Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- fn2rbacweb:ldap_konfiguration [2023/04/26 09:50] – [__Tabelle EXTERN_FELD__] bhartmann
+++ fn2rbacweb:ldap_konfiguration [2023/09/27 11:21] (aktuell) – [Anpassung der context.xml] sduesel
@@ Zeile 19: / Zeile 19: @@
 . optional: Tabelle LDAPSEARCHFILTER
+Bei Fragen ist Ihr Ansprechpartner [[https://ihb-eg.de/team/|Sebastian Düsel]].
 ===== Beispiel eines LDAP-Systems =====
 Die vorzunehmenden Einstellungen werden anhand der folgenden, repräsentativen LDAP-Struktur illustriert. Für die hochschulspezifische Konfiguration müssen die entsprechenden Daten wie die Serveradresse, der DN-Pfad oder die Attributnamen dem individuellen LDAP-System Ihrer Hochschule angepasst werden.
@@ Zeile 40: / Zeile 41: @@
 <Parameter description="Passwort für LDAP Service User" name="LDAP_SERVICE_USER_PASSWORD" value="Passwort des LDAP-Users"/>
 </code>
+**Parameter für automatisches LDAP-Update ((ab Version 2.04.12))**
+<code>
+<Parameter description="Modus für das Automatische LDAP-Update. Dieser Parameter muss gesezt werden um das automatische Update zu aktivieren. Hierbei wird eingestellt, wie mit Personen-Daten die nicht länger im LDAP-System vorhanden sind umgegangen werden soll. Mögliche Werte: 1 = Alle Meta-Daten die der Person zugewiesen wurden werden gelöscht. 2 = Alle LDAP-Authentifizierungen die der Person in der Meta-Datenbank zugewiesen wurden werden gelöscht. 3 = Die Meta-Daten der Person werden nicht verändert. " name="FN2XML.LDAP_AUTO_UPDATE_MODE" value="3"/>
+<Parameter description="Die Uhrzeit, zu der das automatische LDAP-Update durchgeführt werden soll, falls es aktiviert ist. Hierbei wird die volle Stunde angegeben (0 - 23). Dieser Parameter ist optional. Bei nicht angabe erfolgt das LDAP-Update um 0:00 Uhr Serverzeit." name="FN2XML.LDAP_AUTO_UPDATE_TIME" value="0"/>
+</code>
 =====Anpassungen in der META-Datenbank=====
 ====__Tabelle SETUPRBAC__====
@@ Zeile 55: / Zeile 64: @@
 |**LDAP_IGNORE_CERTIFICATE**|Optionale Angabe, ob bei der LDAP-Authentifizierung die Server-Zertifikate ignoriert werden sollen. Diese Einstellung sollte **ausschließlich** als letzte Möglichkeit verwendet werden. Falls der Parameter LDAP_AUTH_WITH_TLS=false, wird diese Einstellung ignoriert. Mögliche Werte sind "TRUE" oder "FALSE". Defaultwert ist "FALSE".|
 |**LDAP_SEARCH_LIST_PATTERN**|Pattern für Ausgabe von Suchergebnissen in FN2RBACWeb2 für den Personenimport aus LDAP. LDAP-Attribute werden in Eckigen Klammern angegeben. z.B. "[cn] ([uid])" -> "Wert für Attribut 'cn' (Wert für Attribut 'uid')".|
+|**LDAP_AUTH_PARAM_MAPPING**|Optionale Angabe wie die Authentifizierungs-Attribute **LDAP_HOSTS**, **LDAP_BASE_DNS** und **LDAP_LOGIN_ATTRIBUTES** miteinander kombiniert werden sollen. Falls dieser Parameter nicht angegeben wird, werden alle möglichen Kombinationen aus den 3 Parametern verwendet. Als Wert werden die einzelnen Indexe der entsprechenden Parameter angegeben in Gruppen ihrer jeweiligen Indexe angegeben. Diese werden durch ein Semikolon getrennt. z.B. **0;0;0;0;1;1** wären die 2 Kombinationen aus **LDAP-Host[0], Ldap-BaseDN[0], LDAP-LoginAttribut[0]** und **LDAP-Host[0], LDAP-BaseDN[1], LDAP-LoginAttribut[1]**|
+|**LDAP_IMPORT_PARAM_MAPPING**|Optionale Angabe wie die Import-Attribute **LDAP_HOSTS** und **LDAP_BASE_DNS**  miteinander kombiniert werden sollen. Falls dieser Parameter nicht angegeben wird, werden alle möglichen Kombinationen aus den beiden Parametern verwendet. Als Wert werden die einzelnen Indexe der entsprechenden Parameter angegeben in Gruppen ihrer jeweiligen Indexe angegeben. Diese werden durch ein Semikolon getrennt. z.B. **0;0;0;1** wären die 2 Kombinationen aus **LDAP-Host[0], Ldap-BaseDN[0]** und **LDAP-Host[0], LDAP-BaseDN[1]**|
+|**LDAP_IMPORT_SEARCH_FILTER**|Optionale Angabe eines Filters, welcher bei der Suche nach LDAP-Elementen für den Import hinzugefügt werden soll. Dieser Parameter wird nur bei einer tiefen LDAP-Struktur verwendet. Sollte eine Flache LDAP-Struktur verwendet werden, in der Gruppen-Elemente gepflegt werden können entsprechende Filter über die Tabelle **LDAPSEARCHFILTER** konfiguriert werden.|
+=== Beispiel für LDAP_IMPORT_SEARCH_FILTER===
+Für den Import von Personen aus LDAP wählt der Anwender ein LDAP-Attribut aus und gibt den gewünschten Wert an.
+{{:fn2rbacweb:ldapsearchinbrowserexample.png?200|}}
+z.B. Attribut **uid** und den Wert **muster***. Das System erzeugt hieraus die Suchanfrage **uid=muster*** welche wie bei LDAPSEARCH an das LDAP-System gesendet wird um alle passenden Elemente unterhalb des verwendeten BaseDNs zurück gibt. Angenommen, es soll sicher gestellt werden, dass nur Element welche innerhalb des **DC=test** gesucht werden sollen, kann für das SETUP-Attribut LDAP_IMPORT_SEARCH_FILTER der Wert **(dc=test)** angegeben werden. Dieser Term wird mittles einer Und-Verknüpfung allen Such-Anfragen aus RBACWeb2 hinzugefügt.
+Für das Beispiel mit **uid=muster*** würde hieraus die LDAP-Suchanfrage **(&(uid=muster*)(dc=test))** generiert.
 ====__Tabelle LDAPSEARCHATTRIBUTE__====
@@ Zeile 76: / Zeile 95: @@
 ^Zulässige Werte für **ldapmapping_class**^Zulässige Werte für **ldapmapping_field**^Verwendung^
 |Personstub|bez, email, sprache|Import von LDAP-Daten in die Tabelle Personstub in FN2RBACWeb.|
-|Person|vorname, nachname, akadgrad, versnr, url, plz, ort, strasse, telefon, email, adrfreitext|Import von LDAP-Daten in die Tabelle Person in FN2RBACWeb.|
+|Person|vorname, nachname, akadgrad, versnr, url, plz, ort, strasse, telefon, email, adrfreitext, nutzername ((ab Version 2.04.12))|Import von LDAP-Daten in die Tabelle Person in FN2RBACWeb.|
-|Person_update|vorname, nachname, akadgrad, versnr, url, plz, ort, strasse, telefon, email, adrfreitext|Update von Person-Daten mit Daten aus LDAP. Die Person muss mit LDAP-Verknüpft sein. Die Verknüpfung erfolgt automatisch beim Import der Person aus LDAP.|
+|Person_update|vorname, nachname, akadgrad, versnr, url, plz, ort, strasse, telefon, email, adrfreitext, nutzername ((ab Version 2.04.12))|Update von Person-Daten mit Daten aus LDAP. Die Person muss mit LDAP-Verknüpft sein. Die Verknüpfung erfolgt automatisch beim Import der Person aus LDAP.|
@@ Zeile 99: / Zeile 118: @@
 ^Feld (Spalte) der Tabelle LDAPSEARCHFILTER^Beschreibung^
-|ldapsearchfilter|Einmalige, eindeutige ID des Datensatzes. (INTEGER)|
+|**ldapsearchfilter**|Einmalige, eindeutige ID des Datensatzes. (INTEGER)|
-|sourcedn|Der vollständige DN der Gruppe im LDAP-System.|
+|**sourcedn**|Der vollständige DN der Gruppe im LDAP-System.|
-|sourceattribute|Das Attribut in der LDAP-Gruppe, welche die Mitglieds-Schlüssel speichert.|
+|**sourceattribute**|Das Attribut in der LDAP-Gruppe, welche die Mitglieds-Schlüssel speichert.|
-|targetattribute|Das Attribut einer Person in LDAP, welches in der LDAP-Gruppe als Zuordnungs-Schlüssel dient.|
+|**targetattribute**|Das Attribut einer Person in LDAP, welches in der LDAP-Gruppe als Zuordnungs-Schlüssel dient.|
 ===Anwendungsbeispiel===