======LDAP====== ==== Übersicht ==== Ziel des LDAP-Synchronisations-Moduls ist es, eine nahezu beliebige Gruppen- und User-Struktur aus einem LDAP-Dienst zu übernehmen und mit den nötigen Informationen anzureichern, um diese als Basis für die TIM Gruppen-/User-Struktur zu nutzen. Die Grundlage für dieses Modul bildet die TimedService-Komponente, mit der die Synchronisation zeitgesteuert ausgeführt wird. Das Modul besteht aus zwei wesentlichen Teilen, die zusammen die Synchronisation nahezu beliebiger LDAP-Strukturen erlauben. Um das LDAP-Modul einzurichten, sind mehrere Schritte notwendig, die in diesem Eintrag erläutert werden. >> ACHTUNG! Diese Einstellungen und Methoden sollten nur von erfahrenen Benutzer angewendet werden. ----- ==== Grundkonfiguration LDAP ==== Um TIM - Task !n Motion den grundsätzlichen Zugang zu einem LDAP-Server zu ermöglichen, muss [[.:ldap:tim-ldap.properties|folgende Datei]] angepasst werden: jboss\standalon\configuration\tim-ldap.properties Diese Einstellungen greifen für alle [[software:tim:client|Mandanten]]! Für eine genauere Erklärung der einzelnen Zeilen, können Sie sich [[.:ldap:tim-ldap.properties|hier]] näher informieren. \\ \\ Ausserdem muss der [[software:tim:tim.properties#default-client]] gesetzt sein, damit TIM - Task !n Motion im richtigen [[software:tim:clients|Mandant/Client]] sucht. ----- ==== LDAP Verbindung testen ==== {{ :software:tim:ldap-verbindung_testen.jpg?direct&300|}} Um die Grundsätzliche LDAP Verbindung zu testen, müssen im [[client_profile|Clientprofil]] noch einige Einstellungen vorgenommen werden. Hierzu werden folgende Werte benötigt: ^ Authentifizierung | Kann leer bleiben | ^ LDAP-Host | Host oder IP des LDAP Servers | ^ LDAP-Port | Port auf dem der LDAP Server hört (Standard 389) | ^ Factory Initial | Muss folgenden Wert enthalten "com.sun.jndi.ldap.LdapCtxFactory" | ^ Art der Authentifizierung | Kann "simple" oder "digest-md5" sein (Standard "**simple**") | ^ DNS Prefix |Kann leer bleiben | ^ DNS Suffix | Hier muss das DNS Suffix der Firma hinterlegt werden | Danach kann mit der Schaltfläche **"LDAP-Verbindung testen"** ein LDAP-Lookup gestartet werden. Hierzu wird einfach ein LDAP User + Passwort eingegeben. >> ACHTUNG! Das Passwort wird im Klartext angezeigt! ----- ==== LDAP Lookup einrichten ==== {{ :software:tim:ldap-lookup.png?direct&300|}} LDAP Lookup heißt, dass TIM Authentifizierungsanfragen an den LDAP Server weiterleitet und erfragt werden, ob der User berechtigt ist, sich anzumelden. Da das Rechtemanagement aktuell noch weiterhin in TIM hinterlegt ist, muss der User in TIM angelegt sein! >> WICHTIG! (siehe Screenshot) > Eine E-Mailadresse muss im [[user_profile_properties|Userprofil]] hinterlegt sein > Der Login ist nicht gestattet, solang der Nutzer sein Kennwort im AD ändern muss > Die Rechte des Nutzers werden in TIM verwaltet So bald im [[software:tim:client_profile#ldap|Clientprofile]] die Authentifizierung auf LDAP umgestellt ist, werden alle Benutzer über den LDAP Server authentifiziert. Ausnahmen sind Benutzer die im [[software:tim:user_profile|Benutzerprofil]] (auf dem Tab [[software:tim:userprofil_profile|Profil]] die LDAP Anmeldung umgehen, indem **"Keine LDAP Anmeldung"** aktiviert ist. ---- ====LDAP Sync==== Der LDAP Sync ermöglicht es, Benutzer in TIM anzulegen und die Attribute aus dem LDAP heraus zu übernehmen. Wie man die LDAP-Attribute auf die TIM-Attribute verknüpft, kann auf [[software:tim:ldap:tim-ldap.properties|folgender Seite]] entnommen werden. \\ Um den LDAP-Sync zu aktivieren, wird [[software:tim:timer:createusersfromldapgroup|folgender Timer]] benötigt. ---- ==== Praktisches Beispiel ==== Solch eine Gruppenstruktur und die Konfiguration von 4 Timern (je Timer eine Gruppe), ermöglicht es dem Admin bequem die Rechte in TIM zu verteilen. Wichtig ist nur, dass alle TIM-Benutzer in der Gruppe **TIM-Member** sind, da sonst beispielsweise ein Admin keine Smartform öffnen könnte, da hierzu ein member-Recht benötigt wird. {{ :software:tim:ldap_gruppen.jpg?direct|}}