Struktur die Standardgruppe des importierten Benutzers.

• Im memberOf-Attribut des Benutzers gespeicherte Gruppe:

  • Gruppe Basis-DN: MyQ kann Sicherheits- und Verteilergruppen importieren, die im Benutzerkonto memberOf Attribut. Die Sicherheitsgruppen werden verwendet, um die Zugriffsberechtigungen für ihre Mitglieder zu definieren. Verteilergruppen können für den Versand von E-Mails an eine Gruppe von Benutzern verwendet werden. Um festzulegen, welche Gruppen während des Imports berücksichtigt werden sollen, müssen Sie den Basis-DN der Gruppen eingeben. MyQ importiert nur Gruppen, die in der Basis-DN enthalten sind; andere Gruppen, die in der Datei memberOf Attribut werden ignoriert. Der Basis-DN der Gruppe muss sich nicht in der gleichen Organisationseinheit befinden wie die Basisdomäne des Benutzers. Wenn ein Benutzer Mitglied in mehr als einer Gruppe auf dem LDAP-Server ist, werden alle Gruppen in der memberOf Attribut. Daher ist die Standard machen die einen einzelnen Wert erfordert, ist für diese Importmethode nicht verfügbar.
    Um den Basis-DN der Gruppe hinzuzufügen, ziehen Sie ihn aus dem Datenbank-Browser und legen ihn im Feld Gruppe Basis-DN Textfeld.

  • Filter: Sie können diesen Import filtern, indem Sie die Werte von Attributen angeben. Fügen Sie die Bedingungen in das Formular ein: Attribut=Wert. Gruppen mit einem anderen Wert für dieses Attribut werden nicht akzeptiert und aus dem Import herausgefiltert. Sie können das Attribut * Symbol, um nach Teilzeichenfolgen zu suchen. Das Symbol kann von beiden Seiten angehängt werden. Wenn Sie zum Beispiel ein cn=*in* Bedingung, nur Benutzer, deren Common Name-Attribut "in" werden akzeptiert. Sie können eine Bedingung pro Zeile hinzufügen. Gruppen werden akzeptiert, wenn sie mindestens eine Bedingung erfüllen.

    

    • Leere Gruppen importieren: Wenn Sie diese Option wählen, werden Gruppen aus dem Gruppe Basis-DN importiert werden, auch wenn es keinen Benutzer gibt, der sie in seinem memberOf Attribut.

    • Baum der Gruppen importieren: Wenn Sie diese Option wählen, wird die gesamte Baumstruktur importiert. Andernfalls werden alle Gruppen einzeln hinzugefügt; nicht als Teil einer Baumstruktur.