Tukipalvelu


inschool.fi(at)supportvisma.com

Visma Community


https://community.visma.com/


Kundsupport


inschool.fi(at)supportvisma.com

printer.png

Käyttäjien tunnistaminen aktiivihakemistosta (AD)

  Primuksen ja Kurre 7:n käyttäjät voi tunnistaa aktiivihakemistosta (esim. AD). Ohjeessa on esimerkki tunnistuksen käyttöönotosta. Esimerkin konfiguroinnit ja aktiivihakemiston viittaukset tulee muuttaa vastaamaan oman organisaationne rakennetta. LDAP:n käyttöönottoa kannattaa testata erillisen testi-Primuksen avulla, ei tuotantokannassa.

  LDAP 1LDAP 1
  Käyttäjien tunnistaminen aktiivihakemistosta

  Jotta käyttäjien Primuksen kirjautumisikkunaan syöttämien tietojen tarkistaminen aktiivihakemistosta olisi mahdollista, on Primuksella oltava pääsy aktiivihakemistoon. Tämä tapahtuu luomalla aktiivihakemistoon tätä tarkoitusta varten oma hakutunnus.

  Esimerkissä toimialueen päätason alle on luotu palvelutunnukset-niminen organisaatioyksikkö (OU), jonka alle hakutunnus (user) puolestaan on luotu (Kuva ldap1). Hakutunnukselle ei tarvitse luoda sähköpostilaatikkoa tai antaa oikeuksia. Hakutunnuksen salasanan voimassaoloaika kannattaa kuitenkin määrittää päättymättömäksi (Kuva ldap2).

  Hakutunnuksen tunnistaminen aktiivihakemistosta voidaan tehdä lukuisien eri tietojen avulla, mutta konfiguraatioesimerkeissä tunnistaminen tehdään Full Name -kentän (attribuutti CN eli Common Name) avulla. Mikäli tunnistaminen halutaan tehdä jonkin muun tiedon perusteella, on hakutunnuksen vastaavat kentät oltava aktiivihakemistossa täytettyinä. Lisätietoja voi kysyä aktiivihakemistonne palvelimen ylläpitäjältä. Voit ladata käyttöönoton helpottamiseksi testiohjelman osoitteesta http://www2.starsoft.fi/starsoftutils/ldaptest.exe.

  LDAP 2LDAP 2
  LDAP-protokollan käyttöönotto

  Aktiivihakemistosta tunnistamisen käyttöönotto tapahtuu kolmessa vaiheessa seuraavasti:

  1. Sovelluspalvelin (tai palvelin/työasema, jossa Primuksen Client-osa on asennettuna)
  Ota Primuksen Käyttäjätunnukset-rekisterissä käyttöön "Älä käytä LDAP-tunnistusta" –kenttä.
  Valitse kaikki käyttäjätunnukset ja laita edellä mainittuun kenttään rasti. Tallenna muutos. Tämä tarkoittaa, että kaikki käyttäjät tunnistetaan vielä tässä vaiheessa Primuksen sisäisesti.
  Aukaise Käyttäjäluettelo-rekisteri ja tarkista, ettei Primukseen ole sinun lisäksesi kukaan kirjautuneena. Sulje Primuksen Client-ohjelma.

  2. Tietokantapalvelin (tai palvelin/työasema, jossa Server-osa on asennettuna)
  Pysäytä Primus-palvelu tai sulje ohjelma prserver.exe.
  Lisää prserver.ini-tiedoston konfigurointitietoihin LDAP-määritykset.

  Toteutustapoja on kaksi:

  TAPA 1. LDAP:n dn-määritys on systemaattinen (kaikki käyttäjät löytyvät täsmälleen samasta organisaatioyksiköstä (OU).

  [Ldap]
  Library=synapse
  Host= Aktiivihakemiston_palvelimen_ip_osoite
  Port=389
  Dn=cn=$USERNAME,ou=starsoft-users,dc=starsoft,dc=fi

  TAPA 2. LDAP:n dn-määritys vaihtelee (käyttäjät sijaitsevat useissa eri organisaatioyksiköissä)

  [Ldap]
  Library=synapse
  Host=Aktiivihakemiston_palvelimen_ip_osoite
  Port=389
  MainDn=CN=hakunimi,OU=palvelutunnukset,DC=starsoft,DC=fi
  MainPasswd=hakutunnuksen_salasana
  Search=(mail=$USERNAME@starsoft.fi)
  SearchBase=OU=starsoft-users,DC=starsoft,DC=fi
  SearchScope=2

  MainDn rivillä voidaan käyttää Windows AD ympäristössä myös DOMAIN\userid arvoja esimerkiksi:
  MainDn=STARSOFT\ldap.tunnus jossa STARSOFT on Windows toimialue ja ldap.tunnus on AD:ssa oleva käyttäjätunnus.

  Organisaatioyksiköiden (OU) nimet on laitettava vastaamaan oman aktiivihakemistonne rakennetta. Huomaa, että aktiivihakemiston puuta luetaan takaperin eli alaoksista kohti runkoa. Toimialueen nimen muodostavien osien nimet kirjoitetaan DC-määrityksin niinikään pienimmästä suurimpaan. Siis esimerkiksi: MainDn=CN=hakunimi,OU=ryhma,OU=joukkue,OU=komppania,DC=yritys,DC=fi

  Search-kenttään kirjoitetaan se tieto, johon käyttäjän syötettä verrataan. Yksi hyväksi havaittu keino on verrata syötettä käyttäjän aktiivihakemistossa olevaan sähköpostiosoitteeseen (General-välilehdellä kenttä E-mail).

  Toinen yleinen tapa on verrata käyttäjän syötettä aktiivihakemistossa olevaan käyttäjätilin nimeen (Account-välilehdellä kenttä User logon name (pre-Windows 2000)). Tällöin konfiguroinnin rivi muutetaan muotoon Search=(samAccountName=$USERNAME). Mikäli käyttäjän syötettä halutaan verrata johonkin muuhun AD:ssa olevaan tietoon, voi lisätietoja pyytää aktiivihakemiston palvelimen ylläpitäjältä.

  OpenLDAP:ssa samAccountname ei toimi, joten sitä käyttäessänne uid:n pitäisi vastata tätä.

  SearchBase-kenttään puolestaan kirjoitetaan sen organisaatioyksikön polku, josta Primus-käyttäjiä lähdetään etsimään. Jos tätä ei tehdä, LDAP käy läpi koko aktiivihakemiston puun. Suurissa organisaatioissa tämä lisää haun vasteaikaa huomattavasti. SearchScope-määrityksellä voidaan rajata LDAP-hakua. Numero 2 tarkoittaa, että koko kyseinen haara kaikkine alihaaroineen käydään läpi.

  Ylläolevista esimerkeistä tapa 2 tekee ensin LDAP-haun ja vasta sitten sidonnan (bind) haun palauttamalla dn-määrityksellä. Eri käyttäjien organisaatioyksikköhän voi vaihdella ja täten dn:kin vaihtelee. LDAP-haun tekemistä varten AD:hen kirjaudutaan MainDn- ja MainPasswd-tunnuksilla (siis hakutunnuksella ja hakutunnuksen salasanalla).

  Kun käytössä on Linux-versio Primuksen Server-osasta, tulee käytettävän ohjelmakirjaston (Library) nimi muuttaa. Kyseeseen tulee esim. libldap.so.2. Määritys olisi tällöin Library=libldap.so.2. Mikäli aktiivihakemistonne perustuu LDAP-protokollan versioon 2, on käytettävä määritystä LdapVersion=2.

  Dn- ja Search-määrityksissä voi käyttää hyväksi Primuksessa olevaa tietoa:
  $USERNAME = käyttäjän syöttämä käyttäjätunnus
  $EMAIL = käyttäjän sähköpostiosoite

  Käynnistä Primus-palvelu tai ohjelma prserver.exe.

  3. Sovelluspalvelin (tai palvelin/työasema, jossa client-osa on asennettuna)
  Kun halutaan jonkun käyttäjän tunnistautuvan jatkossa nimenomaan aktiivihakemistoa vastaan, tulee Primuksen Käyttäjätunnukset-rekisterissä tehdä tunnukselle seuraavat toimenpiteet.

  Primuksessa oleva käyttäjätunnus muutetaan vastaamaan aktiivihakemistossa määriteltyä tunnusta. Yleisimmin käytetty muoto lienee etunimi.sukunimi. Primuksen salasanakenttiin ei tarvitse koskea, koska salasanat tarkistetaan jatkossa aktiivihakemistosta. Salasana- ja sen vahvistuskentällä ei siis periaatteessa ole tässä rekisterissä enää mitään virkaa. (Poikkeustapaus kuvattu alempana.)

  Poista kaikilta rasti kentästä Älä käytä LDAP-tunnistusta. Tällöin autentikointi suoritetaan jatkossa prserver.ini-tiedoston määräämällä tavalla, siis LDAP:lla aktiivihakemistosta.

  Ylläpitotunnuksille kannattaa rasti kuitenkin jättää. Mikäli aktiivihakemiston palvelin kaatuu tai verkkoyhteys siihen katkeaa, pääsee ylläpitäjä silti kirjautumaan Primukseen. Mikäli kyse on pidemmästä aktiivihakemiston palvelimen toimintakatkosta, voi ylläpitäjä valita Käyttäjätunnukset-rekisterissä kaikki käyttäjät ja rastia Älä käytä LDAP-tunnistusta -kentän. Tällöin muutkin käyttäjät tunnistetaan jälleen Primuksen kautta ja ohjelman käyttö voi jatkua. Huomaa, että tällöin käyttäjien pitää jälleen käyttää Primukseen määriteltyjä salasanoja. Toinen vaihtoehto on poistaa tilapäisesti prserver.inistä ldap-määritykset ja käynnistää Primuksen server-osa tai palvelu uudelleen.

  Kun aktiivihakemiston palvelin on jälleen tavoitettavissa, voi rastin poistaa muilta käyttäjiltä, jolloin nämä tunnistetaan taas aktiivihakemistosta.

  LDAP-asetukset TLS:n yli käytettäessä

  [Ldap]
  Library=synapse
  Host=194.168.0.1
  Port=389
  Dn=uid=$USERNAME,ou=People,dc=koulu,dc=kunta,dc=fi
  Async=1
  Tls=1
  CertCAFile= *

  * Tämä rivi tarvitaan ainakin OpinSYS:n ldap:ia käytettäessä.