Skip to main content
Skip table of contents

Configuración de una sincronización LDAP

La configuración consta de tres partes: la creación de la sincronización en el General estableciendo la importación de usuarios en la pestaña Usuarios y configurando la importación de grupos en la pestaña Grupos pestaña. Puede alternar entre estas pestañas en la barra situada en la esquina superior izquierda del panel de propiedades de sincronización LDAP.

image-20241125-115510.png

Ficha General

En el General establezca las propiedades generales de la sincronización: active o desactive la sincronización, seleccione el dominio del servidor LDAP, introduzca el nombre de usuario y la contraseña para acceder al servidor y, finalmente, seleccione exportar los usuarios importados a un archivo CSV. Consulte la lista siguiente para obtener una descripción de los ajustes individuales.

LDAP sync general tab settings

 

  • Activado: Aquí puede activar o desactivar la sincronización.

  • Servidor LDAP: Aquí puede seleccionar el dominio desde el que desea sincronizar.

  • Usuario: Introduzca el nombre de usuario para acceder al servidor de dominio LDAP.

  • Contraseña: Introduzca la contraseña de acceso al servidor de dominio LDAP.

  • Activado: Si activa la función Exportar a CSV tras una importación correcta MyQ crea un archivo CSV con los usuarios importados después de la sincronización.

  • Archivo: Seleccione la carpeta en la que desea guardar el archivo creado.

Una vez configurados correctamente los parámetros de conexión (servidor LDAP, usuario y contraseña) y guardados los ajustes, se abre el navegador LDAP en la parte derecha de la pantalla.

En el Usuario también se puede utilizar una cuenta de usuario de subdominio con suficientes derechos para la autenticación, pero se debe especificar el subdominio en el nombre de usuario.

Por ejemplo, el usuario Administrador se conecta al testAD.local servidor LDAP, pero su cuenta está en el cz.testAD.local subdominio. Para una autenticación correcta, el nombre de usuario debe ser:
Administrator@cz.testAD.local

Ficha Usuarios

En el Usuarios seleccione uno o más DNs base (nombres distinguidos) desde los que importar los usuarios. Además, puede asignar atributos de usuario del servidor LDAP a las propiedades de usuario en MyQ y seleccionar opciones adicionales relativas a la sincronización.

image-20241002-111308.png

  • Base DN: Aquí puede elegir el dominio o dominios base desde los que importará los usuarios. Haga clic en +Añadir para añadir un cuadro de texto para el nuevo DN base y, a continuación, arrastre un grupo desde el navegador de bases de datos y suéltelo en el cuadro de texto. Puede añadir múltiples dominios de esta manera.

    image-20241125-115854.png

  • Propiedades: Estas son las propiedades de cada usuario individual. MyQ encontrará y asignará automáticamente las propiedades del usuario Nombre de la cuenta SAM a nombre de usuario, cn a nombre completo y correo a Correo electrónico (esto sólo se aplica a Active directory y OpenLDAP). La propiedad nombre de usuario es la única que no se puede modificar. Para asignar un atributo a una propiedad, escriba el nombre del atributo en el cuadro de texto de la propiedad o arrástrelo desde los atributos de cualquier usuario individual y suéltelo en el cuadro de texto. Las siguientes propiedades permiten añadirles varios valores, separados por punto y coma (;):

    • Alias

    • PIN

    • Tarjeta

Por ejemplo, en el Alias puede añadir alias1;alias2;alias3.

El nombre del atributo AD no debe contener el carácter punto y coma (;). Si el punto y coma forma parte del nombre del atributo, ese atributo no se sincronizará en MyQ.

Para el Tarjeta y PIN el administrador puede elegir una de las siguientes opciones:

  1. No sincronizar: Esta opción omitirá la sincronización de estos valores.

  2. Sincronización total: Esta opción sustituirá los valores existentes por los nuevos valores de LDAP, independientemente de si el nuevo valor está vacío o no.

  3. Sincronizar si no está vacío: Esta opción reemplazará los valores existentes sólo si los nuevos valores de LDAP no están vacíos. No eliminará los valores existentes si el valor correspondiente en LDAP está vacío.

  4. Añadir nuevo: Esta opción actualizará los valores existentes añadiendo nuevos valores desde LDAP, sin reemplazar los existentes.

Para asignar idiomas por defecto a los usuarios, tienes que utilizar un atributo del servidor LDAP que tenga como valores las abreviaturas de los idiomas. Por ejemplo, puede crear y utilizar un atributo llamado lang con los valores en para el inglés, hr para croata, etc. Puede consultar la lista de las abreviaturas utilizadas en MyQ aquí.

  • Opciones: Para obtener una descripción de las opciones de sincronización habituales, consulte Información y configuración del usuario. Las opciones básicas que son comunes tanto para la sincronización desde servidores LDAP como para la sincronización desde ficheros CSV son:

    • Desactivar usuarios ausentes: Si selecciona esta opción, MyQ elimina los usuarios importados de la fuente de sincronización actual y que ya no están en la fuente. Para eliminar usuarios que se añadieron desde fuentes diferentes, seleccione la opción Ignorar fuente de sincronización junto con esta opción.

    • Añadir nuevos usuarios: Si selecciona esta opción, MyQ añade nuevos usuarios desde la fuente de sincronización actual. Si no la selecciona, MyQ actualiza las cuentas de usuario de los usuarios que ya están en MyQ, pero no añade ningún usuario nuevo.

    • Convertir el nombre de usuario a minúsculas: A diferencia de otros sistemas que no distinguen entre dos palabras con las mismas letras pero diferentes mayúsculas y minúsculas (como "Pera", "pera"), MyQ distingue entre mayúsculas y minúsculas. Puede utilizar el Convertir el nombre de usuario a minúsculas para evitar la creación de varias cuentas para un mismo usuario.

    • Utilizar servidor de autenticación: Si selecciona esta opción y un usuario inicia sesión introduciendo su nombre de usuario y contraseña, las credenciales no se autentican en la base de datos MyQ, sino en un servidor LDAP o Radius. Si sincroniza usuarios a través de LDAP, el servidor LDAP de origen se asigna automáticamente como
      el servidor de autenticación. Si sincroniza usuarios mediante CSV, puede seleccionar el servidor de autenticación de la lista de servidores de autenticación predefinidos.

    • Emparejar por el número personal: Si selecciona esta opción, MyQ identifica a los usuarios por su número personal en lugar de por su nombre de usuario. De este modo, puede realizar un seguimiento de un mismo usuario con diferentes nombres en distintas fuentes o de un usuario cuyo nombre ha cambiado por algún motivo. Por ejemplo, si esta opción está activada y un nombre de usuario en LDAP cambia de cat.stevens a yusuf.islamMyQ no crea una nueva cuenta de usuario, sino que reconoce al antiguo usuario por su número personal.

    • Ignorar fuente de sincronización: Si esta opción no está seleccionada, MyQ reconoce dos usuarios de diferentes fuentes de sincronización como dos entidades diferentes. Esto puede causar conflictos durante las sincronizaciones desde múltiples fuentes. Si está seleccionada, MyQ ignora las fuentes de sincronización y trata a todos los usuarios igual, independientemente de su fuente de sincronización. Por ejemplo, si ejecuta una sincronización y MyQ importaría/actualizaría un usuario que ya se ha añadido desde una fuente de sincronización diferente, no actualiza el usuario. En su lugar, muestra el mensaje El nombre/alias "X" ya está siendo utilizado por el usuario "X". entre los resultados de la sincronización. Después de seleccionar el Ignorar fuente de sincronización el usuario se actualiza con la última sincronización.
      Si selecciona esta opción junto con la opción Desactivar usuarios ausentes todos los usuarios que se añadieron desde fuentes diferentes y no están en la fuente de sincronización actual se eliminan durante la sincronización.

    • Añadir el nombre de dominio al nombre de usuario (username@domain.local): Con esta opción seleccionada, se puede recuperar el nombre del dominio a partir del nombre de usuario MyQ. La información sobre el dominio puede ser necesaria, por ejemplo, cuando se utiliza la exploración a las carpetas de inicio de los usuarios en un terminal integrado.

  • Filtro: Puede filtrar la importación de usuarios especificando los valores de los atributos. Añada las condiciones en forma de Sintaxis del filtro LDAP. Los usuarios con un valor diferente en este atributo no se aceptan y se filtran de la importación. Por ejemplo:

Filtro de búsqueda

Descripción

(objectClass=*)

Todos los objetos.

(&(objectCategory=persona)(objectClass=usuario)(!(cn=andy)))

Todos los objetos de usuario menos "andy".

(sn=sm*)

Todos los objetos cuyo apellido empiece por "sm".

(&(objectCategory=persona)(objectClass=contacto)(|(sn=Smith)(sn=Johnson)))

Todos los contactos con un apellido igual a "Smith" o "Johnson".

Para los atributos cuyos valores son cadenas, como el atributo cn, puede utilizar el símbolo comodín * para buscar subcadenas.

image-20241125-124947.png

Los atributos DN (como memberOf) no aceptan la búsqueda * con comodines y deben buscarse por la cadena completa.

Si el campo de filtro se deja vacío, se aplica automáticamente el filtro predeterminado actual para el tipo de fuente LDAP correspondiente.

Manejo de caracteres especiales en consultas LDAP sin procesar

Cuando se construyen consultas LDAP sin procesar, es crucial escapar correctamente los caracteres especiales dentro de los valores de los atributos para asegurar un procesamiento preciso de la consulta por parte del servidor LDAP. Los caracteres especiales como barras invertidas (\), punto y coma (;), asteriscos (*), paréntesis (( y )) y caracteres nulos (\0) deben escaparse sólo cuando aparezcan en valores de atributos (por ejemplo, el atributo de usuario - correo electrónico, departamento, memberOfetc), no cuando forman parte de la sintaxis de consulta LDAP.

Escapar de las normas:

  • \ (barra invertida) escapa a \5c

  • ; (punto y coma) se escapa a \3b

  • * (asterisco) se escapa a \2a

  • ( (paréntesis izquierdo) escapa a \28

  • ) (paréntesis derecho) se escapa a \29

  • \0 (carácter nulo) escapa a \00

  • TransformaciónEsta función permite a los administradores definir expresiones regulares (RegEx) para transformar los datos de usuario durante el proceso de sincronización. aquí.

Pestaña Grupos

En esta pestaña puede importar grupos y la estructura de grupos desde la fuente LDAP. Hay cuatro formas diferentes de especificar qué grupos se importan. Puede utilizar varios métodos diferentes juntos y, con cada método, puede crear diferentes grupos de usuarios. También puede seleccionar importar los grupos bajo un grupo existente en MyQ.

LDAP sync groups tab

  • No cambiar el grupo por defecto: Un usuario puede ser miembro de varios grupos, pero todas sus impresiones, copias y escaneados se contabilizan en un solo grupo: el grupo por defecto (contable) del usuario. Si selecciona esta opción, el grupo por defecto del usuario seleccionado no cambia durante la sincronización.

  • Importar grupos bajo este grupo: Puede seleccionar un grupo existente en MyQ bajo el cual importar los grupos de la base de datos LDAP.

  • Grupos almacenados en el atributo del usuario:

    • Atributo: Puede seleccionar esta opción si desea utilizar un atributo que defina grupos en la base de datos LDAP. Para añadirlo, escriba el nombre del atributo en el cuadro de texto de propiedades o arrastre el atributo desde cualquier usuario individual y suéltelo en el campo Atributo cuadro de texto.

      image-20241125-120217.png

      También puede crear grupos combinando varios atributos. Para crear estos grupos, coloque cada uno de los atributos entre dos signos de porcentaje (%). Por ejemplo, la combinación de atributos %atributo1%_%atributo 2% importa un nuevo grupo denominado valor1_valor2.

      image-20241125-120503.png

      Además, puede crear estructuras de árbol de grupos separando los atributos con barras verticales. Por ejemplo, la combinación de atributos %atributo1%|%atributo2%importa un grupo valor1y su subgrupo valor 2.

    • Por defecto: Si selecciona esta opción, el grupo se convierte en el grupo por defecto del usuario importado.

  • Grupo almacenado en el DN del usuario:

    • Índice de componentes OU: Aquí puede seleccionar un grupo por su índice OU (unidad organizativa) entre los componentes DN. El índice se cuenta de derecha a izquierda: el primer grupo OU de la derecha tiene índice 1el segundo por la derecha tiene el índice 2 etc.

      image-20241125-123022.png

      En la imagen superior, hay dos grupos OU: usuarios_prueba tiene índice 1 (ya que es el primer grupo OU de la derecha), árbol1 tiene índice 2. Los demás componentes no son OU y, por tanto, no tienen índice.

    • Por defecto: Si selecciona esta opción, el grupo se convierte en el grupo por defecto del usuario importado.

  • Grupo de árbol almacenado en el DN del usuario: Aquí puede importar toda la estructura de árbol de los grupos. Puede restringir la importación a cualquier parte de la estructura separando los componentes DN de la izquierda y de la derecha. En los cuadros de texto correspondientes, introduzca la cantidad de componentes que deben separarse por la izquierda y por la derecha.
    del lado derecho. Tiene que quitar al menos un componente de la izquierda (el componente CN del usuario) y un componente de la derecha (el componente CC más a la derecha).

    image-20241125-124555.png

    En la imagen de arriba, hay seis componentes. Si se quita un componente de la izquierda y otro de la derecha, se importa la siguiente estructura de grupos: MYQTESTLAB > usuarios_prueba > árbol1 > árbol3. Al eliminar los componentes de la izquierda, se eliminan los grupos de la parte inferior a la superior de la estructura. Al eliminar los componentes de la derecha, se eliminan los grupos de la parte superior a la inferior de la estructura.

    • Por defecto: Si selecciona esta opción, el grupo inferior de la estructura importada se convierte en el grupo por defecto del usuario importado.

  • Grupo almacenado en el atributo memberOf del usuario:

    • Grupo base DN: MyQ puede importar grupos de seguridad y distribución almacenados en el memberOf atributo. Los grupos de seguridad se utilizan para definir los permisos de acceso concedidos a sus miembros. Los grupos de distribución se pueden utilizar para enviar correos electrónicos a un grupo de usuarios. Para especificar qué grupos deben tenerse en cuenta durante la importación, hay que insertar el DN base de los grupos. MyQ importa sólo los grupos que están incluidos en el DN base; otros grupos almacenados en el memberOf se ignoran. El DN base del grupo no tiene por qué estar en la misma unidad organizativa que el dominio base del usuario. Si un usuario es miembro de más de un grupo en el servidor LDAP, todos los grupos se almacenan en el directorio memberOf atributo. Por lo tanto, el Por defecto que requiere un único valor, no está disponible para este método de importación.
      Para añadir el DN base de grupos, arrástrelo desde el explorador de bases de datos y suéltelo en el campo Grupo base DN cuadro de texto.

    • Filtro: Puede filtrar esta importación especificando los valores de los atributos. Añada las condiciones en el formulario: Atributo=Valor. Los grupos con un valor diferente en este atributo no se aceptan y se filtran de la importación. Puede utilizar el atributo * para buscar subcadenas. El símbolo puede añadirse por ambos lados. Por ejemplo, si añade un símbolo cn=*en* sólo los usuarios cuyo atributo de nombre común contenga "en". Puede añadir una condición por fila. Los grupos se aceptan si cumplen al menos una condición.

      image-20241125-125316.png

      • Importar grupos vacíos: Si selecciona esta opción, los grupos del Grupo base DN se importan aunque no haya ningún usuario que los tenga en su memberOf atributo.

      • Importar árbol de grupos: Si selecciona esta opción, se importará toda la estructura de árbol. De lo contrario, todos los grupos se añaden por separado; no como parte de una estructura de árbol.

 

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.

Contact Support Close