Benutzerauthentifizierungstypen

Für die Anmeldung bei der SKOOR Engine -Weboberfläche stehen mehrere Methoden der Benutzerauthentifizierung zur Verfügung:

  • Lokale Authentifizierung

  • Authentifizierung gegen ein LDAP oder Active Directory basierend auf Benutzername und Passwort

  • Authentifizierung gegen ein LDAP oder Active Directory basierend auf der Mitgliedschaft eines Benutzers in einer bestimmten LDAP/Active Directory-Gruppe

  • Anmeldung basierend auf dem Token eines externen Authentifizierungsanbieters (OIDC), z. B. Keycloak oder Azure AD

Lokale Authentifizierung ist immer verfügbar. Die anderen sind jedoch nur verfügbar, wenn die entsprechende Konfiguration auf dem System vorbereitet wurde.

Lokal authentifizierter Benutzer

Die Anmeldeinformationen für diesen Benutzertyp werden in der lokalen SKOOR Engine Datenbank gespeichert. Dies ist der Standardbenutzertyp. Beim Erstellen eines lokal authentifizierten Benutzers muss ein Kennwort oder eine gültige E-Mail-Adresse festgelegt werden.

Die folgenden Benutzeroperationen können nur von einem Administratorbenutzer ausgeführt werden:

  • Benutzerrolle ändern

  • Benutzertyp ändern

  • Benutzer löschen

  • Gruppenmitgliedschaft des Benutzers ändern

Ein lokal authentifizierter Benutzer kann mit Benutzergruppen verknüpft werden, die LDAP-verwalteten Benutzern zugeordnet sind, aber der Benutzer erbt keine der Parametereinstellungen der Gruppe.

Remote-authentifizierter Benutzer

Um einen Benutzer gegenüber AD/LDAP zu authentifizieren, wählen Sie den Parameter Remote authentifiziert aus der Dropdown-Liste Benutzertyp aus. Der Benutzername muss mit dem im AD/LDAP-Verzeichnis verwendeten identisch sein. Auch wenn die Anmeldeinformationen des Benutzers mit LDAP verglichen werden, muss beim Einrichten eines neuen Remote-authentifizierten Benutzers dennoch ein anfängliches Kennwort festgelegt werden. Es kann jedoch ein beliebiges Passwort gewählt werden.

Sobald der Benutzer eingerichtet ist und eine Netzwerkverbindung zum AD/LDAP- Server von SKOOR Engine verfügbar ist, SKOOR Engine sich mit den LDAP-Anmeldeinformationen bei der Webschnittstelle von SKOOR Engine an. Bei erfolgreicher Anmeldung wird das ursprünglich eingestellte Passwort mit dem gültigen LDAP-Passwort überschrieben. Das Passwort wird lokal zwischengespeichert, um eine Anmeldung zu ermöglichen, falls die Verbindung zum LDAP- Server fehlschlägt.

Das Ändern des Passworts eines LDAP-authentifizierten Benutzers wird von SKOOR Engine aus nicht unterstützt. Das Passwort muss im LDAP geändert werden.

Vorhandene lokal authentifizierte Benutzer können in LDAP-authentifiziert geändert werden

Vorhandene LDAP-authentifizierte Benutzer können in lokal authentifizierte geändert werden. Das aktuelle LDAP-Passwort wird gespeichert und für die lokale Authentifizierung verwendet

LDAP-verwalteter Benutzer

Ein LDAP-verwalteter Benutzer wird in SKOOR Engine nicht manuell erstellt. Es wird automatisch erstellt, sobald sich ein Benutzer anmeldet, der zu einer bestimmten Gruppe im LDAP-Verzeichnis gehört.

Wenn eine SKOOR Engine -Benutzergruppe erstellt wird (siehe Abschnitt Benutzergruppen ), muss der LDAP-Gruppenname als Remote-Gruppe im Dialogfeld Neue Benutzergruppe hinzufügen konfiguriert werden.

Sobald ein Remote-Gruppenname eingegeben wurde, können zusätzliche Parameter für die Gruppe konfiguriert werden:

Legen Sie die erforderliche Benutzerrolle für die LDAP-Gruppe fest. Außerdem kann eine Startseite gewählt werden.

Sobald ein Benutzer versucht, sich anzumelden, wird eine Authentifizierung am konfigurierten LDAP- Server durchgeführt. Wenn die Anmeldung erfolgreich ist und der Benutzer Mitglied der konfigurierten LDAP-Gruppe ist, wird der Benutzer automatisch als Objekt unter /root /Users /Users erstellt:

In diesem Beispiel wurde der Benutzer testldap_b automatisch als Benutzertyp Remote verwaltet erstellt. Der Benutzer kann nicht bearbeitet werden. Der vollständige Name, die Telefonnummer und die E-Mail-Adresse werden vom LDAP-Verzeichnis bereitgestellt, wenn die entsprechenden Zuordnungen konfiguriert sind (siehe Einrichtung der LDAP-Authentifizierung ). Das neu erstellte Benutzerkonto wird automatisch der entsprechenden SKOOR LDAP-Benutzergruppe hinzugefügt.

Wenn ein Benutzer Mitglied mehrerer Gruppen im LDAP-Verzeichnis ist und diese Gruppen auch in SKOOR Engine konfiguriert sind, wird das Benutzerobjekt mit all diesen Gruppen verknüpft. Sie erbt die höchsten Privilegien (z. B. Benutzerrolle Administrator ) der verknüpften Gruppen.

Ein LDAP-verwalteter Benutzer kann nicht mit weiteren Benutzergruppen verknüpft werden.

Ein LDAP-verwalteter Benutzer kann manuell gelöscht werden (durch Administratorbenutzer) oder er wird automatisch nach einer vordefinierten Anzahl von Tagen gelöscht.

Die LDAP-Gruppenmitgliedschaft wird anhand des memberOf- Attributs des Benutzers bestimmt. Das Attribut kann geändert werden, indem der Eintrag ldap_item_group in der Konfigurationsdatei Server -Server.cfg bearbeitet wird.