Für die Anmeldung an der SKOOR Engine-Weboberfläche stehen mehrere Methoden zur Benutzerauthentifizierung zur Verfügung:

• Lokale Authentifizierung

• Authentifizierung gegenüber einem LDAP oder Active Directory auf Basis von Benutzername und Passwort

• Authentifizierung gegenüber einem LDAP oder Active Directory basierend auf der Mitgliedschaft eines Benutzers in einer bestimmten LDAP/Active Directory-Gruppe

• Anmeldung auf Basis eines Tokens eines externen Authentifizierungsanbieters (OIDC), z. B. Keycloak oder Azure AD

Die lokale Authentifizierung ist immer verfügbar. Die anderen Methoden sind jedoch nur verfügbar, wenn die entsprechende Konfiguration auf dem System vorbereitet wurde.

Lokal authentifizierter Benutzer

Die Anmeldedaten für diesen Benutzertyp werden in der lokalen SKOOR Engine-Datenbank gespeichert. Dies ist der Standardbenutzertyp. Bei der Erstellung eines lokal authentifizierten Benutzers muss ein Passwort oder eine gültige E-Mail-Adresse festgelegt werden.

Die folgenden Benutzeroperationen können nur von einem Administratorbenutzer durchgeführt werden:

• Benutzerrolle ändern

• Benutzertyp ändern

• Benutzer löschen

• Ändern der Gruppenmitgliedschaft des Benutzers

Ein lokal authentifizierter Benutzer kann mit Benutzergruppen verknüpft werden, die mit LDAP-verwalteten Benutzern assoziiert sind, aber der Benutzer übernimmt keine der Parametereinstellungen der Gruppe. 

Remote-authentifizierter Benutzer

Um einen Benutzer gegenüber AD/LDAP zu authentifizieren, wählen Sie den Parameter „Remote authentifiziert” aus der Dropdown-Liste „Benutzertyp” aus. Der Benutzername muss mit dem im AD/LDAP-Verzeichnis verwendeten Namen identisch sein. Auch wenn die Anmeldedaten des Benutzers gegenüber LDAP überprüft werden, muss bei der Einrichtung eines neuen remote authentifizierten Benutzers dennoch ein erstes Passwort festgelegt werden. Es kann jedoch ein beliebiges Passwort gewählt werden.

Sobald der Benutzer eingerichtet ist und eine Netzwerkverbindung zum AD/LDAP-Server von SKOOR Engine aus verfügbar ist, melden Sie sich mit den LDAP-Anmeldedaten bei der Weboberfläche von SKOOR Engine an. Wenn die Anmeldung erfolgreich ist, wird das ursprünglich festgelegte Passwort durch das gültige LDAP-Passwort überschrieben. Das Passwort wird lokal zwischengespeichert, um eine Anmeldung zu ermöglichen, falls die Verbindung zum LDAP-Server fehlschlägt.

Das Ändern des Passworts eines LDAP-authentifizierten Benutzers wird von SKOOR Engine nicht unterstützt. Das Passwort muss in LDAP geändert werden.

LDAP-verwalteter Benutzer

Ein LDAP-verwalteter Benutzer wird nicht manuell in SKOOR Engine erstellt. Er wird automatisch erstellt, sobald sich ein Benutzer anmeldet, der zu einer bestimmten Gruppe im LDAP-Verzeichnis gehört.

Wenn eine SKOOR Engine-Benutzergruppe erstellt wird (siehe Abschnitt „Benutzergruppen”), muss der LDAP-Gruppenname im Dialogfeld „Neue Benutzergruppe hinzufügen” als „Remote-Gruppe” konfiguriert werden.

Sobald ein Name für die Remote-Gruppe eingegeben wurde, können zusätzliche Parameter für die Gruppe konfiguriert werden:

Legen Sie die erforderliche Benutzerrolle für die LDAP-Gruppe fest. Außerdem kann eine Startseite ausgewählt werden.

Sobald ein Benutzer versucht, sich anzumelden, wird eine Authentifizierung gegenüber dem konfigurierten LDAP-Server durchgeführt. Wenn die Anmeldung erfolgreich ist und der Benutzer Mitglied der konfigurierten LDAP-Gruppe ist, wird der Benutzer automatisch als Objekt unter /root /Users /Users angelegt:

In diesem Beispiel wurde der Benutzer testldap_b automatisch als Benutzertyp „Remote verwaltet“ angelegt. Der Benutzer kann nicht bearbeitet werden. Der vollständige Name, die Telefonnummer und die E-Mail-Adresse werden vom LDAP-Verzeichnis bereitgestellt, wenn die entsprechenden Zuordnungen konfiguriert sind (siehe LDAP-Authentifizierung einrichten ). Das neu angelegte Benutzerkonto wird automatisch zur entsprechenden SKOOR-LDAP-Benutzergruppe hinzugefügt.

Wenn ein Benutzer Mitglied mehrerer Gruppen im LDAP-Verzeichnis ist und diese Gruppen auch in SKOOR Engine konfiguriert sind, wird das Benutzerobjekt mit allen diesen Gruppen verknüpft. Es erbt die höchsten Berechtigungen (z. B. Benutzerrolle „Administrator”) der verknüpften Gruppen.

Die LDAP-Gruppenmitgliedschaft wird anhand des Attributs „memberOf” des Benutzers bestimmt. Das Attribut kann durch Bearbeiten des Eintrags „ldap_item_group” in der Konfigurationsdatei „eranger-server.cfg” geändert werden.