Mit LDAP Login-Diensten können sich Benutzer über ein LDAP (z.B. MS Active Directory oder OpenLDAP) authentifizieren. Zur Konfiguration eines LDAP Login-Dienstes sind eine Reihe von Parametern nötig, die im folgenden beschrieben werden. Für allgemeine Informationen zu den Grundeinstellungen und zum Anlegen von Login-Diensten siehe Login-Dienste.

Inhalt

Konfiguration

Im Abschnitt Konfiguration des ausgewählten LDAP Login-Dienstes wird die Verbindung zum LDAP-Server konfiguriert:

• SSL-Verschlüsselung: Gibt an, ob der Transport mit dem LDAP-Server mittels SSL verschlüsselt durchgeführt werden kann/soll.
• LDAP-Server: Name oder IP Adresse des LDAP-Servers.
• Port: Kommunikationsport des LDAP-Server.
• Benutzer für die Nutzersuche: Dieser Account muss das Recht haben, Suchanfragen (Benutzerobjekt) an den LDAP-Server zu senden.
• Passwort: Passwort des Benutzers für den Login am LDAP-Server.
• BaseDN für Nutzersuche: BaseDN unter der die zu authentifizierenden Benutzer gesucht werden. Beispiel: ou="intern", dc="firma", dc="de".
• Filter-Abfrage: Optionaler LDAP-Filter, um innerhalb der Menge der Benutzer-Objekte weitere Einschränkungen anzuwenden (Tutorial).
• Nutzer-ID-Attribut: Es kann eine Reihe von AD-Attributen angegeben werden, welche für die Nutzeridentifizierung verwendet werden soll. Diese Attribute werden in der angegebenen Reihenfolge für die Identifizierung des Nutzers versucht. Werden keine Attribute angegeben, dann werden standardmäßig folgenden Attribute in dieser Reihenfolge für die Nutzeridentifizierung versucht: sAMAccountName, userPrincipalName, uid und DN. Das Standardverhalten kann zudem über den Parameter ldap.override.filter.user.login in den Anwendungseinstellungen konfiguriert werden.
• Einträge pro Seite (Paging): Gibt an, wie viele Eintrage vom LDAP-Server pro Seite erwartet werden. Ein Wert von 0 deaktiviert dies und es werden vom Server alle Werte erwartet.
• Max. Verweis-Sprünge: Gibt die maximale Anzahl von durchzuführenden Verweis-Sprüngen (Referral-Hops) auf dem LDAP-Server an. Bei einem Wert von 0 wird das Folgen von Verweisen deaktiviert.

Installation von Zertifikaten im Java-TrustStore

Das für die Ausführung des Application Containers verwendete Java muss dem Zertifikat des LDAP-Servers vertrauen.

Hierzu kann es nötig sein, das Root-Zertifikat, mit dem das Zertifikat des LDAP-Servers ausgestellt wurde, in den Java-Truststore zu importieren. Eine Anleitung dazu befindet sich auf der Seite Zertifikate in Keystores importieren. 

Verbindungsprüfung

Bereits vor dem Speichern besteht die Möglichkeit, die eingegebenen Daten zu testen. Die Schaltfläche Verbindung prüfen testet hierbei, ob eine Verbindung zum LDAP-Server erfolgreich aufgebaut werden kann. In der Erfolgsmeldung wird die Anzahl der gefundenen Benutzerobjekte zurückgegeben.

Ausgelesene LDAP-Nutzerdaten im Formular verarbeiten

Um LDAP-Nutzerdaten im Formular zu verarbeiten, siehe hier.