Hybride Nutzerverwaltung
Es können optional gleichzeitig sowohl die interne Nutzerdatenbank sowie zusätzlich ein LDAP eingebunden werden, so dass sich Nutzer aus beiden Nutzerdatenquellen anmelden und geschützte Dienste nutzen können.
Die beiden Quellen werden dazu jeweils einer Domäne zugeordnet, die vom Nutzer bei der Anmeldung als Teil des Nutzernamen (user@ldap.myorg
) mit angegeben werden muss.
Installation und Konfiguration
Für die Aktivierung des hybriden Modus der Nutzerverwaltung und die Konfiguration der Domänen müssen nach der Installation in der Datei [DATA_FOLDER]/application.properties
die entsprechenden ggf. mit anderen Werten vorbelegten Parameter folgendermaßen angepasst oder hinzugefügt werden.
- usermgr.type=hybrid
-
Aktiviert den hybriden Modus.
- usermgr.domains.ldap.name=ldap.conterra.de
-
Name der Domäne, zu der alle LDAP-Benutzer gehören. Dieser oder einer der Alias-Namen (s.u.) muss vom Nutzer getrennt mit einem @ an den Nutzernamen angehängt werden, z.B.
user@ldap.conterra.de
. - usermgr.domains.ldap.aliases=ldap-alias.conterra.de
-
Kommaseparierte Liste von Alternativnamen der LDAP-Domäne, die alternativ zum LDAP-Domänennamen verwendet werden können. Lassen Sie diese Liste leer, um keine Alternativnamen zu unterstützen.
- usermgr.domains.db.name=db.conterra.de
-
Name der Domäne, zu der alle Benutzer der Datenbank gehören. Dieser Name oder einer der Alias-Namen (s.u.) muss mit einem vorangestellten @ an den Nutzernamen angehängt werden, z.B.
user@db.conterra.de
. - usermgr.domains.db.aliases=db-alias.conterra.de
-
Kommaseparierte Liste von Bezeichnungen der Datenbank-Domäne, die alternativ zum Datenbank-Domänennamen verwendet werden können. Lassen Sie diese Liste leer, um keine Alternativnamen zu unterstützen.
- usermgr.domains.default=db
-
Definiert die Anmelde-Domäne. Mögliche Werte sind
db
undldap
. Wenn ein Anmeldename nicht mit einer Domäne qualifiziert ist, so wird die hier definierte Domäne angenommen. - configtab.enabled=true
-
Schaltet den Reiter Einstellungen im Administrator ein, über den die LDAP-Konfiguration vorgenommen werden kann.
- security.remoteuser.postfix=ldap.conterra.de
-
Fügt
@ldap.conterra.de
zum Nutzernamen hinzu, wenn eine container-basierte Authentifizierung verwendet wird. Dies ist möglicherweise notwendig, wenn z.B. Integrated Windows Authentication im hybriden Modus verwendet wird. Die Property ist standardmäßig leer.
Anmeldung mit domänen-basierten Nutzernamen
Bei Verwendung der domänen-basierten, hybriden Nutzerverwaltung erscheint im Anmeldedialog neben dem Feld für Nutzernamen und Passwort ein Feld zur Domänen-Auswahl.
Bei der Anmeldung kann der Nutzer eine Domäne angeben und den Nutzernamen entsprechend um das Postfix @[DOMÄNE]
erweitern.
Beim Absenden des Anmeldeformulars wird geprüft ob bereits ein gültiges Domänen-Postfix an den Nutzernamen angehängt wurde.
Ist dies nicht der Fall, wird die im Auswahlfeld selektierte Domäne verwendet.
Bei Anmeldedialogen, die keine Domänenauswahl anbieten, muss immer der domänen-qualifizierte Nutzername angegeben werden, ansonsten versucht das System die Nutzer an der Datenbank-Domäne anzumelden. Dies ist zum Beispiel bei der Anmeldung am Gateway oder bei HTTP-BASIC-Authentifizierung zu beachten.
Domänen-basierte Nutzerverwaltung
Bei der hybriden Nutzerverwaltung erfolgen schreibende Zugriffe immer gegen die Datenbankdomäne. Verfügbare Rollen und Gruppen werden immer nur aus der Datenbankdomäne ermittelt. Nutzerinformationen werden aus allen Domänen zusammengeführt und gemeinsam dargestellt.
Neue Nutzer werden immer in der Datenbankdomäne angelegt, daher muss im Eingabefeld für den Nutzernamen auf eine Angabe der Domäne verzichtet werden.
Bei der Ermittlung der Nutzer, die bestimmten Rollen oder Gruppen angehören, werden immer alle Domänen durchsucht.
Änderungen bei der LDAP Konfiguration
Um eine einfache und fehlerfreie Zuordnung von LDAP-Nutzern zu Rollen oder Gruppen innerhalb der Datenbankdomäne zu ermöglichen, unterscheiden sich die Dialoge für die Rollen bzw. Gruppenzuordnung bei der hybriden Nutzerverwaltung leicht von den Dialogen bei der nicht-hybriden Nutzerverwaltung. Im Fall der hybriden Nutzerverwaltung wird bei der Auswahl des Rollen oder Gruppennamens die Liste der verfügbaren Entitäten aus der Datenbank angeboten, so dass eine fehlerhafte Schreibweise vermieden wird. Semantisch ändert sich am Vorgehen bei der LDAP Konfiguration nichts.