DocumentazioneImpostazione dell'autenticazione LDAP
Configurare le impostazioni necessarie nel file di configurazione del server di SKOOR Engine:
/etc/opt/eranger/eranger-server.cfg
L'esempio seguente mostra una configurazione minima per l'interrogazione di Active Directory. Adattare i valori ai parametri del server AD/LDAP:
auth_ldap = on ldap_server = ldap://myldapserver:389 ldap_base = dc=mycompany,dc=local
Se gli utenti LDAP che stanno cercando di accedere non hanno permessi sufficienti per determinare la propria appartenenza al gruppo LDAP, il dn può essere definito utilizzando le voci ldap_user e ldap_pass.
Altri parametri di configurazione per LDAP:
Parametro | Descrizione |
|---|---|
ldap_auth_dn | Deve essere impostato a true nel caso in cui gli utenti di accesso non siano in grado di leggere la loro appartenenza al gruppo nella directory LDAP. |
ldap_charset | Se ci sono problemi con i caratteri speciali (ad esempio le virgole) nei dati ricevuti dal server LDAP, configurare SKOOR Engine in modo da convertire la risposta dal set di caratteri specificato, ad esempio ISO8859-1, a UTF-8. |
ldap_item_user | Campo LDAP da confrontare con il nome di accesso. Questo parametro è rilevante per il processo di login. In genere, vengono utilizzati sAMAccountName o userPrincipalName. |
ldap_item_name | Campo LDAP da visualizzare come nome completo in SKOOR (ad es. displayName). |
ldap_item_mail | Campo LDAP da visualizzare come e-mail in SKOOR (ad es. mail). |
ldap_item_phone | Campo LDAP da visualizzare come telefono in SKOOR (ad es. numero di telefono). |
ldap_item_commento | Campo LDAP da visualizzare come Commento in SKOOR (ad es. commento) |
ldap_item_group | Campo LDAP per ricercare le appartenenze ai gruppi degli utenti di login. Di solito si usa memberOf |
ldap_pass | Password dell'utente configurato per il parametro ldap_user. |
ldap_server1ldap_server2 | Se è disponibile più di un server LDAP, è possibile configurarli utilizzando questi parametri invece di ldap_server |
ldap_user | Utente con cui cercare nell'albero LDAP se l'utente di accesso non ha alcun permesso |
ldap_user_expire | Numero di giorni di inattività dopo i quali gli utenti gestiti da LDAP vengono cancellati da SKOOR Engine. (Predefinito = 90 giorni) |
Ricaricare lo SKOOR Engine Server per attivare la configurazione:
/opt/eranger/bin/eRanger.sh reload server
Affinché un utente sia autenticato rispetto ad AD/LDAP, impostare il suo tipo di utente su Autenticato remoto nella configurazione dell'utente.
Le password LDAP sono crittografate localmente nello stesso modo in cui lo sono per gli utenti normali, cioè utilizzando la crittografia MD5 salata. La password in chiaro non viene mai memorizzata da nessuna parte in SKOOR Engine. Ciò consente a un utente di accedere a SKOOR Engine anche se la directory LDAP non è accessibile.