.png)
Configurar una sincronización LDAP
La configuración consta de tres partes: crear la sincronización en la pestaña General, configurar la importación de usuarios en la pestaña Usuarios y configurar la importación de grupos en la pestaña Grupos. Puede alternar entre estas pestañas en la barra situada en la esquina superior izquierda del panel de propiedades de sincronización LDAP.
Pestaña General
En la pestaña General, configure las propiedades generales de la sincronización: active o desactive la sincronización, seleccione el dominio del servidor LDAP, introduzca el nombre de usuario y la contraseña para acceder al servidor y, si lo desea, seleccione la opción de exportar los usuarios importados a un archivo CSV. Consulte la lista siguiente para obtener una descripción de cada uno de los ajustes.
Habilitado: Aquí puede habilitar o deshabilitar la sincronización.
Servidor LDAP: Aquí puede seleccionar el dominio desde el que desea sincronizar.
Usuario: Introduzca el nombre de usuario para acceder al servidor del dominio LDAP.
Contraseña: Introduzca la contraseña para acceder al servidor del dominio LDAP.
Habilitado: Si habilita la opción Exportar a CSV tras una importación correcta, MyQ crea un archivo CSV con los usuarios importados tras la sincronización.
Archivo: Seleccione la carpeta donde desea guardar el archivo creado.
Una vez que haya configurado correctamente los parámetros de conexión (servidor LDAP, usuario y contraseña) y guardado la configuración, se abrirá el navegador LDAP en la parte derecha de la pantalla.
En la configuración de usuario, también se puede utilizar una cuenta de usuario de un subdominio con derechos suficientes para la autenticación, pero el subdominio debe especificarse en el nombre de usuario.
Por ejemplo, el usuario Administrator se conecta al servidor LDAP testAD.local, pero su cuenta se encuentra en el subdominio cz.testAD.local. Para que la autenticación se realice correctamente, el nombre de usuario que debe introducirse es:
Administrator@cz.testAD.local
Pestaña Usuarios
En la pestaña Usuarios, seleccione uno o varios DN base (nombres distinguidos) desde los que importar los usuarios. Además, puede asignar atributos de usuario del servidor LDAP a las propiedades de usuario en MyQ y seleccionar opciones adicionales relativas a la sincronización.
DN base: Aquí puede seleccionar el dominio o dominios base desde los que importar usuarios. Haga clic en +Añadir para añadir un cuadro de texto para el nuevo DN base y, a continuación, arrastre un grupo desde el explorador de la base de datos y suéltelo en el cuadro de texto. Puede añadir varios dominios de esta manera.
Propiedades: Estas son las propiedades de cada usuario individual. MyQ buscará y asignará automáticamente el nombre de cuenta SAM del usuario al nombre de usuario, cn al nombre completo y mail al correo electrónico (esto se aplica solo a Active Directory y OpenLDAP). La propiedad del nombre de usuario es la única que no se puede cambiar. Para asignar un atributo a una propiedad, escriba el nombre del atributo en el cuadro de texto de la propiedad o arrástrelo desde los atributos de cualquier usuario individual y suéltelo en el cuadro de texto. Las siguientes propiedades admiten la adición de varios valores, separados por un punto y coma (;):
Alias
PIN
Tarjeta
Por ejemplo, en la propiedad Alias, podría añadir alias1;alias2;alias3.
El nombre del atributo AD no debe contener el carácter punto y coma (;). Si un punto y coma forma parte del nombre del atributo, dicho atributo no se sincronizará en MyQ.
Para asignar idiomas predeterminados a los usuarios, debe utilizar un atributo del servidor LDAP que tenga las abreviaturas de los idiomas como valores. Por ejemplo, puede crear y utilizar un atributo llamado lang con los valores en para inglés, hr para croata, etc. La lista de las abreviaturas utilizadas en el servidor MyQ se puede encontrar aquí.
Opciones: Para obtener una descripción de las opciones de sincronización comunes, consulte Información y configuración del usuario. Las opciones básicas comunes tanto para la sincronización desde servidores LDAP como para la sincronización desde archivos CSV son:
Desactivar usuarios que faltan: Si selecciona esta opción, MyQ elimina los usuarios que se importan desde la fuente de sincronización actual y que ya no se encuentran en dicha fuente. Para eliminar usuarios que se añadieron desde fuentes diferentes, seleccione la opción Ignorar fuente de sincronización junto con esta opción.
Añadir nuevos usuarios: Si selecciona esta opción, MyQ añade nuevos usuarios desde la fuente de sincronización actual. Si no la selecciona, MyQ actualiza las cuentas de los usuarios que ya están en MyQ, pero no añade ningún usuario nuevo.
Convertir nombre de usuario a minúsculas: A diferencia de otros sistemas que no distinguen entre dos palabras con las mismas letras pero en mayúsculas y minúsculas (como «Pear» y «pear»), MyQ distingue entre mayúsculas y minúsculas. Puede utilizar la opción Convertir nombre de usuario a minúsculas para evitar la creación de varias cuentas para un mismo usuario.
Usar servidor de autenticación: Si selecciona esta opción y un usuario inicia sesión introduciendo su nombre de usuario y contraseña, las credenciales no se autentican contra la base de datos de MyQ, sino contra un servidor LDAP o Radius. Si sincroniza usuarios a través de LDAP, el servidor LDAP de origen se asigna automáticamente como
servidor de autenticación. Si sincroniza usuarios a través de CSV, puede seleccionar el servidor de autenticación de la lista de servidores de autenticación predefinidos.Emparejar por número personal: Si selecciona esta opción, MyQ identifica a los usuarios por su número personal en lugar de por sus nombres de usuario. De esta forma, puede realizar un seguimiento de un mismo usuario con nombres diferentes en distintas fuentes o de un usuario cuyo nombre haya cambiado por algún motivo. Por ejemplo, si esta opción está activada y un nombre de usuario en LDAP cambia de cat.stevens a yusuf.islam, MyQ no crea una nueva cuenta de usuario, sino que reconoce al usuario anterior por su número personal.
Ignorar fuente de sincronización: Si esta opción no está seleccionada, MyQ reconoce a dos usuarios de diferentes fuentes de sincronización como dos entidades distintas. Esto puede provocar conflictos durante las sincronizaciones desde múltiples fuentes. Si está seleccionada, MyQ ignora las fuentes de sincronización y trata a todos los usuarios de la misma manera, independientemente de su fuente de sincronización. Por ejemplo, si ejecuta una sincronización y MyQ fuera a importar/actualizar un usuario que ya se ha añadido desde una fuente de sincronización diferente, no actualiza al usuario. En su lugar, muestra el mensaje «El nombre/alias "X" ya está en uso por el usuario "X"» entre los resultados de la sincronización. Después de seleccionar la opción Ignorar fuente de sincronización, el usuario se actualiza con la última sincronización.
Si selecciona esta opción junto con la opción Desactivar usuarios que faltan, todos los usuarios que se añadieron desde fuentes diferentes y que no se encuentran en la fuente de sincronización actual se eliminan durante la sincronización.Añadir el nombre de dominio al nombre de usuario (username@domain.local): Con esta opción seleccionada, el nombre del dominio se puede recuperar del nombre de usuario de MyQ. La información sobre el dominio puede ser necesaria, por ejemplo, cuando se utiliza el escaneo a las carpetas de inicio de los usuarios en un Embedded Terminal.
Filtro: Puede filtrar la importación de usuarios especificando los valores de los atributos. Añada las condiciones en el formato: Atributo=Valor. Los usuarios con un valor diferente en este atributo no se aceptan y se filtran fuera de la importación.
Para los atributos cuyos valores son cadenas, como el atributo cn, puede utilizar el símbolo * para buscar subcadenas. El símbolo se puede añadir a ambos lados. Por ejemplo, si añade una condición cn=*in*, solo se aceptarán los usuarios cuyo atributo de nombre común contenga «in».
Añada una condición por línea. Los usuarios serán aceptados si cumplen al menos una condición.
Pestaña Grupos
En esta pestaña, puede importar grupos y la estructura de grupos desde la fuente LDAP. Hay cuatro formas diferentes de especificar qué grupos se importan. Puede utilizar varios métodos diferentes a la vez y, con cada método, puede crear diferentes grupos de usuarios. También puede seleccionar importar los grupos bajo un grupo existente en MyQ.
No cambiar el grupo predeterminado: un usuario puede ser miembro de varios grupos, pero todas sus impresiones, copias y escaneos se contabilizan en un solo grupo: el grupo predeterminado (de contabilidad) del usuario. Si selecciona esta opción, el grupo predeterminado del usuario seleccionado no cambia durante la sincronización.
Importar grupos bajo este grupo: puede seleccionar un grupo existente en MyQ bajo el cual importar los grupos de la base de datos LDAP.
Grupos almacenados en el atributo del usuario:
Atributo: Puede seleccionar esta opción si desea utilizar un atributo que defina grupos en la base de datos LDAP. Para añadirlo, escriba el nombre del atributo en el cuadro de texto de la propiedad o arrastre el atributo desde cualquier usuario individual y suéltelo en el cuadro de texto Atributo.
También puede crear grupos combinando varios atributos. Para crear dichos grupos, coloque cada uno de los atributos entre dos signos de porcentaje (%). Por ejemplo, la combinación de atributos %atributo1%_%atributo2% importa un nuevo grupo denominado valor1_valor2.
Además, puede crear estructuras de árbol de grupos separando los atributos con barras verticales. Por ejemplo, la combinación de atributos %atributo1%|%atributo2% importa un grupo valor1 y su subgrupo valor2.
Establecer como predeterminado: si selecciona esta opción, el grupo se convierte en el grupo predeterminado del usuario importado.
Grupo almacenado en el DN del usuario:
Índice del componente de la unidad organizativa (OU): Aquí puede seleccionar un grupo por su índice de unidad organizativa (OU) entre los componentes del DN. El índice se cuenta de derecha a izquierda: el primer grupo de OU desde la derecha tiene el índice 1, el segundo desde la derecha tiene el índice 2 y así sucesivamente.
En la imagen anterior, hay tres grupos de OU: MYQ_IMPORT_TEST tiene el índice 1 (ya que es el primer grupo de OU desde la derecha), famous_people tiene el índice 2 y Painters tiene el índice 3. Los demás componentes no son OU y, por lo tanto, no tienen índice.
Establecer como predeterminado: si selecciona esta opción, el grupo se convierte en el grupo predeterminado del usuario importado.
Árbol de grupos almacenado en el DN del usuario: Aquí puede importar toda la estructura de árbol de grupos. Puede restringir la importación a cualquier parte de la estructura eliminando los componentes del DN de la izquierda y de la derecha. En los cuadros de texto correspondientes, introduzca la cantidad de componentes que se eliminarán del lado izquierdo y
del lado derecho. Debe eliminar al menos un componente de la izquierda (el componente CN del usuario) y un componente de la derecha (el componente DC más a la derecha).
En la imagen anterior, hay seis componentes. Si elimina un componente de la izquierda
y otro de la derecha, importará la siguiente estructura de grupos: testAD > MYQ_IMPORT_TEST > famous_people > Painters. Al eliminar componentes de la izquierda, se eliminan los grupos de abajo hacia arriba en la estructura. Al eliminar componentes de la derecha, se eliminan los grupos de arriba hacia abajo en la estructura.Establecer como predeterminado: si seleccionas esta opción, el grupo inferior de la estructura importada se convierte en el grupo predeterminado del usuario importado.
Grupo almacenado en el atributo memberOf del usuario:
DN base del grupo: MyQ puede importar grupos de seguridad y de distribución almacenados en el atributo memberOf del usuario. Los grupos de seguridad se utilizan para definir los permisos de acceso concedidos a sus miembros. Los grupos de distribución se pueden utilizar para enviar correos electrónicos a un grupo de usuarios. Para especificar qué grupos deben tenerse en cuenta durante la importación, debe introducir el DN base de los grupos. MyQ solo importa los grupos que están incluidos en el DN base; se ignoran los demás grupos almacenados en el atributo memberOf. El DN base de los grupos no tiene por qué estar en la misma unidad organizativa que el dominio base de los usuarios. Si un usuario es miembro de más de un grupo en el servidor LDAP, todos los grupos se almacenan en el atributo memberOf. Por lo tanto, la opción Establecer como predeterminado, que requiere un único valor, no está disponible para este método de importación.
Para añadir el DN base de los grupos, arrástrelo desde el explorador de la base de datos y suéltelo en el cuadro de texto DN base de los grupos.Filtro: Puede filtrar esta importación especificando los valores de los atributos. Añada las condiciones en el formato: Atributo=Valor. Los grupos con un valor diferente en este atributo no se aceptan y se filtran fuera de la importación. Puede utilizar el símbolo * para buscar subcadenas. El símbolo se puede añadir a ambos lados. Por ejemplo, si añade una condición cn=*in*, solo se aceptarán los usuarios cuyo atributo de nombre común contenga «in». Puede añadir una condición por línea. Los grupos se aceptan si cumplen al menos una condición.
Importar grupos vacíos: si selecciona esta opción, se importarán los grupos del DN base del grupo, incluso si no hay ningún usuario que los tenga en su atributo memberOf.
Importar árbol de grupos: si selecciona esta opción, se importa toda la estructura de árbol. De lo contrario, todos los grupos se añaden por separado, no como parte de una estructura de árbol.
