Finde deine Lösung

Home Forum Nuclos Bedienung Administration und Installation LDAP (Active Directory) und Benutzerimport

Ansicht von 5 Beiträgen - 1 bis 5 (von insgesamt 5)
  • Autor
    Beiträge
  • 12 August 2010 um 21:14 Uhr #2384
    Matthias Haake
    Teilnehmer

    Hallo,

    ich habe die LDAP-Anbindung anscheinend zum Laufen gebracht:

    -login-config.xml im JBoss-Server angepasst
    -In Nuclos eine LDAP-Konfiguration hinterlegt
    -In der DB-Tabelle „T_AD_PARAMETER“ die benötigten Sachen eingetragen
    -Einen ersten Benutzer manuell in Nuclos angelegt (der auch in der Active Directory existiert) und als SuperUser berechtigt.
    -JBoss neu gestartet
    -Anmeldung an Nuclos funktioniert mit dem besagten User. Mit dem „nuclos“-User gehts nicht, da der ja nicht in der Directory existiert.

    Aber wie nun weiter? Hier meine ersten Fragen:

    1.) Wie importiere / synchronisiere ich die restlichen User aus der Active Directory?

    2.) Kann man die Authentifizierung von Benutzername/Kennwort auf NTLM umstellen (Single SignOn)? Sonst müssten die User ihr Kennwort ja immer zweimal pflegen und wir (admins) könnten in der User-Maske die Kennwörter sehen! Das lässt sich mit unserer Datenschutz-Richtlinie nicht vereinbaren. Meine Meinung: Wenn man Passwörter schon im Klartext und nicht als Hashwerte abspeichert, dann sollten diese zumindest nicht über die Software auslesbar sein.

    3.) Beim Anlegen eines Benutzers in Nuclos kann ich dessen Kennwort nicht festlegen. In der login-config.xml steht aber „allowEmptyPasswords“ auf „false“. D.h. der User kann sich gar nicht anmelden und damit sein Kennwort nicht setzen – das ist irgendwie nicht praktikabel. Wie wird das beim LDAP-Import gehandhabt?

    4.) Sperrt man einen User in der AD kann man sich trotzdem weiterhin in Nuclos anmelden. Was macht denn die Authentifizierung, wenn sowas nicht geprüft wird? Dann macht die LDAP-Anbindung ja keinen wirklichen Sinn, wenn man alles doppelt pflegen muss oder habe ich da etwas missverstanden?

    Was wir benötigen:

    In der Anmeldemaske sollte „NTLM“ auswählbar sein. Damit werden die beiden Textboxen „Benutzername“ und „Passwort“ deaktiviert (schreibgeschützt), so dass der User dort nichts eintragen kann. Die Maske liest dann den Namen des aktuell angemeldeten Windows-Benutzers aus und verwendet diesen als Benutzername für die Authentifizierung. Das Passwortfeld bleibt leer, denn man ist ja bereits am Betriebssystem erfolgreich angemeldet. Bei jedem Nuclos-User müsste also optional ein „NTLM“-Username (DOMAINusername) hinterlegt werden können (durch Import aus der AD). Dadurch geschieht dann das Mapping von Windows-Account auf den Nuclos-User.

    Bin über jeden Hinweis dankbar.
    Viele Grüße,
    Matthias

    13 August 2010 um 12:16 Uhr #2385
    Hartmut Beckschulze
    Teilnehmer

    Hallo,

    ein paar Punkte von meiner Seite:

    1.) Wie importiere / synchronisiere ich die restlichen User aus der Active Directory?

    In dem Administrationsmenü gibt es unter Sonstige – LDAP Konfiguration
    Dort wird festgelegt wie die User aus dem AD in nuclos eingebunden werden. Wenn das alles Konfiguriert ist gibt es in der Maske für die Benutzer einen „Synchronisiere mit LDAP“ Button.
    Damit werden dann die Benutzer übernommen.

    2.) Kann man die Authentifizierung von Benutzername/Kennwort auf NTLM umstellen (Single SignOn)? Sonst müssten die User ihr Kennwort ja immer zweimal pflegen und wir (admins) könnten in der User-Maske die Kennwörter sehen! Das lässt sich mit unserer Datenschutz-Richtlinie nicht vereinbaren. Meine Meinung: Wenn man Passwörter schon im Klartext und nicht als Hashwerte abspeichert, dann sollten diese zumindest nicht über die Software auslesbar sein.

    Single Sign On wird von nuclos (noch) nicht unterstützt.
    Durch die Anbindung an den Verzeichnisdienst ist der LDAP das führende System. nuclos nutzt ihn zum authentisieren. Wird vom LDAP die Authorisierung abgelehnt kann sich der User nicht an nuclos anmelden.
    Insofern gibt es (aus meiner Sicht) keine Probleme was das Passwort angeht, es wird nur im LDAP gespeichert und gepflegt. Und die Passwörter werden in nuclos nicht im Klartext gespeichert. Wo haben sie das denn gesehen?

    3.) Beim Anlegen eines Benutzers in Nuclos kann ich dessen Kennwort nicht festlegen. In der login-config.xml steht aber „allowEmptyPasswords“ auf „false“. D.h. der User kann sich gar nicht anmelden und damit sein Kennwort nicht setzen – das ist irgendwie nicht praktikabel. Wie wird das beim LDAP-Import gehandhabt?

    Wenn nuclos an einem LDAP hängt zur Benutzerverwaltung können nur die User genutzt werden die in dem Verzeichnisdienst vorhanden sind. User in nuclos anlegen legt die User nicht in dem Verzeichnisdienst an.
    nuclos ist also ein Konsument und kann nicht zur Pflege der Benutzer genutzt werden.

    4.) Sperrt man einen User in der AD kann man sich trotzdem weiterhin in Nuclos anmelden. Was macht denn die Authentifizierung, wenn sowas nicht geprüft wird? Dann macht die LDAP-Anbindung ja keinen wirklichen Sinn, wenn man alles doppelt pflegen muss oder habe ich da etwas missverstanden?

    Das sollte eigentlich nicht der Fall sein. nuclos authentifiziert an dem Verzeichnisdienst, verwaltet die Rechte für die Applikation aber intern.

    Ich hoffe ich konnte zumindest ein wenig helfen, falls sie noch weitere Fragen haben dann stehen wir gerne zur Verfügung.

    13 August 2010 um 12:48 Uhr #2386
    Matthias Haake
    Teilnehmer

    Hallo,

    erstmal vielen Dank für die prompte Antwort.

    Zu 1.) Dann scheint meine Konfiguration noch nicht zu stimmen. Das Problem ist nur, dass es ja scheinbar funktioniert. Keinerlei Fehlermeldungen und die Anmeldung klappt nur mit dem AD-User (mit „nuclos“ nicht mehr).

    Zu 2.) Ich hatte gesehen, dass man sich in der Usermaske (Ergebnis) die Spalte Passwort einblenden kann. Dort stand ein Passwort im Klartext. Allerding könnte es sein, dass es die Test-DB war und das Kennwort bei meinen mehrstündigen Versuchen das LDAP in Gang zu bekommen dort händisch hingelangte. Insofern entschuldige ich mich, wenn die Aussage nicht zutrifft!

    Zu 3. und 4.) Vielleicht wird das alles ja klarer, wenn der Sync-Button bei mir irgendwann mal auftaucht. Ich weiß im Moment nicht wirklich weiter. Alles ist konfiguriert, man kann sich anmelden und trotzdem kein Sync.

    Auf Grund der vielen Stellen, wo man konfigurieren muss (Dateisystem JBoss, Oberfläche Nuclos, direkt in der DB) ist es nicht gerade einfach einen Fehler zu finden. Gibt es irgendwo eine Anleitung mit Screenshots und Beispielen? Eventuell auch ein Bild wo der Sync-Button genau erscheinen soll?

    Viele Grüße,
    Matthias

    13 August 2010 um 13:19 Uhr #2387
    Hartmut Beckschulze
    Teilnehmer

    Zu 1.) Dann scheint meine Konfiguration noch nicht zu stimmen. Das Problem ist nur, dass es ja scheinbar funktioniert. Keinerlei Fehlermeldungen und die Anmeldung klappt nur mit dem AD-User (mit „nuclos“ nicht mehr).

    Das hatte ich auch schonmal, aber wie sie schon sagten: da scheint etwas nicht zu passen.
    Schauen sie mal ob die Suchpfade im LDAP passen, daran hat es letztes Mal bei mir gelegen. Der hat in einem falschen Zweig gesucht. Ein gutes Tool um das zu testen ist der LDAP Administrator (http://www.ldapadministrator.com/.

    Zu 2.) Ich hatte gesehen, dass man sich in der Usermaske (Ergebnis) die Spalte Passwort einblenden kann. Dort stand ein Passwort im Klartext. Allerding könnte es sein, dass es die Test-DB war und das Kennwort bei meinen mehrstündigen Versuchen das LDAP in Gang zu bekommen dort händisch hingelangte. Insofern entschuldige ich mich, wenn die Aussage nicht zutrifft!

    Ich habe das gerade mal bei mir nachgestellt, es werden zwar die Passwörter eingeblendet, aber die sind nicht im Klartext. Aber das ist nicht sinnvoll, ich reiche das mal weiter an die Entwicklung das das behoben wird. Das Kennwort einblenden sollte nicht möglich sein. Es reicht wenn das gespeichert ist.

    Zu 3. und 4.) Vielleicht wird das alles ja klarer, wenn der Sync-Button bei mir irgendwann mal auftaucht. Ich weiß im Moment nicht wirklich weiter. Alles ist konfiguriert, man kann sich anmelden und trotzdem kein Sync.

    Wenn ich mich recht entsinne müssen noch ein paar Einträge in den Parametern gemacht werden. Ich leite die Frage mal an einen Kollegen weiter, der kann ihnen da glaube ich besser helfen.

    Auf Grund der vielen Stellen, wo man konfigurieren muss (Dateisystem JBoss, Oberfläche Nuclos, direkt in der DB) ist es nicht gerade einfach einen Fehler zu finden. Gibt es irgendwo eine Anleitung mit Screenshots und Beispielen? Eventuell auch ein Bild wo der Sync-Button genau erscheinen soll?

    Ich habe gerade geschaut ob in dem nuclos Wiki http://wiki.nuclos.de/ dazu etwas steht, aber der Punkt ist noch in Arbeit. Das einzige was wir fürs erste Anbieten können ist sie durch das Forum zu unterstützen.

    13 August 2010 um 13:54 Uhr #2388
    Matthias Haake
    Teilnehmer

    Hallo,

    ist es möglich, dass mich ein Mitarbeiter per E-Mail kontaktiert? Dann könnte ich Screenshots von meinen Einstellungen und unserer AD-Struktur an Novabit posten – die möchte ich ungern hier im Forum veröffentlichen.

    Mit dem Programm LDAP-Administrator geht alles. Ich habe auch schon diverse Softwareprogramme konfiguriert und auch eigene LDAP-Synchronisations-Software programmiert. Eigentlich ist das alles nicht wirklich schwierig, ich kriege es trotz allem in Nuclos nicht hin.

    Vielen Dank und Grüße,
    Matthias

  • Autor
    Beiträge
Ansicht von 5 Beiträgen - 1 bis 5 (von insgesamt 5)