Für die Anmeldung an der SKOOR Engine-Webschnittstelle stehen mehrere Methoden der Benutzerauthentifizierung zur Verfügung:

• Lokale Authentifizierung

• Authentifizierung gegen ein LDAP oder Active Directory auf der Basis von Benutzername und Passwort

• Authentifizierung gegenüber einem LDAP oder Active Directory auf der Grundlage der Mitgliedschaft eines Benutzers in einer bestimmten LDAP/Active Directory-Gruppe

• Anmeldung auf Basis eines externen Authentifizierungsprovider-Tokens (OIDC), wie Keycloak oder Azure AD

Die lokale Authentifizierung ist immer verfügbar. Die anderen Optionen sind jedoch nur verfügbar, wenn die entsprechende Konfiguration auf dem System vorbereitet wurde.

Lokal authentifizierter Benutzer

Die Anmeldeinformationen für diesen Benutzertyp werden in der lokalen SKOOR Engine-Datenbank gespeichert. Dies ist der Standard-Benutzertyp. Beim Anlegen eines lokal authentifizierten Benutzers muss ein Passwort oder eine gültige E-Mail-Adresse angegeben werden.

Die folgenden Benutzeroperationen können nur von einem Administrator-Benutzer durchgeführt werden:

• Benutzerrolle ändern

• Benutzertyp ändern

• Benutzer löschen

• Ändern der Gruppenmitgliedschaft eines Benutzers

Ein lokal authentifizierter Benutzer kann mit Benutzergruppen verknüpft werden, die mit LDAP-verwalteten Benutzern verbunden sind, aber der Benutzer erbt keine Parametereinstellungen der Gruppe.

Entfernt authentifizierter Benutzer

Um einen Benutzer gegenüber AD/LDAP zu authentifizieren, wählen Sie in der Dropdown-Liste Benutzertyp den Parameter Remote authentifiziert aus. Der Benutzername muss mit dem im AD/LDAP-Verzeichnis verwendeten Namen identisch sein. Auch wenn die Anmeldeinformationen des Benutzers mit LDAP abgeglichen werden, muss beim Einrichten eines neuen Remote-authentifizierten Benutzers ein Anfangskennwort festgelegt werden. Es kann jedoch ein beliebiges Passwort gewählt werden.

Sobald der Benutzer eingerichtet ist und eine Netzwerkverbindung zum AD/LDAP Server von SKOOR Engine verfügbar ist, melden Sie sich mit den LDAP-Anmeldedaten an der Webschnittstelle von SKOOR Engine an. Wenn die Anmeldung erfolgreich ist, wird das ursprünglich festgelegte Passwort mit dem gültigen LDAP-Passwort überschrieben. Das Passwort wird lokal zwischengespeichert, um die Anmeldung zu ermöglichen, falls die Verbindung zum LDAP Server fehlschlägt.

Das Ändern des Passworts eines LDAP-authentifizierten Benutzers wird von SKOOR Engine aus nicht unterstützt. Das Passwort muss in LDAP geändert werden.

LDAP-verwaltete Benutzer

Ein LDAP-verwalteter Benutzer wird nicht manuell in der SKOOR Engine erstellt. Er wird automatisch erstellt, sobald sich ein Benutzer anmeldet, der zu einer bestimmten Gruppe im LDAP-Verzeichnis gehört.

Wenn eine SKOOR Engine Benutzergruppe erstellt wird (siehe Abschnitt Benutzergruppen), muss der LDAP-Gruppenname im Dialog Neue Benutzergruppe hinzufügen als Remote-Gruppe konfiguriert werden.

Sobald ein Remote-Gruppenname eingegeben wurde, können zusätzliche Parameter für die Gruppe konfiguriert werden:

Legen Sie die benötigte Benutzerrolle für die LDAP-Gruppe fest. Außerdem kann eine Startseite ausgewählt werden.

Sobald ein Benutzer versucht, sich anzumelden, wird eine Authentifizierung gegen den konfigurierten LDAP Server durchgeführt. Wenn die Anmeldung erfolgreich ist und der Benutzer Mitglied der konfigurierten LDAP-Gruppe ist, wird der Benutzer automatisch als Objekt unter /root /Users /Users angelegt:

In diesem Beispiel wurde der Benutzer testldap_b automatisch als Benutzertyp Remote managed angelegt. Der Benutzer kann nicht bearbeitet werden. Der vollständige Name, die Telefonnummer und die E-Mail-Adresse werden vom LDAP-Verzeichnis bereitgestellt, wenn die entsprechenden Zuordnungen konfiguriert sind (siehe Einrichtung der LDAP-Authentifizierung ). Das neu angelegte Benutzerkonto wird automatisch der entsprechenden SKOOR LDAP-Benutzergruppe hinzugefügt.

Wenn ein Benutzer Mitglied mehrerer Gruppen im LDAP-Verzeichnis ist und diese Gruppen auch in SKOOR Engine konfiguriert sind, wird das Benutzerobjekt mit all diesen Gruppen verknüpft. Es erbt die höchsten Privilegien (z.B. Benutzerrolle Administrator) der verknüpften Gruppen.

Die LDAP-Gruppenzugehörigkeit wird über das memberOf-Attribut des Benutzers ermittelt. Das Attribut kann durch Bearbeiten des Eintrags ldap_item_group in der Konfigurationsdatei eranger-server.cfg geändert werden.