Schnittstelle zu LDAP-Benutzerverwaltung
Die Schnittstelle zu LDAP-Benutzerverwaltung dient grundsätzlich der Anbindung von regisafe an einen LDAP-konformen Verzeichnisdienst zum Zweck der Datenabfrage und -synchronisation. Diese Schnittstelle ist eine kostenpflichtige Erweiterung der regisafe-Benutzerverwaltung.
regisafe nutzt die LDAP-Schnittstelle für die Benutzerverwaltung, um auf Verzeichnisdienste wie z.B. Windows Active Directory und NetIQ eDirectory lesend zuzugreifen.
Wird die Schnittstelle im Rahmen der Benutzerverwaltung eingesetzt, kann regisafe die Attribute für Benutzerdaten aus dem Verzeichnisdienst übernehmen, eine redundante Pflege von Benutzerdaten entfällt somit.
Hintergrund-Informationen zu LDAP (nach Wikipedia):
Das Lightweight Directory Access Protocol (LDAP) ist ein Anwendungsprotokoll aus der Netzwerktechnik. Es erlaubt die Abfrage und die Modifikation von Informationen eines Verzeichnisdienstes (eine im Netzwerk verteilte hierarchische Datenbank) über ein IP-Netzwerk.
LDAP basiert auf dem Client-Server-Modell und kommt bei sogenannten Verzeichnisdiensten (englisch: directories oder directory services) zum Einsatz. Es beschreibt die Kommunikation zwischen dem sogenannten LDAP-Client und dem Verzeichnis-Server. Aus einem solchen Verzeichnis können objektbezogene Daten, wie zum Beispiel Personendaten oder Rechnerkonfigurationen, ausgelesen werden. Die Kommunikation erfolgt auf Basis von Abfragen.
Mittlerweile hat sich im administrativen Sprachgebrauch eingebürgert, dass man von einem LDAP-Server spricht. Damit meint man einen Verzeichnis-Server, dessen Datenstruktur der LDAP-Spezifikation entspricht und der über das LDAPv3-Protokoll Daten austauschen kann.
Das Protokoll bietet alle Funktionen, die für eine solche Kommunikation notwendig sind:
n Anmeldung am Server (bind)
n Suchabfrage (Suche z.B. alle Informationen zum Benutzer "Willi Wichtig")
n Modifikation der Daten (Ändere z.B. das Passwort des Benutzers "Willi Wichtig")
- Die System-Einstellungen in der Einstellungs-Gruppe Benutzerverwaltung | LDAP-Schnittstelle erlauben die Konfiguration der LDAP-Schnittstelle.
Datenimport
Benutzerdaten können wie folgt in regisafe importiert werden:
- Manuell in der Benutzerdefinition mit den Befehlen ...
Markierten Benutzer aus <Verzeichnisdienst> importieren/synchronisieren und 
Alle Benutzer aus <Verzeichnisdienst> importieren/synchronisieren - Automatisch auf Basis von System-Einstellungen ...
n bei jeder Benutzer-Anmeldung (System-Einstellung Datenimport bei Benutzer-Anmeldung)
n zeitgesteuert für alle Benutzer (System-Einstellung Datenimport per Zeitsteuerung)
- Die LDAP-Schnittstelle importiert für Benutzer automatisch den Namen, die Anmeldekennung, die DN (distinguished name) und die eindeutige GUID aus dem Verzeichnisdienst und füllt die entsprechenden Datenfelder der einzelnen Benutzer.
Darüber hinaus kann die Benutzerdefinition so konfiguriert werden, dass weitere Daten aus dem Verzeichnisdienst als Benutzer-Zusatzdaten in regisafe importiert werden.
Damit die für Benutzer-Zusatzdaten benötigten LDAP-Datenfelder auch an regisafe übergeben werden, müssen diese in der System-Einstellung LDAP-Datenfelder eingetragen werden. Zur Identifikation der korrekten Feldnamen empfiehlt sich dabei die Verwendung eines LDAP-Browsers.
Authentifizierung
Über die System-Einstellung LDAP-Schnittstelle | Authentifizierung bei der Anmeldung kann festgelegt werden, ob die Anmeldung eines Benutzers in regisafe grundsätzlich eine Authentifizierung am LDAP-Server erfordert, oder ob die Anmeldung weiterhin - wie sonst üblich - nur lokal in regisafe erfolgen soll.
Die Authentifizierung der Benutzer via LDAP-Schnittstelle erfordert eine verschlüsselte Kommunikation zwischen regisafe-Client und IQ-Server. In den Konfigurationsdateien IQServer.ini und REGISAFE.INI muss daher im Abschnitt [Kommunikation] der Eintrag Verschlüsselung = 3 gesetzt sein. Zudem muss der festgelegte Schlüssel = ... eine Mindestlänge von 16 Zeichen haben.
Erfordert auch die Verbindung zum Verzeichnisdienst via LDAP eine Verschlüsselung, so kann dies in der System-Einstellung TSL(SSL)-Verschlüsselung festgelegt werden.
Ist die LDAP-Authentifizierung aktiviert, entfällt der normalerweise im regisafe-Start-Menü vorhandene Befehl 
Programm | 
Passwort für Anmeldung.
Gleiches gilt in der Benutzerdefinition für den Befehl 
Passwort für Anmeldung löschen.
- Sollte die Verwendung der LDAP-Schnittstelle vom Administrator (vorübergehend) ausgeschaltet werden, so arbeitet regisafe mit den vorhandenen Benutzerdaten weiter.
Ähnliches gilt bei einem "Ausfall" der Verbindung zum LDAP-Server, allerdings würde hier die aktivierte System-Einstellung Authentifizierung bei Anmeldung dazu führen, dass keine Anmeldung an regisafe mehr möglich ist.
Besonderheiten
Erster Datenimport
Nach Aktivierung und Konfiguration der LDAP-Schnittstelle wird i.d.R. manuell per Befehl Alle Benutzer ... importieren in der Benutzerdefinition der erste Import von Benutzerdaten durchgeführt. Dabei versucht die LDAP-Schnittstelle anhand der System-Einstellung Bilden der Benutzernamen die Benutzer des Verzeichnisdienstes den Benutzern aus regisafe zuzuordnen. Gelingt dies, wird die GUID des Benutzers aus dem Verzeichnisdienst als LDAP-ID in die regisafe-Benutzerdaten eingetragen, je nach Konfiguration ergänzt um individuelle Benutzer-Zusatzdaten aus dem Verzeichnisdienst.
Nach dem ersten Import eines Benutzers wird nur noch die LDAP-ID zur Zuordnung verwendet. Der Benutzername wird dann nach den Angaben im Verzeichnisdienst aktualisiert.
Es werden nur solche Benutzer aus dem Verzeichnisdienst nach regisafe übernommen, die einer bestimmten Benutzergruppe im Verzeichnisdienst zugeordnet sind. Die betreffende Benutzergruppe wird in der System-Einstellung Gruppenname festgelegt. Wenn z.B. alle regisafe-Benutzer im Verzeichnisdienst einer Gruppe REGISAFE zugeordnet sind, so wird dieser Gruppenname in die System-Einstellung eingetragen.
An regisafe übergebene Benutzer, denen kein bestehender regisafe-Benutzer zugeordnet werden konnte, werden automatisch als neue regisafe-Benutzer angelegt.
Optional kann festgelegt werden, dass für importierte Benutzer in regisafe auch Gruppenzuordnungen aus dem LDAP-Verzeichnisdienst übernommen werden. Voraussetzung dafür ist, dass es gleichnamige Gruppen im LDAP-Verzeichnisdienst und in regisafe gibt. Nur für solche Gruppen wird eine Zuordnung übernommen!
- Grundsätzlich sollte der erste Datenimport manuell per Befehl Alle Benutzer ... importieren durchgeführt werden. Nachdem alle Benutzerdaten wie gewünscht übernommen worden sind, sollte dann in den System-Einstellungen ein automatischer Datenimport (nach Bedarf zeitgesteuert und/oder bei Benutzer-Anmeldung) festgelegt werden.
Erweiterung der Benutzerdefinition
Benutzer in regisafe erhalten durch die LDAP-Schnittstelle ein neues Feld LDAP-ID (<Verzeichnisdienst>), in dem die eindeutige GUID des Benutzers aus dem Verzeichnisdienst eingetragen wird.
Das Eintragen der LDAP-ID erfolgt für Benutzer automatisch, sobald diese aus LDAP übernommen werden - das Feld ist daher ein nur Lesefeld - es kann nicht editiert werden.
Ändern und Löschen von Benutzerdaten im Verzeichnisdienst
Änderungen von Benutzerdaten im Verzeichnisdienst werden beim nächsten Datenimport in regisafe übernommen.
- Benutzer können auch bei Verwendung der LDAP-Schnittstelle direkt in regisafe geändert werden. Änderungen importierter Felder werden allerdings beim nächsten Datenimport wieder überschrieben!
Protokollierung
Sämtliche Aktionen der LDAP-Schnittstelle werden am IQ-Server protokolliert.
Im Einzelnen betrifft dies die folgenden Aktionen:
- Start des Datenimports
- Ende der Datenübernahme
- Änderungen bestehender regisafe-Benutzer
- Neuanlegen von regisafe-Benutzern