Kundsupport


inschool.fi(at)supportvisma.com

Visma Community


https://community.visma.com/

printer.png

Identifiera Primus-användare från katalogtjänst

    Primus och Kurre 7:s användare kan igenkännas med hjälp av en katalogtjänst (t.ex. AD). Inställningar och hänvisningar till katalogtjänst måste ändras så att de motsvarar den egna organisationens uppbyggnad. Vi rekommenderar att man tar en säkerhetskopia av databasen och först testar LDAP med en testdatabas.


    Identifiera användare i katalogtjänst

    För att det skall vara möjligt att identifiera de uppgifter som en användare skriver i inloggningsfönstret i Primus med katalogtjänst måste Primus ha kontakt med katalogtjänsten. För detta krävs att man i katalogtjänsten skapar ett eget sökkriterium för detta. I den första bilden skapas ett sökkriterium. Man behöver inte upprätta en e-postadress eller ge användarrättigheter till detta sökkriterium. Det är dock skäl att definiera att detta sökkriterium aldrig föråldras, se den andra bilden.

    Identifieringen av användaren i katalogtjänsten kan ske på olika sätt. I exemplet sker identifieringen på basen av fältet Full Name (attribut CN dvs Common Name). Om man vill att identifieringen sker på basen av någon annan uppgift måste dessa uppgifter vara ifyllda i katalogtjänsten. Tilläggsuppgifter fås av de personer som upprätthåller katalogtjänst-servern i er läroanstalt. Ett testprogram kan laddas ner från denna länk http://www2.starsoft.fi/starsoftutils/ldaptest.exe.


    Att ta i bruk LDAP-protokollet

    Identifiering med hjälp av katalogtjänsten sker i tre steg. Dessa steg förklaras nedan.

    1. Applikationsserver (eller den server/dator där Primus Klientdel är installerad).
    Ta i Primus Användarnamn-register fram fältet Använd inte LDAP-identifiering. Spara. Detta innebär att alla användare ännu i detta skede igenkänns internt i Primus.
    Öppna sedan Primus Användarlista och kontrollera att ingen annan användare förutom du är inskriven i Primus just nu. Stäng Primus Klientdel.

    2. Databasserver (eller den server/dator där Primus Server-del är installerad). Om servern är installerad som tjänst (Service) måste man stänga tjänsten. Om prserver.exe är startad måste detta program stängas, dvs. stäng Primus Server-del. Efter detta lägger man till LDAP-definitionerna i prserver.ini-filen.

    Det finns två sätt att göra detta:

    1. Definitionen av LDAP är systematisk, alla användare hör till samma organisationsenhet (OU).

    [Ldap]
    Library=synapse
    Host= Katalogtjänstens_ip_adress
    Port=389
    Dn=CN=$USERNAME@starsoft.fi,ou=starsoft-users,dc=starsoft,dc=fi

    2. Definitionen av LDAP varierar (användarna tillhör olika enheter).

    [Ldap]
    Library=synapse
    Host=Katalogtjänstens_ip_adress
    Port=389
    MainDn=CN=sökkriterium,OU=verifieringsnyckel,DC=starsoft,DC=fi
    MainPasswd=sökkriteriets_lösenord
    Search=(mail=$USERNAME@starsoft.fi)
    SearchBase=OU=starsoft-users,DC=starsoft,DC=fi
    SearchScope=2

    På MainDn-raden kan man i Windows AD-miljöer också använda DOMAIN\userid-värden, t.ex.:
    MainDNn=STARSOFT\ldap.användarnamn. STARSOFT motsvarar Windows verksamhetsort och ldap.användarnamn motsvarar användarnamnet som används i AD.

    Namnen på organisationens enheter (OU) måste motsvara den egna organisationens uppbyggnad. Observera att katalogtjänsthierarkin läses baklänges, dvs. från den minsta till den största enheten. Verksamhetsortens namn skrivs likaså från den minsta till den största, t.ex. MainDn=CN= sökkriterium, OU=grupp, DC=företag, DC=fi.

    I Search-fältet skrivs den uppgift, med vilken man jämför den uppgift som användaren matar in. Ett bra alternativ är att jämföra den uppgift som användaren matar in med den e-postadress som finns i katalogtjänsten (General-mellanbladets fält E-mail).

    Ett annat alternativ är att jämföra den uppgift som användaren matar in med användarkontots namn (Account-mellanbladets fält User logon name). I detta fall måste Search-fältets uppgift skrivas i formatet Search=(samAccountName=$USERNAME). Kontakta katalogtjänst-serverns underhållare om du vill använda någon annan uppgift som identifierande uppgift.

    I OpenLDAP fungerar inte samAccountname, så när man använder det borde uid motsvara detta.

    I SearchBase -fältet skrivs enhetens sökväg. Den här sökvägen används när man söker Primus-användare. Om man inte anger någon sökväg går LDAP igenom katalogtjänstens hela hierarki. I en stor organisation förlänger detta svarstiden. Med SearchScope kan man begränsa LDAP- sökningen. Nummer 2 innebär att hela hierarkin gås igenom.

    Det senare alternativet ovan gör först en LDAP-sökning och kontrollerar sedan lösenordet på basen av dn-definitionen. Användarnas enhet kan variera och således varierar också DN. För att upprätta LDAP-sökningen måste man skriva in sig i katalogtjänsten med MainDn- och MainPasswd-användarlösen.

    Om man använder en Linux-version av Primus Server måste man ändra på programbibliotekets (Library) namn. Namnet kan t.ex. vara libldap.so.2, varvid definitionen skulle vara Library=libldap.so.2. Om läroanstaltens katalogtjänst grundar sig på LDAP-protokoll version 2 måste man använda definitionen LdapVersion=2.

    I Dn- och Search-definitionerna kan man använda de uppgifter som finns i Primus:
    $USERNAME = användarens användarnamn
    $EMAIL = användarens e-postadress

    Starta Primus som tjänst (service) eller programmet prserver.exe.

    3. Applikationsserver (eller den server/dator där klient-delen är installerad)
    När man vill att användaren skall identifieras via katalogtjänsten måste man i Primus Användarnamn-registret göra följande definitioner:

    I Primus måste man ändra användarnamnet så att det motsvarar det användarnamn som definierats i katalogtjänsten. Den vanligaste formen är antagligen förnamn.efternamn. Eftersom lösenorden kontrolleras via katalogtjänsten behöver man inte göra ändringar i fälten för lösenord i Primus. Fälten Lösenord och Upprepa lösenordet har alltså i praktiken inte någon betydelse i detta fall. Det finns dock undantag, vilka har beskrivits nedan.

    Kryssa ur "Använd inte LDAP-identifiering" –fältet för alla. Nu identifieras användarna på det sätt som definierats i prserver.ini-filen, dvs. med LDAP från katalogtjänsten.

    För underhållets användarnamn lönar det sig att lämna ovan nämnda fält ikryssat. Då kan underhållet logga in i Primus även om katalogtjänst-servern kraschar eller förbindelsen till servern bryts. Om det är fråga om ett längre driftsavbrott kan underhållaren välja alla användarnamn i Användarnamn-registret och återställa krysset i "Använd inte LDAP-identifiering" –fältet. Då indentifieras användarna internt och alla användare kan fortsätta arbeta med Primus. OBS! Detta kräver att det finns lösenord i Primus. Ett annat alternativ är förstås att tillfälligt radera ldap-definitioner från prserver.inin och starta Primus server-del eller service på nytt.

    När katalogtjänst-servern är igång igen kan man kryssa ur Använd inte LDAP-identifiering–fältet, varvid användarna igen identifieras med hjälp av katalogtjänsten.

    LDAP-inställningar vid användning över TLS

    [Ldap]
    Library=synapse
    Host=194.168.0.1
    Port=389
    Dn=uid=$USERNAME,ou=People,dc=skola,dc=kommun,dc=fi
    Async=1
    Tls=1
    CertCAFile= *

    * Denna rad behövs åtminstone vid användning av OpinSys ldap.