Active Directory Integration

Owned by JEAF Development Team
Last updated: Jan 21, 2019
3 min read

Active Directory Integration

Der im Windows Server integrierte Active Directory Dienst verhält sich in Abhängigkeit vom angegebenen Port unterschiedlich (vgl. Microsoft Technet Artikel).

Für den Einsatz in WEEASY wird daher die Verwendung im GC (Global Catalog) Modus empfohlen der folgenden Ports empfohlen

ProtokollActive Directory Default-PortActive Directory GC Port
(empfohlen)		Beispiel-URL
LDAP3893268
ldap://ad.company.com:3268
LDAPS6363269
ldaps://ad.company.com:3269

 

Einsatzszenarien

  • Es besteht die Möglichkeit pro Team einen Directory Service (z.B. Active Directory) und einen Login-Provider (z.B. 2-Factor-Authentication Dienst) festzulegen. Damit kann für jedes Team separat entschieden werden, wie der Login erfolgt und wo die Benutzer gespeichert werden. Auf Grund des einfachen Managements über die Team Manager App wird dieses Setup für alle Anwendungsfälle empfohlen
     
  • Des weiteren besteht die Möglichkeit ein Active Directory auch als Default-Benutzerverwaltung zu verwenden.

 

Active Directory Integration als Default-Benutzerverwaltung verwenden

WEEASY kann anstelle seiner eigenen internen Benutzerverwaltung auch ein Microsoft Active Directory verwenden. In diesem Fall werden die Passwörter nicht in der WEEASY Benutzerdatenbank abgespeichert. Stattdessen wird beim Login an WEEASY das Passwort gegenüber dem Active Directory verifiziert. Unabhängig davon, ob die Authentisierung gegen das Actice Directory oder WEEASY geht, ist es notwendig, dass ein Benutzer registriert wurde. Daher bleiben die Prozesse zum Erstellen von Benutzern z.B. über die Team-Manager App grundsätzlich gleich unabhängig vom verwendeten Identity Provider. 

 

Das Anlegen einer Active Directory Verbindung führt zu folgendem Verhalten von WEEASY:

  • Neue Benutzer werden nur noch über das verbundene Active Directory authentisiert. Dies bedeutet, dass diese zwingend im Active Directory vorhanden sein müssen. Der Abgleich erfolgt anhand des Loginnames. Dies gilt sowohl für die Registrierung über den Login-Screen als auch die Team Manager App.
  • Beim Anlegen eines Benutzers werden dessen E-Mail etc. automatisch aus dem Active Directory übernommen.
  • In der aktuellen Version von WEEASY ist für Active Directory Accounts, das Ändern des Passworts über WEEASY nicht möglich. Hierzu müssen stattdessen die Windows Mechanismen genutzt werden.
  • Bestehende Benutzeraccounts bleiben unverändert.

Active Directory Verbindung erstellen

Standardmäßig verwendet WEEASY stets seine interne Benutzerverwaltung als Identity Provider. Mit Hilfe der nachfolgende Schritte kann jedoch auch ein bestehendes Active Directory als Standard Identity Provider verwendet werden. Auf bereits bestehende User Accounts hat diese Umstellung keinen Einfluss.

AblaufScreenshot / Bemerkungen

Login an WEEASY mit dem User admin

Das Erstellen eines neuen Identity Providers ist nur mit dem User admin möglich

 

 

 

Aufrufen der Seite zum Erstellen einer Active Directory Verbindung

https://{SERVER_URL}/weeasy/1.3/management/createIdentityProvider.html 


 

Zum Anlegen einer Active Directiory Verbindung sind die folgenden Angaben erforderlich. Alle Felder sind zwingend. Mit dem Auswählen des Buttons Create new Active directory Connection wird die Verbindung zum Active Directory angelegt

EingabefeldBedeutung
Provider URL

URL des Active Directory Servers z.B. ldaps://ad.company.com

Das Feld muss neben dem Servername oder IP auch das Protokoll ( ldap/ ldaps ) enthalten


Der im Windows Server integrierte Active Directory Dienst verhält sich in Abhängigkeit vom angegebenen Port unterschiedlich (vgl. Microsoft Technet Artikel).

Für den Einsatz in WEEASY wird daher die Verwendung im GC (Global Catalog) Modus empfohlen der folgenden Ports empfohlen

ProtokollActive Directory Default-PortActive Directory GC Port
(empfohlen)		Beispiel-URL
LDAP3893268
ldap://ad.company.com:3268
LDAPS6363269
ldaps://ad.company.com:3269


Search BaseLDAP search base Pfad unter dem sich alle Benutzer befinden z.B. OU=WEEASY,DC=company,DC=local
Windows DomainName der Windows Domain z.B. company.local
Technical UserLogin Name des technischen Benutzers mit dem der Zugriff auf das Active Directory erfolgen soll. Der technische User benötigt nur Leseberechtigung für den relevanten Teilbereich des Active Directory (vgl. Searchbase). Der Benutzer benötigt auch keine Windows Login Berechtigung.
PasswordPasswort des technischen Benutzers für den Active Directory Zugriff. Das Passwort wird verschlüsselt gespeichert.
Accept all certificatesÜber die Checkbox kann gesteuert werden, ob WEEASY auch Zertifikate vom Active Directory Server akzeptieren soll, die sich nicht erfolgreich validieren lassen. Dies ist insbesondere auch Testumgebungen sinnvoll, wo ein Active Directory Server oftmals nur mit selbsterstellten SSL-Zertifikaten aufgesetzt sind.
Connect TimeoutÜber das Feld wird der Verbindungstimeout für Zugriff auf das Active Directory festgelegt. Die Angabe erfolgt in Millisekunden. Standardwert sind 5 Sekunden (5000 ms)
Read TimeoutÜber das Feld wird der Lesetimeout für Zugriff auf das Active Directory festgelegt. Die Angabe erfolgt in Millisekunden. Standardwert sind 5 Sekunden (5000 ms)


Von nun an werden alle neu angelegten Benutzer gegenüber dem angegebenen Active Directory authentisiert 

 

Active Directory Anbindung deaktivieren

In der aktuellen Version von WEEASY kann die Active Directory Integration auf Datenbankebene wieder deaktiviert werden. 

# An lokaler MySQL Datenbank als User 'root' anmelden
mysql -u root weeasy_db


# Auflisten des/der konfigurierten Identity Provider 
select * from jeaf_identity_provider;
 
# Deaktivierung des Default Identity Providers
update jeaf_identity_provider set DEFAULTPROVIDER=0 where DEFAULTPROVIDER=1;

Ist kein expliziter Default Provider mehr definiert, wird die WEEASY interne Benutzerverwaltung verwendet und es ist wieder möglich neue WEEASY User unabhängig vom zuvor konfigurierten Active Directory zu registrieren.