Tukipalvelu


inschool.fi(at)supportvisma.com

Visma Community


https://community.visma.com/


Kundsupport


inschool.fi(at)supportvisma.com

printer.png

LDAP-tunnistus Wilmassa

    Artikkelissa on kuvattu lisämääritykset, joilla myös Wilman käyttäjät saadaan autentikoitumaan aktiivihakemiston palvelimella. Eri käyttäjätyyppien määritykset syötetään erikseen, koska on mahdollista, että opiskelijoille ja henkilökunnalle käytetään eri LDAP-palvelimia. Wilma-käyttäjätkin voidaan tunnistaa kahdella eri tavalla, riippuen aktiivihakemiston rakenteesta.

    Ennen LDAP-asetusten muuttamista pääkäyttäjän kortille rastitaan Primuksen Käyttäjätunnukset-rekisterissä kenttä Älä käytä LDAP-tunnistusta, jotta kirjautuminen Primukseen onnistuu, vaikka LDAP-autentikointi ei onnistuisi. Lisäksi mahdollisissa ongelmatilanteissa AD-tunnistuksen voi ottaa pois käytöstä laittamalla prserver.ini-tiedostoon [Settings]-osioon asetuksen LdapDisabled=True. Tällä asetuksella kirjautuminen tapahtuu Primuksen käyttäjätunnistuksen kautta.

    Muutos asetusten sijaintiin Primuksen versiossa 4.49:

    Aiemmin Wilman LDAP-asetukset on syötetty prserver.ini-tiedostoon, mutta Primuksen versiossa 4.49 asetukset on mahdollista syöttää Koulun tiedot -rekisteriin kenttään LDAP-asetukset. Kun asetukset ovat Koulun tiedot -rekisterissä, voi asetuksia muuttaa jatkossa Primuksen serverin ollessa käynnissä. Kun asetukset ovat koulukohtaisia, voivat koulut myös käyttää eri LDAP-palvelimia. Asetukset toimivat vain niillä kouluilla, joiden korteille asetukset on syötetty.

    Jos kuntanne/oppilaitoksenne LDAP-asetukset ovat tällä hetkellä prserver.ini-tiedostossa, ne kannattaa siirtää sieltä kopioimalla Koulun tiedot -rekisteriin jokaisen koulun kortille LDAP-asetukset -kenttään. Kun kopioit asetuksia, jätä otsikko [Ldap] ja mahdollinen rivi Library=synapse kopioimatta, sillä ne otetaan automaattisesti käyttöön Koulun tiedot -rekisterissä.

    Testaa asetusten siirron jälkeen asetusten toimivuus. Jos asetukset toimivat, voit poistaa prserver.ini-tiedostosta LDAP-asetukset kokonaan. Jos asetukset taas eivät toimi, tyhjää asetukset LDAP-asetukset -kentästä mutta jätä ne prserver.ini-tiedostoon ja ota yhteys tukipalveluumme.

    Esimerkki opiskelijoiden asetuksista:

    TAPA 1. LDAP:n dn-määritys on systemaattinen (kaikki Wilma-käyttäjät löytyvät täsmälleen samasta organisaatioyksiköstä (OU).

    [Ldap]
    Library=synapse
    Host=hallinto_aktiivihakemistopalvelimen_ip_osoite
    Port=389
    Dn=CN=$USERNAME,ou=hallinto,dc=starsoft,dc=fi

    Host1=oppilas_aktiivihakemistopalvelimen_ip_osoite
    Port1=389
    Dn1=CN=$USERNAME,ou=oppilaat,dc=starsoft,dc=fi

    Opettarekisteristä löytyvien käyttäjien määritykset ovat: Host2, Port2 jne.
    Henkilökuntarekisteristä löytyvien käyttäjien määritykset ovat: Host3, Port3 jne.

    TAPA 2. LDAP:n dn-määritys vaihtelee (Wilma-käyttäjät sijaitsevat useissa eri organisaatioyksiköissä).

    [Ldap]
    Library=synapse
    Host=hallinto_aktiivihakemistopalvelimen_ip_osoite
    Port=389
    MainDn=CN=hakunimi,OU=palvelutunnukset,DC=starsoft,DC=fi
    MainPasswd=hakutunnuksen_salasana
    Search=(samAccountName=$USERNAME)
    SearchBase=OU=hallinto,DC=starsoft,DC=fi
    SearchScope=2

    Host1=oppilas_aktiivihakemistopalvelimen_ip_osoite
    Port1=389
    MainDn1=CN=oppilashakunimi,OU=palvelutunnukset,DC=starsoft,DC=fi
    MainPasswd1=oppilashakutunnuksen_salasana
    Search1=(samAccountName=$USERNAME)
    SearchBase1=OU=oppilaat,DC=starsoft,DC=fi
    SearchScope1=2

    Opettajarekisteristä löytyvien käyttäjien määritykset ovat: Host2, Port2 jne.
    Henkilökuntarekisteristä löytyvien käyttäjien määritykset ovat: Host3, Port3 jne.

    Huom! Jos käytetään vain yhtä aktiivihakemisto-palvelinta, yksi hakutunnus riittää.

    Dn- ja Search-määrityksissä voi käyttää hyväksi Primuksessa olevaa tietoa:
    $USERNAME = käyttäjän syöttämä käyttäjätunnus
    $EMAIL = käyttäjän sähköpostiosoite
    $CRYPTID = käyttäjän salattu henkilötunnus
    $AD-USERNAME = käyttäjän kuntalaisverkon aktiivihakemiston tunnus

    Wilmaan kirjautuminen

    Jotta Wilmaan pystytään kirjautumaan Wilma-tunnuksilla LDAP-autentikointia käyttäen,

    1. Wilman yleistunnuksella (Wilman ja Primuksen välisen tiedonvaihdon mahdollistava tunnus) ei multiPrimusta käytettäessä saa olla kotikoulua määriteltynä. Muutoin vain tämän koulun käyttäjien autentikoituminen onnistuu.

    2. Wilman yleistunnuksen Älä käytä LDAP-tunnistusta -kentässä tulee olla rasti.

    3. Prserver.ini-tiedostossa tulee Library-parametriä lukuunottamatta olla attribuutin perässä numero. Esim. Oppilailla Host1=, Port1= jne. Ilman numeroa olevat määritykset (Host=, Port= jne.) on lisäksi aina oltava erikseen määriteltynä, koska numeroimattomat parametrit viittaavat Primuksen Käyttäjätunnukset-rekisteriin. Ilman tätä Wilman yleistunnus ja Primuksen hallintokäyttäjät eivät pysty kirjautumaan Primukseen.

    Konfiguraatioesimerkki kokonaisuudessaan tilanteesta, jossa Wilmaa käyttää oppilaat, opettajat ja henkilökunta:

    Esimerkissä Hallintokäyttäjät ja oppilaat haetaan osoitteesta 192.168.0.1 ja opettajat ja henkilökunta osoitteesta 192.168.0.2.

    [Ldap]
    Library=synapse

    #Primuksen_hallintokayttajat_ja_wilman_primustunnus
    Host=192.168.0.1
    Port=389
    MainDn=CN=hakunimi,ou=palvelutunnukset,dc=starsoft,dc=fi
    MainPasswd=hakutunnuksen_salasana
    Search=(samAccountName=$USERNAME)
    SearchBase=ou=hallinto,dc=starsoft,dc=fi
    SearchScope=2

    #Oppilaat
    Host1=192.168.0.1
    Port1=389
    MainDn1=CN=hakunimi,ou=palvelutunnukset,dc=starsoft,dc=fi
    MainPasswd1=hakutunnuksen_salasana
    Search1=(samAccountName=$USERNAME)
    SearchBase1=ou=Oppilaat,dc=starsoft,dc=fi
    SearchScope1=2

    #Opettajat
    Host2=192.168.0.2
    Port2=389
    MainDn2=CN=hakunimi,ou=palvelutunnukset,dc=starsoft,dc=fi
    MainPasswd2=hakutunnuksen_salasana
    Search2=(samAccountName=$USERNAME)
    SearchBase2=ou=Opettajat,dc=starsoft,dc=fi
    SearchScope2=2

    #Henkilokunta
    Host3=192.168.0.2
    Port3=389
    MainDn3=CN=hakunimi,ou=palvelutunnukset,dc=starsoft,dc=fi
    MainPasswd3=hakutunnuksen_salasana
    Search3=(samAccountName=$USERNAME)
    SearchBase3=ou=Henkilokunta,dc=starsoft,dc=fi
    SearchScope3=2

    Huomaa että MainDn=CN=hakunimi on AD:ssa oleva nimi eikä tunnus (userid)

    AD-tunnistus ja salasanan vaihtaminen

    Oletuksena Wilma estää käyttäjää vaihtamasta salasanaansa, jos käyttäjän Wilma-tunnus tarkistetaan aktiivihakemistosta (AD). Primuksen versiossa 4.49 ja sitä uudemmissa voi kuitenkin sallia AD-salasanan vaihdon Wilman kautta. Tästä on oma ohje täällä.

    Aiheeseen liittyen: