LDAP mit PLANTA secure
Allgemeines
Information
PLANTA project bietet bereits mittels der Komponente PLANTA secure einen erhöhten Sicherheitsstandard durch beispielsweise Zwei-Faktor-Authentifizierung (2FA). Diese Funktion wird durch die Authentifizierung mittels LDAP erweitert. Dieser Ansatz funktioniert, indem folgende Komponenten miteinander kommunizieren:PLANTA Client
- PLANTA Server
- PLANTA Client Adapter (CA) (ab C 39.5.31 integriert in PLANTA Client)
- PLANTA Server Adapter (SA) (integriert in PLANTA Server)
- Verzeichnis-(Directory-)Server
Funktionsweise
- Zur Authentifizierung werden vom ClientAdapter die Anmeldedaten abgefragt und zum ServerAdapter übertragen.
- Der ServerAdapter verbindet sich mittels LDAP mit dem Verzeichnisdienst und authentifiziert den Benutzer.
- Nun wird der Benutzer mit dem ausgewählten Attribut am Server angemeldet.
- Der Client bekommt die erfolgreiche Authentifizierung mit dem ausgewählten Attribut gemeldet.
PLANTA secure konfigurieren
Ab Release S 39.5.32
secure.conf
- Auf dem Server müssen folgende Parameter in der Datei secure.conf angepasst werden:
reverse_proxy.auth = true
reverse_proxy.user_header = x-authenticated-user
reverse_proxy.user_format = plain
servlet.connection = your_host:your_port
Interface und Port, auf das sich der Client-Adapter verbinden soll.
ldap_configuration = config/ldap.conf
Der Pfad der LDAP-Konfigurationsdatei.
ldap.conf
- Auf dem Server müssen folgende Parameter in der Datei ldap.conf angepasst werden:
bean:contextSource
url - ldaps://your.ldap.url:port
Die Url des Verzeichnisdienstes mit vorangestelltem Protokoll und dem Port
base - ou=user,DC=ldap,DC=url
Die Startebene für die Suche im Verzeichnisdienst
userDn - maxservice@yourldap.url
Ein Serviceuser, der Zugriff auf den Verzeichnisdienst hat
password - mysecretpassphrase
Das Passwort für den Serviceuser
baseEnvironmentProperties
Eine Aufzählung von Properties, die an LDAP weitergegeben werden.
Die aufgelisteten Attribute unter dem Schlüssel java.naming.ldap.attributes.binary
werden dann als binäre Werte ausgelesen.
Sollen mehrere Attribute aufgelistet werden, müssen diese durch Leerzeichen getrennt werden.
z.B.
<map>
<entry key="java.naming.ldap.attributes.binary" value="objectGUID"/>
</map>
bean:ldapConfig
ldapUserFilter
Ein Filter, mit dem die Suche eingeschränkt werden kann
ldapSearchScope = "SUBTREE"
Die Suchtiefe unterhalb der Startebene. Mögliche Werte sind: "SUBTREE","ONELEVEL_SCOPE" oder "OBJECT_SCOPE"
plantaUserData
Eine Aufzählung von Attributen, die aus LDAP ausgelesen und in die DB übertragen werden.
Die Attribute werden als Schlüsselwert übergeben.
Das Attribut, das mit login
im Wert gekennzeichnet ist, wird auf die Benutzerkennung geprüft.
Das Attribut, das mit uuid
im Wert gekennzeichnet ist, wird in einen UUID String konvertiert und als der Benutzer angemeldet.
z.B.
<map>
<entry key="userPrincipalName" value="login"/>
<entry key="mail" value=""/>
<entry key="sAMAccountName" value=""/>
<entry key="sn" value=""/>
<entry key="objectGUID" value="uuid"/>
</map>
Das Attribut userPrincipalName
wird für die Authentifizierung des Benutzers benutzt, der dann mit dem Attribut objectGUID
als Benutzer angemeldet wird.
Zudem werden alle angegebenen Attribute in die DB geschrieben. Wenn kein Attribut mit uuid gekennzeichnet wird, wird das Attribut mit login
zur Anmeldung benutzt
Ältere Releases
Weitere Einstellungen
Ab Release C 39.5.31
- Für den Client-Adapter muss das richtige Plugin LDAP in der planta.ini hinterlegt werden. Es gibt hier zudem weitere Einstellungsmöglichkeiten, die hier dokumentiert sind.
- Der PLANTA-Server muss für die proxy Authentifizierung konfiguriert werden.
- Weitere Informationen zu allgemeinen Einstellungen von PLANTA secure finden Sie hier.
- Die Benutzer müssen entsprechend mit der Benutzerkennung im PLANTA Server angelegt sein.
- Momentan wird das Auslesen binärer Attribute nicht unterstützt.