Einstellungen konfigurieren¶
Bevor die Active Directory Anbindung aktiviert werden kann, müssen bestimmte Einstellungen konfiguriert werden. Es ist möglich, mehrere Active Directories zu verbinden und deren Einträge in octoplant zu importieren.
Als Voraussetzung muss die Autorisierung über das Betriebssystem erfolgen.
- Öffnen Sie das Modul Benutzermanagement.
- Öffnen Sie die Registerkarte Synchronisation und klicken Sie auf die Schaltfläche Kontorichtlinien.
- Wählen Sie in der Registerkarte Autorisierung entweder Autorisierung über Betriebssystem oder Autorisierung über Betriebssystem und Zugriffsverwaltung aus und bestätigen Sie mit OK.
Um die Einstellungen für die Active Directory Anbindung zu konfigurieren, gehen Sie folgendermaßen vor:
- Öffnen Sie das Modul Benutzermanagement.
-
Klicken Sie auf die Schaltfläche Konfigurieren in der Menüleiste. Der Dialog Active Directory Anbindung wird angezeigt. Wenn der Dialog initial geöffnet wird, wird direkt eine neue Konfiguration erstellt. Wenn Sie eine weitere Konfiguration erstellen möchten, während der Dialog geöffnet ist, klicken Sie auf die Schaltfläche Neu in der Navigationsleiste auf der linken Seite.
-
Nehmen Sie die erforderlichen Einstellungen vor. Eine Beispielkonfiguration wird Ihnen im oberen Screenshot angezeigt. Die Einträge sind in den folgenden Tabellen detailliert beschrieben.
-
Wählen Sie Zyklische Synchronisation aktivieren, um die Synchronisation mit dem Active Directory für diese Konfiguration zu aktivieren.
Info
Der automatische und manuelle Import aus dem Active Directory ist final jedoch erst aktiv, wenn die Schaltfläche Aktivieren in der Menüleiste ausgewählt wird. Das Kontrollkästchen Zyklische Synchronisation aktivieren schaltet die Konfiguration nur für die nachträgliche Aktivierung frei.
-
Bestätigen Sie mit Speichern.
- Die Einstellungen dieser Konfiguration werden gespeichert. Um eine neue Konfiguration hinzuzufügen, wählen Sie die Schaltfläche Neu in der Navigationsleiste, zum Schließen des Dialogs wählen Sie OK.
Info
Bei der Konfiguration der Active Directory Anbindung werden häufig beispielsweise von der IT-Abteilung gelieferte Daten aus einer E-Mail oder einem Word-Dokument kopiert. Dabei kann es vorkommen, dass durch das entsprechende Textverarbeitungsprogramm Zeichen verändert oder hinzugefügt werden. Dies wird durch eine Fehlermeldung angezeigt. Um dies zu verhindern, wird empfohlen, die Daten manuell einzugeben.
Server¶
| Element | Beschreibung | Wert | Beispiel |
|---|---|---|---|
| Adresse | Name, IP-Adresse oder Domäne des Active Directory Servers. Ist der Rechner, von dem aus Sie sich verbinden wollen, nicht in der Domäne des Active Directory Servers, ist eine Verbindung nur über den Namen oder die IP-Adresse des Active Directory Servers möglich. | Name, IP-Adresse oder Domäne. | 10.0.201.1 |
| Port | Port des Active Directory Servers. | Ganzzahlige Werte im Bereich von 0 bis 65535. Der Standard-Port ist 636 für verschlüsselte Verbindungen. Der Standard-Port für unverschlüsselte Verbindungen ist 389. Wenn der Standard-Port bereits anderweitig verwendet wird, wählen Sie einen anderen. | 636 |
| SSL-verschlüsselt | Verschlüsselte oder unverschlüsselte Verbindung zum Active Directory Server. Standardmäßig wird die Verbindung zu Active Directory über das LDAP-Protokoll hergestellt. | Wenn das Kontrollkästchen SSL-verschlüsselt aktiviert ist, wird das LDAPS-Protokoll verwendet. | 🗹 SSL-Verschlüsselt |
| Benutzername | Benutzername für den Zugriff auf den Active Directory Server. Hinweis: Wir haben eine automatische Authentifizierung für Active Directory implementiert. Das bedeutet, dass bereits authentifizierte Zugangsdaten verwendet werden, wenn die angegebenen Zugangsdaten, Benutzername und Kennwort, im Dialog Active Directory Anbindung leer gelassen werden. Um Benutzer aus dem Active Directory auslesen zu können, muss der hier konfigurierte Benutzer über die entsprechenden Zugriffsrechte im Active Directory verfügen. | Format: {Benutzername} oder {Domain{Benutzername} oder {Benutzername}@{Domain}. | Administrator |
| Passwort | Benutzerpasswort für den Zugriff auf den Active Directory Server Maskierte Anzeige. Hinweis: Wir haben eine automatische Authentifizierung für Active Directory implementiert. Das bedeutet, dass bereits authentifizierte Anmeldeinformationen verwendet werden, wenn die angegebenen Anmeldeinformationen, Benutzername und Kennwort, im Dialog Active Directory Anbindung leer gelassen werden. | {Passwort} | ••••••••• |
| DC: | DNS-Name der Domäne. Daten gemäß dem Active Directory Format. | Die durch Punkte getrennten Teile eines Domänennamens werden im Active Directory in einzelne Abschnitte unterteilt. Jeder Abschnitt wird durch das Präfix DC (= Domain Komponente) eingeleitet. Die einzelnen Abschnitte werden durch Kommata voneinander getrennt. | Die Domäne vdns.tst.dom wird wie folgt abgebildet: DC=vdns,DC=tst,DC=dom |
| DN "Alle Benutzer": | Distinguished Name (= DN) der Active Directory Gruppe, in der nach zu importierenden Benutzern (und anderen Gruppen) gesucht werden soll. Angaben nach dem Active Directory Format. Ein Distinguished Name repräsentiert ein Objekt in einem hierarchischen Verzeichnis. | Der Distinguished Name wird von der untersten zur obersten Hierarchiestufe geschrieben. Das Objekt selbst wird durch das Präfix CN (= Common Name) eingeleitet. Die einzelnen Teile werden durch Kommata voneinander getrennt. | Für die Gruppe "Club27" im Ordner "Benutzer" sieht der Distinguished Name wie folgt aus: CN=Club27,CN=Benutzer |
| DN "Administratoren": | Distinguished Name (= DN) der Active Directory Gruppe, deren Benutzer in die octoplant Administratorengruppe importiert werden sollen. Angaben nach dem Active Directory Format. Ein Distinguished Name repräsentiert ein Objekt in einem hierarchischen Verzeichnis. | Der Distinguished Name wird von der untersten zur obersten Hierarchiestufe geschrieben. Das Objekt selbst wird durch das Präfix CN (= Common Name) eingeleitet. Die einzelnen Teile werden durch Kommata voneinander getrennt. Mehrere Gruppen werden durch Semikolon voneinander getrennt. | Für die Gruppe "Reservoir-Dogs" im Ordner "Benutzer" sieht der Distinguished Name wie folgt aus: CN=Reservoir-Dogs,CN=Users,OU=SecurityGroup Dieser Wert importiert die Gruppen SECS-Octoplant-Engineering-1 und SECS-Octoplant-Engineering-2 und alle Benutzer innerhalb dieser Gruppen: CN=SECS-Engineering-1,OU=test,OU=2008 R2 AD; CN=SECS-Engineering-2,OU=test 2,OU=2008 R2 AD; ... |
Angabe von Pfaden¶
Pfade müssen im Dialog Active Directory Anbindung komplett angegeben werden. Enthält der Pfad Sonderzeichen, wie "+" (z.B. OU=W+D), ist dieses Sonderzeichen mit einer Escape-Sequenz "\" zu versehen (z.B. CN=Reservoir-Dogs, OU=W+D).
Über die Schaltfläche Prüfen können Sie testen, ob die Serverangaben korrekt sind.
Distinguished Name der Active Directory Gruppe ausgeben¶
In den Feldern DN "Alle Benutzer": und DN "Administratoren": wird der Distinguished Name einer Active Directory Gruppe angegeben. Der Distinguished Name kann über den PowerShell Befehl Get-ADGroup {Gruppenname}, der auf dem Active Directory Controller ausgeführt wird, ausgegeben werden.
Beispiel:
Importierte Benutzerattribute¶
| octoplant Element | Beschreibung | Beispiel |
|---|---|---|
| Name | Attribut aus dem Active Directory, das als Benutzername in octoplant verwendet wird. Beim Import wird der Name eines Benutzers entsprechend dem Wert des Attributs aus dem Active Directory gesetzt. | sAMAccountName |
| Vollständiger Name | Attribut aus dem Active Directory, das als vollständiger Name in octoplant verwendet wird. Beim Import wird der vollständige Name eines Benutzers entsprechend dem Wert des Attributs aus dem Active Directory gesetzt. | displayName |
| Attribut aus dem Active Directory, das als E-Mail-Adresse in octoplant verwendet wird. Beim Import wird die E-Mail-Adresse eines Benutzers entsprechend dem Wert des Attributs aus dem Active Directory gesetzt. | ||
| Telefon | Attribut aus dem Active Directory, das als Telefonnummer in octoplant verwendet wird. Beim Import wird die Telefonnummer eines Benutzers entsprechend dem Wert des Attributs aus dem Active Directory gesetzt. | telephoneNumber |
| Kommentar | Attribut aus dem Active Directory, das als Kommentar in octoplant verwendet wird. Beim Import wird der Kommentar eines Benutzers entsprechend dem Wert des Attributs aus dem Active Directory gesetzt. | description |
| Domäne | Domänenname oder Benutzerattribut aus dem Active Directory. Ist die Checkbox Verwende den Wert von "Domäne" als Benutzerattribut ** aktiviert, kann ein beliebiges Benutzerattribut angegeben werden, aus dem der Domänenname ausgelesen oder verwendet werden kann. Ist das Kontrollkästchen Verwende den Wert von "Domäne" als Benutzerattribut** deaktiviert (Standardeinstellung), wird der NetBIOS-Name der Domäne eingetragen. Besondere Merkmale: Bei den Attributen userPrincipalName und distinguishedName wird die erste gefundene Sub-Domain oder Domain als Domainname verwendet. | distinguishedName: CN=UserName,OU=Development,OU=UserAccounts,OU=Organization,OU=Company,DC=subDomain,DC=Domain,DC=localuserPrincipalName: user@subdomain.domain.local |
Importierte Gruppenattribute¶
| Element | Beschreibung | Beispiel |
|---|---|---|
| Name: | Attribut aus dem Active Directory, das als Gruppenname in octoplant verwendet wird. Beim Import wird der Name einer Gruppe entsprechend dem Wert des Attributs aus dem Active Directory gesetzt. | cn |
| Kommentar: | Attribut aus dem Active Directory, das als Gruppenkommentar in octoplant verwendet wird. Beim Import wird der Kommentar einer Gruppe entsprechend dem Wert des Attributs aus dem Active Directory gesetzt. | description |
Importoptionen¶
| Element | Beschreibung |
|---|---|
| Vorgehen für die im Feld DN "Alle Users" eingetragenen Gruppen: | Benutzer importieren (Gruppen oder Zugehörigkeiten nicht importieren): Es werden nur Benutzer aus dem AD importiert. Gruppen und Zugehörigkeiten werden nicht importiert. Benutzer und Gruppen und Zugehörigkeiten importieren: Von Benutzern angegebene Gruppen (es muss sich um Gruppen und nicht um OUs handeln) werden in octoplant importiert (Benutzer werden ihren jeweiligen Gruppen zugeordnet). Benutzer und direkte Untergruppen und Zugehörigkeiten importieren: Ermöglicht das Hinzufügen/Entfernen von Gruppen im AD ohne Anpassung der Konfiguration in octoplant (Standard). |
| Vorgehen, wenn Benutzer/Gruppe bereits in octoplant existiert** | Programmverhalten, wenn Benutzer/Gruppen, die importiert werden sollen, bereits in octoplant vorhanden sind. Optionen: Benutzer/Gruppe in octoplant überschreiben (Rechte beibehalten): Bereits in octoplant vorhandene Benutzer/Gruppen werden beim Import mit den Werten der gleichnamigen Elemente aus dem Active Directory überschrieben. Benutzer/Gruppe aus Active Directory überspringen: Bereits in octoplant vorhandene Benutzer/Gruppen werden nicht beim Import mit den Werten der gleichnamigen Elemente aus dem Active Directory überschrieben. |
| Vorgehen, wenn Benutzer/Gruppe nicht mehr in Active Directory existiert: | Programmverhalten, wenn zu importierende Benutzer/Gruppen im Active Directory nicht mehr vorhanden sind. Optionen: Schreibschutz aufheben und Benutzer sperren: In octoplant vorhandene Benutzer/Gruppen bleiben bestehen, die Benutzer werden aber gesperrt. Schreibschutz aufheben: In octoplant vorhandene Benutzer/Gruppen bleiben ohne Einschränkungen bestehen. Gruppe/Benutzer löschen: In octoplant vorhandene Benutzer/Gruppen werden gelöscht. |
| Täglicher automatischer Import um: | Uhrzeit für den Start des täglichen automatischen Imports (auswählbar sind volle Stunden) |
Zusatzinformationen¶
Viele der benötigten Informationen für die Active Directory Anbindung lassen sich schnell und einfach mit einem Werkzeug zum Verwalten des Active Directory finden. Ein solches Werkzeug ist beispielsweise der Active Directory Explorer von Microsoft. Wird der Port explizit angegeben, kann auch die SSL-Verbindung geprüft werden.
Beispiel:
Der folgende Screenshot zeigt, welche Informationen für die Konfiguration der Active Directory Anbindung zum Import der Gruppe "Club27" aus dem Ordner Users über den Active Directory Explorer gefunden werden können. Zusammengehörende Informationen sind an der gleichen Nummer zu erkennen.
FAQ¶
Die SSL-verschlüsselte Verbindung zum Active Directory Server schlägt mit einer Fehlermeldung fehl.
Prüfen Sie, ob der Name im Zertifikat mit dem Namen in der Anfrage übereinstimmt.
Im obigen Beispiel wurde bei der Konfiguration statt des Computernamens FS-2019 die IP-Adresse verwendet. Da im Zertifikat nur der Name FS-2019 gespeichert ist, tritt der angezeigte Fehler auf.
Um den Fehler zu beheben, geben Sie den Rechnernamen FS-2019 in das Feld Adresse ein.
Wie kann ich ein Zertifikat auf dem octoplant Server importieren bzw. dessen Verfügbarkeit prüfen?
Ein Stammzertifikat identifiziert eine Zertifizierungsstelle (CA). Mit diesem Stammzertifikat signiert eine CA ein oder mehrere untergeordnete Zertifikate, die die SSL-Zertifikate der Endbenutzer signieren.
Das Stammzertifikat muss auf den octoplant Server importiert werden. Doppelklicken Sie dazu auf das exportierte Zertifikat und speichern Sie es unter Vertrauenswürdige Stammzertifizierungsstellen.
Um das Zertifikat anzuzeigen, drücken Sie Win + R und geben Sie certmgr.msc (oder certlm.msc) in den Dialog Ausführen ein.
