.png)
Impostazione di una sincronizzazione LDAP
L'impostazione è composta da tre parti: creazione della sincronizzazione sul server Generale impostare l'importazione di utenti nella scheda Utenti e l'impostazione dell'importazione dei gruppi nella scheda Gruppi scheda. È possibile passare da una scheda all'altra sulla barra nell'angolo superiore sinistro del pannello delle proprietà di sincronizzazione LDAP.
Scheda Generale
Sul Generale Nella scheda "Sincronizzazione", impostare le proprietà generali della sincronizzazione: abilitare o disabilitare la sincronizzazione, selezionare il dominio del server LDAP, inserire il nome utente e la password per l'accesso al server, infine selezionare l'esportazione degli utenti importati in un file CSV. Per una descrizione delle singole impostazioni, consultare l'elenco seguente.
Abilitato: Qui è possibile attivare o disattivare la sincronizzazione.
Server LDAP: Qui è possibile selezionare il dominio da cui si desidera effettuare la sincronizzazione.
Utente: Inserire il nome utente per accedere al server di dominio LDAP.
Password: Inserire la password di accesso al server di dominio LDAP.
Abilitato: Se si abilita la funzione Esportazione in CSV dopo un'importazione riuscita MyQ crea un file CSV con gli utenti importati dopo la sincronizzazione.
File: Selezionare la cartella in cui salvare il file creato.
Dopo aver impostato correttamente i parametri di connessione (server LDAP, utente e password) e aver salvato le impostazioni, si apre il browser LDAP sul lato destro dello schermo.
Nel Utente è possibile utilizzare per l'autenticazione anche un account utente di un sottodominio con diritti sufficienti, ma il sottodominio deve essere specificato nel nome utente.
Ad esempio, l'utente Amministratore si collega al testAD.local server LDAP, ma il loro account si trova nella sezione cz.testAD.local sottodominio. Per un'autenticazione riuscita, il nome utente compilato deve essere:
Administrator@cz.testAD.local
Scheda Utenti
Sul Utenti selezionare uno o più DN (distinguished names) di base da cui importare gli utenti. Inoltre, è possibile assegnare gli attributi dell'utente dal server LDAP alle proprietà dell'utente in MyQ e selezionare altre opzioni relative alla sincronizzazione.
DN base: Qui è possibile scegliere il dominio o i domini di base da cui importare gli utenti. Fare clic su +Aggiungi per aggiungere una casella di testo per il nuovo DN di base, quindi trascinare un gruppo dal browser del database e rilasciarlo nella casella di testo. In questo modo è possibile aggiungere più domini.
Proprietà: Sono le proprietà di ogni singolo utente. MyQ troverà e assegnerà automaticamente le proprietà dell'utente. Nome dell'account SAM a nome utente, cn a nome e cognome e posta a Email (questo vale solo per Active directory e OpenLDAP). La proprietà del nome utente è l'unica che non può essere modificata. Per assegnare un attributo a una proprietà, scrivere il nome dell'attributo nella casella di testo della proprietà o trascinarlo dagli attributi di ogni singolo utente e rilasciarlo nella casella di testo. Le seguenti proprietà consentono di aggiungere più valori, separati da un punto e virgola (;):
Alias
PIN
Scheda
Ad esempio, nel Alias si può aggiungere alias1;alias2;alias3.
Il nome dell'attributo AD non deve contenere il carattere punto e virgola (;). Se il punto e virgola fa parte del nome dell'attributo, questo non sarà sincronizzato in MyQ.
Per il Scheda e PIN l'amministratore può scegliere una delle seguenti opzioni:
Non sincronizzare: Questa opzione salta la sincronizzazione di questi valori.
Sincronizzazione completa: Questa opzione sostituisce i valori esistenti con i nuovi valori di LDAP, indipendentemente dal fatto che il nuovo valore sia vuoto o meno.
Sincronizza se non è vuoto: Questa opzione sostituisce i valori esistenti solo se i nuovi valori di LDAP non sono vuoti. Non rimuoverà i valori esistenti se il valore corrispondente in LDAP è vuoto.
Aggiungi nuovo: Questa opzione aggiorna i valori esistenti aggiungendo nuovi valori da LDAP, senza sostituire quelli esistenti.
Per assegnare le lingue predefinite agli utenti, è necessario utilizzare un attributo del server LDAP che abbia come valori le abbreviazioni delle lingue. Ad esempio, è possibile creare e utilizzare un attributo chiamato lang con i valori it per l'inglese, hr per il croato, ecc. L'elenco delle abbreviazioni usate in MyQ è disponibile qui.
Opzioni: Per una descrizione delle opzioni di sincronizzazione più comuni, vedere Informazioni e impostazioni dell'utente. Le opzioni di base, comuni sia per la sincronizzazione da server LDAP che per la sincronizzazione da file CSV, sono le seguenti:
Disattivare gli utenti mancanti: Se si seleziona questa opzione, MyQ elimina gli utenti importati dall'origine di sincronizzazione corrente e che non sono più presenti nell'origine. Per eliminare gli utenti aggiunti da fonti diverse, selezionare l'opzione Ignorare la fonte di sincronizzazione insieme a questa opzione.
Aggiungere nuovi utenti: Se si seleziona questa opzione, MyQ aggiunge nuovi utenti dalla sorgente di sincronizzazione corrente. Se non la si seleziona, MyQ aggiorna gli account degli utenti già presenti in MyQ, ma non aggiunge nuovi utenti.
Convertire il nome utente in minuscolo: A differenza di altri sistemi che non fanno differenza tra due parole con le stesse lettere ma con casi diversi (come "Pear", "pera"), MyQ è sensibile alle maiuscole e alle minuscole. È possibile utilizzare l'opzione Convertire il nome utente in minuscolo per evitare la creazione di più account per un utente.
Utilizzare il server di autenticazione: Se si seleziona questa opzione e un utente accede inserendo nome utente e password, le credenziali non vengono autenticate rispetto al database MyQ, ma rispetto a un server LDAP o Radius. Se si sincronizzano gli utenti tramite LDAP, il server LDAP di origine viene assegnato automaticamente come
il server di autenticazione. Se si sincronizzano gli utenti tramite CSV, è possibile selezionare il server di autenticazione dall'elenco dei server di autenticazione predefiniti.Accoppiamento con il numero personale: Se si seleziona questa opzione, MyQ identifica gli utenti in base al loro numero personale anziché al loro nome utente. In questo modo è possibile tenere traccia di un singolo utente con nomi diversi in fonti diverse o di un utente il cui nome è cambiato per qualche motivo. Ad esempio, se questa opzione è attivata e un nome utente in LDAP cambia da cat.stevens a yusuf.islamMyQ non crea un nuovo account utente, ma riconosce il vecchio utente tramite il suo numero personale.
Ignorare la fonte di sincronizzazione: Se questa opzione non è selezionata, MyQ riconosce due utenti provenienti da fonti di sincronizzazione diverse come due entità diverse. Questo può causare conflitti durante le sincronizzazioni da più fonti. Se è selezionata, MyQ ignora le fonti di sincronizzazione e tratta tutti gli utenti allo stesso modo, indipendentemente dalla loro fonte di sincronizzazione. Ad esempio, se si esegue una sincronizzazione e MyQ vuole importare/aggiornare un utente già aggiunto da una fonte di sincronizzazione diversa, non aggiorna l'utente. Al contrario, viene visualizzato il messaggio Il nome/alias "X" è già utilizzato dall'utente "X". tra i risultati della sincronizzazione. Dopo aver selezionato il Ignorare la fonte di sincronizzazione l'utente viene aggiornato dall'ultima sincronizzazione.
Se si seleziona questa opzione insieme all'opzione Disattivare gli utenti mancanti tutti gli utenti aggiunti da fonti diverse e non presenti nell'origine di sincronizzazione corrente vengono eliminati durante la sincronizzazione.Aggiungere il nome del dominio al nome utente (username@domain.local): Con questa opzione selezionata, il nome del dominio può essere recuperato dal nome utente di MyQ. L'informazione sul dominio può essere necessaria, ad esempio, quando si utilizza la scansione delle cartelle domestiche degli utenti su un terminale incorporato.
Filtro: È possibile filtrare l'importazione degli utenti specificando i valori degli attributi. Aggiungere le condizioni sotto forma di Sintassi del filtro LDAP. Gli utenti con un valore diverso su questo attributo non sono accettati e vengono filtrati dall'importazione. Ad esempio:
Filtro di ricerca | Descrizione |
|---|---|
(objectClass=*) | Tutti gli oggetti. |
(&(objectCategory=person)(objectClass=user)(!(cn=andy))) | Tutti gli oggetti utente tranne "andy". |
(sn=sm*) | Tutti gli oggetti con un cognome che inizia con "sm". |
(&(objectCategory=persona)(objectClass=contatto)(|(sn=Smith)(sn=Johnson))) | Tutti i contatti con un cognome uguale a "Smith" o "Johnson". |
Per gli attributi in cui i valori sono stringhe, come l'attributo cn, si può usare il simbolo jolly * per cercare le sottostringhe.
Gli attributi DN (come memberOf) non accettano la ricerca con caratteri jolly * e devono essere ricercati per l'intera stringa.
Se il campo del filtro viene lasciato vuoto, viene applicato automaticamente il filtro predefinito corrente per il rispettivo tipo di sorgente LDAP.
Gestione dei caratteri speciali nelle query LDAP grezze
Quando si costruiscono le query LDAP grezze, è fondamentale eseguire correttamente l'escape dei caratteri speciali all'interno dei valori degli attributi per garantire un'elaborazione accurata delle query da parte del server LDAP. I caratteri speciali come i backslash (\), i punti e virgola (;), gli asterischi (*), le parentesi (( e )) e i caratteri nulli (\0) devono essere evasi solo quando compaiono nei valori degli attributi (ad esempio, l'attributo dell'utente - e-mail, reparto, membroDi, ecc.), non quando fanno parte della sintassi della query LDAP.
Sfuggire alle regole:
\(backslash) sfugge a\5c
;(punto e virgola) sfugge a\3b
*(asterisco) sfugge a\2a
((parentesi a sinistra) sfugge a\28
)(parentesi destra) sfugge a\29
\0(carattere nullo) sfugge a\00
TrasformazioneQuesta funzione consente agli amministratori di definire espressioni regolari (RegEx) per trasformare i dati degli utenti durante il processo di sincronizzazione. qui.
Scheda Gruppi
In questa scheda è possibile importare i gruppi e la struttura dei gruppi dall'origine LDAP. Esistono quattro modi diversi per specificare i gruppi da importare. È possibile utilizzare più metodi diversi insieme e, con ciascun metodo, creare gruppi di utenti diversi. Si può anche scegliere di importare i gruppi sotto un gruppo esistente in MyQ.
Non modificare il gruppo predefinito: Un utente può essere membro di più gruppi, ma tutte le sue stampe, copie e scansioni vengono contabilizzate in un solo gruppo: il gruppo predefinito (contabile) dell'utente. Se si seleziona questa opzione, il gruppo predefinito dell'utente selezionato non cambia durante la sincronizzazione.
Importazione di gruppi sotto questo gruppo: È possibile selezionare un gruppo esistente in MyQ sotto il quale importare i gruppi dal database LDAP.
Gruppi memorizzati nell'attributo dell'utente:
Attributo: È possibile selezionare questa opzione se si desidera utilizzare un attributo che definisce i gruppi nel database LDAP. Per aggiungerlo, digitate il nome dell'attributo nella casella di testo della proprietà o trascinate l'attributo da qualsiasi utente individuale e rilasciatelo nella casella Attributo casella di testo.
È anche possibile creare gruppi combinando più attributi. Per creare questi gruppi, mettete ciascuno degli attributi tra due segni di percentuale (%). Ad esempio, la combinazione di attributi %attributo1%_%attributo 2% , importa un nuovo gruppo chiamato valore1_valore2.
Inoltre, è possibile creare strutture ad albero di gruppi separando gli attributi con barre verticali. Ad esempio, la combinazione di attributi %attributo1%|%attributo2%, importa un gruppo valore1e il suo sottogruppo valore 2.
Rendere predefinito: Se si seleziona questa opzione, il gruppo diventa il gruppo predefinito dell'utente importato.
Gruppo memorizzato nel DN dell'utente:
Indice di componente OU: Qui è possibile selezionare un gruppo in base al suo indice OU (unità organizzativa) tra i componenti DN. L'indice viene contato da destra a sinistra: il primo gruppo OU da destra ha indice 1, il secondo da destra ha indice 2 e così via.
Nell'immagine precedente sono presenti due gruppi OU: utenti_di_test ha un indice 1 (poiché è il primo gruppo OU da destra), albero1 ha un indice 2. Gli altri componenti non sono OU e quindi non hanno un indice.
Rendere predefinito: Se si seleziona questa opzione, il gruppo diventa il gruppo predefinito dell'utente importato.
Gruppo di alberi memorizzato nel DN dell'utente: Qui è possibile importare l'intera struttura ad albero dei gruppi. È possibile limitare l'importazione a una parte qualsiasi della struttura, eliminando i componenti DN da sinistra e da destra. Nelle rispettive caselle di testo, inserire la quantità di componenti da spogliare da sinistra e da destra.
dal lato destro. È necessario togliere almeno un componente da sinistra (il componente CN dell'utente) e un componente da destra (il componente DC più a destra).
Nell'immagine qui sopra, ci sono sei componenti. Se si toglie un componente da sinistra e uno da destra, si ottiene la seguente struttura di gruppi: MYQTESTLAB > test_users > tree1 > tree3. Se si eliminano i componenti da sinistra, si rimuovono i gruppi dal basso verso l'alto della struttura. Spogliando i componenti da destra, si rimuovono i gruppi dall'alto verso il basso della struttura.
Rendere predefinito: Se si seleziona questa opzione, il gruppo inferiore della struttura importata diventa il gruppo predefinito dell'utente importato.
Gruppo memorizzato nell'attributo memberOf dell'utente:
Gruppo base DN: MyQ può importare i gruppi di sicurezza e di distribuzione memorizzati nel database dell'utente. membroDi attributo. I gruppi di sicurezza vengono utilizzati per definire le autorizzazioni di accesso concesse ai loro membri. I gruppi di distribuzione possono essere utilizzati per inviare e-mail a un gruppo di utenti. Per specificare quali gruppi devono essere presi in considerazione durante l'importazione, è necessario inserire il DN di base dei gruppi. MyQ importa solo i gruppi che sono inclusi nel DN di base; gli altri gruppi memorizzati nel database di MyQ. membroDi sono ignorati. Il DN di base del gruppo non deve necessariamente trovarsi nella stessa unità organizzativa del dominio di base dell'utente. Se un utente è membro di più di un gruppo sul server LDAP, tutti i gruppi sono memorizzati nel file membroDi attributo. Pertanto, l'attributo Rendere predefinito che richiede un singolo valore, non è disponibile per questo metodo di importazione.
Per aggiungere il DN di base dei gruppi, trascinarlo dal browser del database e rilasciarlo nel campo Gruppo base DN casella di testo.Filtro: È possibile filtrare l'importazione specificando i valori degli attributi. Aggiungere le condizioni nel modulo: Attributo=Valore. I gruppi con un valore diverso di questo attributo non sono accettati e vengono filtrati dall'importazione. È possibile utilizzare l'opzione * per cercare le sottostringhe. Il simbolo può essere aggiunto da entrambi i lati. Ad esempio, se si aggiunge un simbolo cn=*in* solo gli utenti il cui attributo nome comune contiene "in" sono accettati. È possibile aggiungere una condizione per riga. I gruppi vengono accettati se soddisfano almeno una condizione.
Importazione di gruppi vuoti: Se si seleziona questa opzione, i gruppi della Gruppo base DN vengono importati anche se non ci sono utenti che li hanno nella loro membroDi attributo.
Importazione dell'albero dei gruppi: Se si seleziona questa opzione, viene importata l'intera struttura ad albero. Altrimenti, tutti i gruppi vengono aggiunti separatamente, non come parte di una struttura ad albero.