Verwenden von LDAP oder Active Directory zur Authentifizierung - spectrum_platform - 23 - 23.1

Spectrum-Administratorhandbuch

Product type
Software
Portfolio
Integrate
Locate
Verify
Product family
Spectrum
Product
Spectrum > Spectrum Platform
Version
23.1
Language
Deutsch
Product name
Spectrum Technology Platform
Title
Spectrum-Administratorhandbuch
Topic type
Administration
Übersicht
Tipps
Wie kann ich …
Referenz
First publish date
2007

Sie können Spectrum Technology Platform konfigurieren, einen LDAP- oder Active Directory-Server zur Authentifizierung zu verwenden.

Wenn sich ein Benutzer bei Spectrum Technology Platform anmeldet, werden die Anmeldeinformationen des Benutzers unter Verwendung von LDAP oder AD verifiziert. Das System überprüft dann, ob ein Spectrum Technology Platform-Benutzer mit demselben Namen vorhanden ist. Wenn das der Fall ist, wird der Benutzer angemeldet. Andernfalls wird automatisch ein Spectrum Technology Platform-Benutzerkonto für den Benutzer erstellt, dem dann die Rolle user zugewiesen wird.

So funktioniert der Prozess:



Bevor Sie Spectrum Technology Platform konfigurieren, einen Verzeichnisdienst zur Authentifizierung zu verwenden, vergewissern Sie sich, dass Ihr Verzeichnisdienst die folgenden Voraussetzungen erfüllt:

  • Für LDAP muss der Verzeichnisserver mit LDAP Version 3 kompatibel sein.
  • Für Active Directory-Server gibt es keine speziellen Voraussetzungen.
Anmerkung: Wir empfehlen Ihnen, den technischen Support oder Professional Services von Precisely zu kontaktieren, um Sie durch diesen Prozess zu leiten.
Anmerkung: Wenn Sie Spectrum mit LDAP, STS oder SSO_STS einrichten und die Eigenschaft standardmäßig spectrum.security.account.createNonExisting=true ist, werden Active Directory-Benutzer nach ihrer ersten Anmeldung bei Spectrum automatisch in Spectrum Technology Platform erstellt. Wenn Sie die Eigenschaft deaktivieren (spectrum.security.account.createNonExisting=false), werden LDAP-/Active Directory-Benutzer erst dann für Spectrum Technology Platform authentifiziert, wenn der Administrator Benutzer manuell erstellt.
  1. Wenn in der Spectrum Management Console vorhandene Benutzer konfiguriert sind und Sie diese weiterverwenden möchten, nachdem Sie LDAP- oder Active Directory-Authentifizierung aktiviert haben, erstellen Sie diese Benutzer in Ihrem LDAP- oder Active Directory-System. Achten Sie darauf, denselben Benutzernamen wie in Spectrum Technology Platform zu verwenden.
    Anmerkung: Sie müssen den Benutzer „admin“ nicht in LDAP oder Active Directory erstellen, da dieser Benutzer weiterhin Spectrum Technology Platform zur Authentifizierung verwenden wird, nachdem Sie LDAP- oder Active Directory-Authentifizierung aktiviert haben.
  2. Stoppen Sie den Spectrum Technology Platform-Server.
  3. Aktivieren Sie LDAP oder Active Directory-Authentifizierung:
    1. Öffnen Sie folgende Konfigurationsdatei in einem Texteditor:
      server\conf\spectrum-container.properties
    2. Setzen Sie die Eigenschaft „spectrum.security.authentication.basic.authenticator“ auf LDAP:
      spectrum.security.authentication.basic.authenticator=LDAP

      Die Einstellung LDAP wird verwendet, um sowohl Active Directory als auch LDAP zu aktivieren.

    3. Speichern Sie die Datei, und schließen Sie sie.
  4. Konfigurieren Sie die Verbindungseigenschaften:
    1. Öffnen Sie folgende Konfigurationsdatei in einem Texteditor:
      server\conf\spring\security\spectrum-config-ldap.properties
    2. Ändern Sie diese Eigenschaften.
      spectrum.ldap.url
      Dies ist die URL einschließlich Port des LDAP- oder Active Directory-Servers. Beispiel: spectrum.ldap.url=ldap://ldapserver.example.com:389/.
      spectrum.ldap.dn.format
      Dies ist das Format, das zur Suche nach Benutzerkonten in LDAP oder Active Directory verwendet wird. Verwenden Sie die Variable %s für den Benutzernamen. Zum Beispiel:
      LDAP:
      spectrum.ldap.dn.format=uid=%s,ou=users,dc=example,dc=com
      Active Directory:
      spectrum.ldap.dn.format=%s@example.com
      Anmerkung: Wenn Sie mehrere LDAP-Domänen konfigurieren müssen, geben Sie diese durch Kommas getrennt an, wobei jeder Domänenwert in einfache Anführungszeichen eingeschlossen ist. Dies gilt nicht für Konfigurationen mit einzelnen Domänen. Beispiel:
      spectrum.ldap.dn.format='CN=%s,CN=Users,dc=spectest,dc=pvt',' CN=%s,ou=Services,dc=spectest,dc=pvt','CN=%s,ou=managers,dc=spectest,dc=pvt'
      spectrum.ldap.dn.base
      Dies ist der eindeutige Name (Distinguished Name, dn) über den in LDAP oder Active Directory nach Benutzerkonten gesucht wird. Zum Beispiel:
      LDAP:
      spectrum.ldap.dn.base=ou=users,dc=example,dc=com
      Active Directory:
      spectrum.ldap.dn.base=cn=Users,dc=example,dc=com
      spectrum.ldap.search.filter
      Dies ist ein Suchfilter, der verwendet wird, wenn nach Attributen wie Rolle gesucht wird. Der Suchfilter kann die folgenden Variablen enthalten:
      • {user} ist der Benutzername für die Anmeldung bei Spectrum Technology Platform.
      • {dn} ist der eindeutige Name, der in spectrum.ldap.dn.base angegeben ist.
      Zum Beispiel für LDAP:
      spectrum.ldap.search.filter=uid={user}
      Und für Active Directory:
      spectrum.ldap.search.filter=userPrincipalName={dn}
      spectrum.ldap.attribute.roles
      Optional: Gibt das LDAP- oder Active Directory-Attribut an, das den Namen der Spectrum Technology Platform-Rolle für den Benutzer enthält. Der Rollenname, den Sie im LDAP- oder Active Directory-Attribut angeben, muss mit dem in Spectrum Technology Platform definierten Rollennamen übereinstimmen.
      Wenn dieses Attribut eine Rolle namens „designer“ enthält, wird dem Benutzer die Rolle „designer“ zugewiesen.
      Sie können nur ein Attribut spezifizieren, doch kann das Attribut mehrere Rollen enthalten. Wenn Sie mehrere Rollen in einem Attribut angeben möchten, trennen Sie diese durch ein Komma. Sie können außerdem ein mehrwertiges Attribut angeben, bei dem jede Instanz des Attributs eine andere Rolle enthält. Nur die in diesem einen Attribut spezifizierten Rollen werden in Spectrum Technology Platform verwendet. Andere LDAP- oder Active Directory-Attribute haben keine Auswirkungen auf Spectrum Technology Platform-Rollen.
      Wenn dem Benutzer in Spectrum Technology Platform Rollen zugewiesen sind, setzen sich die Berechtigungen des Benutzers aus den Rollen aus LDAP oder Active Directory und den Rollen aus Spectrum Technology Platform zusammen.
      Legen Sie Folgendes fest, um beispielsweise die im Attribut spectrumroles definierten Rollen anzuwenden:
      spectrum.ldap.attribute.roles=spectrumroles
      Anmerkung: Wenn sich ein Benutzer zum ersten Mal anmeldet und nicht über ein Spectrum Technology Platform-Benutzerkonto verfügt, wird automatisch eins erstellt. Der Benutzer erhält die Rolle „user“. Die effektiven Berechtigungen des Benutzers setzen sich aus den Berechtigungen der Rolle „user“ und denen der Rollen zusammen, die in den in der Eigenschaft „spectrum.ldap.attribute.roles“ aufgelisteten Attributen spezifiziert sind.
      Anmerkung: Wenn Sie die Rollen der Benutzer in der Spectrum Management Console anzeigen, werden die Rollen, die den Benutzern über die Eigenschaft „spectrum.ldap.attribute.roles“ zugewiesen wurden, nicht angezeigt.
      spectrum.ldap.pool.min
      Gibt die Mindestgröße des Verbindungspools für Verbindungen zum LDAP- oder Active Directory-Server.
      spectrum.ldap.pool.max
      Gibt die maximale Anzahl der gleichzeitigen Verbindungen zum LDAP- oder Active Directory-Server.
      spectrum.ldap.timeout.connect
      Gibt in Millisekunden an, wie lange auf die Verbindungsherstellung zum LDAP- oder Active Directory-Server zu warten ist. Der Standardwert ist 1000 Millisekunden.
      spectrum.ldap.timeout.response
      Gibt in Millisekunden an, wie lange auf eine Antwort vom LDAP- oder Active Directory-Server zu warten ist, nachdem die Verbindung hergestellt wurde. Der Standardwert ist 5000 Millisekunden.
      spectrum.ldap.retry.count
      The number of times the Spectrum Technology Platform server will try connecting to the LDAP or Active Directory server if the initial connection attempt fails. Set this to 0 if you want to allow only one connection attempt.
      Tipp: If you cluster your LDAP or Active Directory servers, we recommend that you set this value to 1 or more to allow the LDAP or Active Directory load balancer to redirect the connection request to a different server if the one that is initially tried is unavailable.
      spectrum.ldap.retry.wait
      Die Anzahl an Millisekunden, die zwischen Verbindungsversuchen gewartet werden soll.
      spectrum.ldap.retry.backoff
      Der Multiplikator, der verwendet wird, um die Wartezeit nach jedem fehlgeschlagenen Verbindungsversuch zu erhöhen. Beispiel:
      spectrum.ldap.timeout.connect=1000 ... spectrum.ldap.retry.count=5 spectrum.ldap.retry.wait=500 spectrum.ldap.backoff=2
      In diesem Beispiel beträgt die Wartezeit für den ersten Verbindungsversuch 1.000 Millisekunden. Die Wartezeit für jeden der fünf nachfolgenden Verbindungsversuche wird um den Faktor 2 erhöht, woraus folgende Wartezeiten für die Verbindungsversuche resultieren:
      Retry attempt 1: 500 milliseconds Retry attempt 2: 1,000 milliseconds Retry attempt 3: 2,000 milliseconds Retry attempt 4: 4,000 milliseconds Retry attempt 5: 8,000 milliseconds
    3. Speichern Sie die Eigenschaftsdatei und schließen Sie sie.
  5. Starten Sie den Spectrum Technology Platform-Server.

Wenn Spectrum Technology Platform bei Ihnen in einem Cluster läuft, ändern Sie einfach die Dateien spectrum-container.properties und spectrum-config-ldap.properties auf jedem Server im Cluster. Beenden Sie den Server, bevor Sie die Dateien ändern, und starten Sie den Server anschließend wieder. Wenn Sie einen LDAP-Attributwert einer Rolle zugeordnet haben, wird diese Zuordnung zu allen Knoten im Cluster repliziert. Sie müssen also das Zuordnungsverfahren in der Spectrum JMX Console nicht wiederholen.