Nutzerimport via Active Directory Sync
In XELOS können Nutzer via Active Directory Sync (AD Sync) importiert werden.
Active Directory Authentication
Aktivierung erfolgt unter der erweiterten System Konfiguration > Authentifizierungs-Methoden.
Die Verbindung erfolgt über LDAP, es wird das Paket "php-ldap" auf dem Server benötigt.
Infos/Attribute zu „AD Var Mapping“
https://docs.secureauth.com/0903/en/active-directory-attributes-list.html
Relevant ist dort der „Attr LDAP Name“ – steht in der ersten Spalte.
Erweiterung: Bibliothek Active Directory Sync
Das AD Sync Modul gewährleistet die automatische Synchronisierung der Daten zwischen Active Directory und XELOS. Das Var Mapping wird in der Kofiguration der Active Directory Sync-Bibliothek eingetragen.
Die Gruppen können wie folgt an gelegt werden:
In einem Eintrag darf 1 AD Gruppe auf mehrere XELOS Gruppen mappen, aber nicht andersrum.
AD1=XELOS1
AD2=XELOS2
oder AD1=XELOS1;XELOS2
NICHT möglich ist AD1;AD2=XELOS1
Tutorial: Daten aus dem AD im Lookbook anzeigen
Wurden alle zu übermittelnden Variablen deklariert, müssen wenn nötig die jeweiligen Variablen im Mitarbeiterverzeichnis (Lookbook) ebenfalls angepasst werden.
- Var Mapping AD führt zur Synchronisierung in User META Felder, z.B.
meta_ad_phone=telephonenumber - Lookbook Designer öffnen und Feld vom Typ "System User META" erstellen.
- In der Konfiguration wird auf das jeweilige Meta-Feld referenziert, z.B.:
field=meta_ad_phone, readonly=1
Troubleshooting
FATAL: AD bind failed. Either the LDAPS connection failed or the login credentials are incorrect.
Die Verbindung zum Active Directory konnte nicht hergestellt werden. Bitte gehen Sie durch die folg. Checkliste:
- Ist der Server via PING vom XELOS Server aus erreichbar?
- Ist der Port (Standard: 389) freigeschaltet und nicht durch Firewalls blockiert?
- Sind die Zugangsdaten korrekt? Bitte versuchen Sie auch unterschiedliche Schreibweisen (DOMAIN\login, login@DOMAIN, login)
- Wird auf dem AD ein gültiges Zertifikat verwendet? Ist das Zertifikat selbstgeneriert oder nicht trusted?
Konfigurieren Sie openldap auf dem Server so, dass es Zertifikate ignoriert - /etc/openldap/ldap.conf :TLS_REQCERT never
Deaktivierte Nutzer
Bei den Optionen Bei Advanced Synchronization Delete action kann eine Aktion gewählt werden, die für deaktivierte Nutzer angewendet werden soll.
Der Wert anonymize bietet ab XELOS 9 die Möglichkeit persönliche Nutzerdaten zu entfernen.