Einstellungen konfigurieren

Bevor eine Active Directory Anbindung aktiviert werden kann, müssen bestimmte Einstellungen konfiguriert werden. Es können mehrere Active Directories angebunden und deren Einträge in octoplant importiert werden.

Als Voraussetzung muss die Autorisierung über das Betriebssystem erfolgen.

  1. Öffnen Sie die Registerkarte Synchronisation in der Menüleiste und klicken Sie auf die Schaltfläche Kontorichtlinien.

  2. Wählen Sie in der Registerkarte Autorisierung entweder Autorisierung über Betriebssystem oder Autorisierung über Betriebssystem und Zugangsverwaltung und bestätigen Sie mit OK.

Um die Einstellungen für die Active Directory Anbindung zu konfigurieren, gehen Sie folgendermaßen vor:

  1. Klicken Sie auf die Schaltfläche Konfigurieren in der Menüleiste. Der Dialog Active Directory Anbindung wird geöffnet. Beim initialen Öffnen des Dialogs wird direkt eine neue Konfiguration erstellt. Wenn Sie eine zusätzliche Konfiguration erstellen wollen, während der Dialog geöffnet ist, wählen Sie die Schaltfläche Neu in der Navigationsleiste auf der linken Seite.

  2. Abbildung: Dialog Active Directory Anbindung

  3. Nehmen Sie die erforderlichen Einstellungen vor. Eine Beispielkonfiguration wird im oberen Screenshot angezeigt. Die Einträge sind im Detail in den unteren Tabellen beschrieben.

  4. Wählen Sie Zyklische Synchronisation aktivieren, um die Synchronisation mit dem Active Directory für diese Konfiguration zu aktivieren.

  5. Der automatische und manuelle Import aus dem Active Directory is final jedoch erst aktiv, wenn die Schaltfläche Aktivieren in der Menüleiste aktiviert ist. Das Kontrollkästchen Zyklische Synchronisation aktivieren ermöglicht es nur, dass die Konfiguration später aktiviert wird.

  6. Bestätigen Sie mit Speichern.

  7. Die Einstellungen der Konfiguration werden gespeichert. Um eine neue Konfiguration hinzuzufügen, klicken Sie auf die Schaltfläche Neu in der Navigationsleiste, um den Dialog zu schließen, wählen Sie OK.

 

Bei der Konfiguration der Active Directory Anbindung werden häufig beispielsweise von der IT-Abteilung gelieferte Daten aus einer E-Mail oder einem Word-Dokument kopiert. Dabei kann es vorkommen, dass durch das entsprechende Textverarbeitungsprogramm Zeichen verändert oder hinzugefügt werden. Dies wird durch eine Fehlermeldung angezeigt. Um dies zu verhindern, wird empfohlen, die Daten manuell einzugeben.

Server

Wir haben eine automatische Authentifizierung für Active Directory implementiert. Das bedeutet, dass bereits authentifizierte Anmeldeinformationen verwendet werden, wenn die angegebenen Anmeldeinformationen, Benutzername und Kennwort, im Dialogfeld für die Active Directory-Verbindung leer bleiben.

Element Beschreibung Beispiel
Adresse Name, IP-Adresse oder Domäne des Active Directory Servers
Ist der Rechner, von dem aus Sie sich verbinden wollen, nicht in die Domäne des Active Directory Servers eingebunden, ist eine Verbindung nur über den Namen oder die IP-Adresse des Active Directory Servers möglich.
10.0.201.1
Port Port des Active Directory Servers
Möglich sind ganzzahlige Werte im Bereich von 0 bis 65535.
Standardmäßig vorgegeben ist Port 636 für verschlüsselte Verbindung (Standard-Port für unverschlüsselte Verbindung ist 389).
Ist ein Port bereits anderweitig belegt, wählen Sie einen anderen aus.
636
SSL-Verschlüsselt Verschlüsselte oder unverschlüsselte Verbindung zum Active Directory Server.
Standardmäßig erfolgt die Anbindung an das Active Directory über das LDAP-Protokoll. Wenn das Kontrollkästchen SSL-Verschlüsselt aktiviert ist, wird das LDAPS-Protokoll verwendet.
þ SSL-Verschlüsselt
Benutzername Benutzername für den Zugriff auf den Active Directory Server
Format: <Benutzername> oder <Domäne>\<Benutzername> oder <Benutzername>@<Domäne>
octoplant
Passwort Benutzer-Passwort für den Zugriff auf den Active Directory Server
Maskierte Anzeige
•••••••••
DC DNS-Name der Domäne
Angaben entsprechend dem Active-Directory-Format. Die durch Punkte getrennten Teile eines Domänennamens werden im Active Directory in einzelne Abschnitte aufgeteilt. Jeder Abschnitt wird durch das Präfix DC (= Domain Component) eingeleitet. Voneinander getrennt werden die einzelnen Abschnitte durch Kommata.
Die Domäne "vdns.tst.dom" wird folgendermaßen abgebildet: DC=vdns, DC=tst, DC=dom
DC=vdns,DC=tst,DC=dom
DN "All Users" Distinguished Name (= DN) der Active Directory Gruppe, innerhalb der nach zu importierenden Benutzern (und weiteren Gruppen) gesucht werden soll.
Angaben entsprechend dem Active-Directory-Format. Ein Distinguished Name repräsentiert ein Objekt in einem hierarchischen Verzeichnis. Der Distinguished Name wird von den unteren zu den übergeordneten Hierarchiestufen geschrieben. Das Objekt selbst wird durch das Präfix CN (= Common Name) eingeleitet. Voneinander getrennt werden die einzelnen Teile durch Kommata.
Für die Gruppe "Club27" im Ordner "Users" sieht der Distinguished Name folgendermaßen aus: CN=Club27, CN=Users
CN=Club27,CN=Users
DN "Administrators"

Distinguished Name (= DN) der Active Directory Gruppe, deren Benutzer in die Gruppe Administrators importiert werden sollen.octoplant Gruppe Administrators importiert werden sollen.
Angaben entsprechend dem Active-Directory-Format. Ein Distinguished Name repräsentiert ein Objekt in einem hierarchischen Verzeichnis. Der Distinguished Name wird von den unteren zu den übergeordneten Hierarchiestufen geschrieben. Das Objekt selbst wird durch das Präfix CN (= Common Name) eingeleitet. Voneinander getrennt werden die einzelnen Teile durch Kommata.
Für die Gruppe "Reservoir-Dogs" im Ordner "Users" sieht der Distinguished Name folgendermaßen aus: CN=Reservoir-Dogs, CN=Users.

Mehrere Gruppen werden durch Semikolon voneinander getrennt.

CN=Reservoir-Dogs,CN=Users, OU=SecurityGroup

 

 

 

 

 

CN=SECS-Engineering-1,OU=test,OU=2008 R2 AD; CN=SECS-Engineering-2,OU=test 2,OU=2008 R2 AD; ...

Pfadangabe:

Pfade müssen im Dialog Active Directory Anbindung komplett angegeben werden. Enthält der Pfad Sonderzeichen, wie "+" (z.B. OU=W+D), ist dieses Sonderzeichen mit einer Escape-Sequenz "\" zu versehen (z.B. CN=Reservoir-Dogs, OU=W\+D).

Über die Schaltfläche Prüfe können Sie testen, ob die Serverangaben korrekt sind.

Distinguished Name der Active Directory Gruppe ausgeben

In den Feldern DN "All Users" und DN "Administrators" wird der Distinguished Name einer Active Directory Gruppe angegeben. Der Distinguished Name kann über den PowerShell Befehl Get-ADGroup <Gruppenname>, der auf dem Active Directory Controller ausgeführt wird, ausgegeben werden.

Beispiel:

Abbildung: Ausgabe Distinguished Name

Importierte Benutzerattribute

Element Beschreibung Beispiel
Name Attribut aus dem Active-Directory, das als Benutzername in octoplant verwendet wird
Beim Import wird der Name eines Benutzers entsprechend dem Wert des Attributs aus dem Active Directory gesetzt.
sAMAccountName
Vollständiger Name Attribut aus dem Active-Directory, das als vollständiger Name in octoplant verwendet wird.
Beim Import wird der vollständige Name eines Benutzers entsprechend dem Wert des Attributs aus dem Active Directory gesetzt.
displayName
E-Mail Attribut aus dem Active-Directory, das als E-Mail-Adresse in octoplant verwendet wird
Beim Import wird die E-Mail-Adresse eines Benutzers entsprechend dem Wert des Attributs aus dem Active Directory gesetzt.
mail
Telefon Attribut aus dem Active-Directory, das als Telefonnummer in octoplant verwendet wird
Beim Import wird die Telefonnummer eines Benutzers entsprechend dem Wert des Attributs aus dem Active Directory gesetzt.
telephoneNumber
Kommentar Attribut aus dem Active-Directory, das als Kommentar in octoplant verwendet wird
Beim Import wird der Kommentar eines Benutzers entsprechend dem Wert des Attributs aus dem Active Directory gesetzt.
description
Domäne

Domänen-Name oder Benutzerattribut aus dem Active-Directory

Wenn das Kontrollkästchen Wert von "Domain" als Benutzerattribut verwenden deaktiviert ist, wird hier der NetBIOS-Name der Domäne eingetragen. Dies ist die Standardeinstellung.

Wenn das Kontrollkästchen Wert von "Domain" als Benutzerattribut verwenden aktiviert ist, kann ein beliebiges Benutzerattribut angegeben werden, aus dem der Domänenname ausgelesen oder verwendet werden kann.

2 Besonderheiten: Bei den Attributen userPrincipalName und distinguishedName wird jeweils die erste Sub-Domäne oder Domäne, die gefunden wird, als Domänenname verwendet.

Beispiele:

  • distinguishedName:
    CN=UserName,OU=Development,OU=UserAccounts,
    OU=Organisation,OU=Company,DC=subDomain,
    DC=Domain,DC=local

    Hier wird der Wert des ersten "DC=" als Domänenname verwendet, also "subDomain"

  • userPrincipalName:
    user@subdomain.domain.local

  • Hier wird der erste Wert nach dem @ bis zum ersten "." als Domänename verwendet, also "subdomain".

Importierte Gruppenattribute

Element Beschreibung Beispiel
Name: Attribut aus dem Active-Directory, das als Benutzername in octoplant verwendet wird
Beim Import wird der Name einer Gruppe entsprechend dem Wert des Attributs aus dem Active Directory gesetzt.
cn
Kommentar: Attribut aus dem Active-Directory, das als Gruppenkommentar in octoplant verwendet wird
Beim Import wird der Kommentar einer Gruppe entsprechend dem Wert des Attributs aus dem Active Directory gesetzt.
description

Importoptionen

Element Beschreibung
Vorgehen für die im Feld DN "All Users" eingetragen Gruppen
  • Importiere Benutzer (Gruppen oder Zugehörigkeiten nicht importieren)
    Es werden nur Benutzer aus dem AD importiert. Gruppen und Mitgliedschaften werden nicht importiert.
  • Importiere Benutzer und Gruppen und Zugehörigkeiten
    Die von Benutzer angegebenen Gruppen (es muss sich um Gruppen und nicht um OUs handeln) werden in octoplant importiert. (Benutzer werden in ihren jeweiligen Gruppen zugeordnet).
  • Importiere Benutzer und direkte Untergruppen und Zugehörigkeiten Ermöglicht das Hinzufügen/Entfernen von Gruppen in AD ohne eine Anpassung der Konfiguration in octoplant. (Default).
Vorgehen, wenn Benutzer/Gruppe bereits in octoplant existiert:

Programmverhalten, wenn zu importierende Benutzer/Gruppen in octoplant bereits vorhanden sind.

Optionen:

  • Benutzer/Gruppe in octoplant überschreiben (Rechte beibehalten) Bereits in octoplant vorhandene Benutzer/Gruppen werden beim Import mit den Werten der gleichnamigen Elemente aus dem Active Directory überschrieben.
  • Benutzer/Gruppe aus Active Directory überspringen
    Bereits in octoplant vorhandene Benutzer/Gruppen werden beim Import nicht mit den Werten der gleichnamigen Elemente aus dem Active Directory überschrieben.
Vorgehen, wenn Benutzer/Gruppe nicht mehr in Active Directory existiert:

Programmverhalten, wenn zu importierende Benutzer/Gruppen im octoplant nicht mehr vorhanden sind.

Optionen:

  • Schreibschutz aufheben und Benutzer sperren
    In octoplant vorhandene Benutzer/Gruppen bleiben bestehen, die Benutzer werden aber gesperrt.
  • Schreibschutz aufheben
    In octoplant vorhandene Benutzer/Gruppen bleiben ohne Einschränkungen bestehen.
  • Gruppe/Benutzer löschen
    In octoplant vorhandene Benutzer/Gruppen werden gelöscht.
Täglicher automatischer Import um: Uhrzeit für den Start des täglichen automatischen Imports (auswählbar sind volle Stunden).

Beispielkonfiguration:

Abbildung: Dialog Active Directory Anbindung

Über die Schaltfläche Zurücksetzen werden alle Eingaben rückgängig gemacht und der Ausgangszustand des Konfigurationsdialogs wieder hergestellt.

Zusatzinformationen:

Viele der benötigten Informationen für die Active Directory Anbindung lassen sich schnell und einfach mit einem Werkzeug zum Verwalten des Active Directory finden. Ein solches Werkzeug ist beispielsweise der Active Directory Explorer von Microsoft. Wird der Port explizit angegeben, kann auch die SSL-Verbindung geprüft werden.

Beispiel:

Abbildung: Dialog Active Directory anbinden

Der folgende Screenshot zeigt, welche Informationen für die Konfiguration der Active Directory Anbindung zum Import der Gruppe "Club27" aus dem Ordner "Users" über den Active Directory Explorer gefunden werden können. Zusammengehörende Informationen sind an der gleichen Nummer zu erkennen.

Abbildung: Active Directory Explorer

 

Die SSL-verschlüsselte Verbindung zum Active Directory Server schlägt mit der folgenden Fehlermeldung fehl. Wie kann ich das Problem beheben?

 

Abbildung: Dialog Active Directory Anbindung

Prüfen Sie, ob der Name im Zertifikat zum Namen in der Anfrage passt.

Im oben genannten Beispiel wurde bei der Konfiguration die IP-Adresse an Stelle des Rechnernamens "FS-2019" verwendet. Da im Zertifikat nur der Name "FS-2019" hinterlegt ist, kommt es zu dem angezeigten Fehler.

Um den Fehler zu beheben, geben Sie im Feld Adresse den Rechnernamen "FS-2019" an.

Kontorichtlinien konfigurieren

Wie kann ich ein Zertifikat auf dem octoplant Server importieren bzw. dessen Verfügbarkeit prüfen?

 

Ein Stammzertifikat identifiziert eine Zertifizierungsstelle (CA). Mit diesem Stammzertifikat signiert eine CA ein oder mehrere untergeordnete Zertifikate, welche die SSL-Zertifikate der Endbenutzer signieren.

Das Stammzertifikat muss auf den octoplant Server importiert werden. Klicken Sie dafür doppelt auf das exportierte Zertifikat und legen Sie dieses unter Vertrauenswürdige Stammzertifizierungsstellen ab.

Abbildung: Vertrauenswürdige Stammzertifizierungsstellen

Um das Zertifikat anzuzeigen, drücken Sie Win + R und geben Sie im Dialog Ausführencertmgr.msc (oder certlm.msc) ein.

Abbildung: Dialog Ausführen, certmgr.msc

 

Kontorichtlinien konfigurieren