Verwenden von LDAP oder Active Directory zur Authentifizierung

Sie können Spectrum™ Technology Platform konfigurieren, einen LDAP- oder Active Directory-Server zur Authentifizierung zu verwenden. Wenn sich ein Benutzer bei Spectrum™ Technology Platform anmeldet, werden die Anmeldeinformationen des Benutzers unter Verwendung von LDAP oder AD verifiziert. Das System überprüft dann, ob ein Spectrum™ Technology Platform-Benutzer mit demselben Namen vorhanden ist. Wenn das der Fall ist, wird der Benutzer angemeldet. Andernfalls wird automatisch ein Spectrum™ Technology Platform-Benutzerkonto für den Benutzer erstellt.



Bevor Sie Spectrum™ Technology Platform konfigurieren, einen Verzeichnisdienst zur Authentifizierung zu verwenden, vergewissern Sie sich, dass Ihr Verzeichnisdienst die folgenden Voraussetzungen erfüllt:

  • Für LDAP muss der Verzeichnisserver mit LDAP Version 3 kompatibel sein.
  • Für Active Directory-Server gibt es keine speziellen Voraussetzungen.
Anmerkung: Wir empfehlen Ihnen, den technischen Support oder Professional Services von Pitney Bowes zu kontaktieren, um Sie durch diesen Prozess zu leiten.
  1. Wenn in der Management Console vorhandene Benutzer konfiguriert sind und Sie diese weiterverwenden möchten, nachdem Sie LDAP- oder Active Directory-Authentifizierung aktiviert haben, erstellen Sie diese Benutzer in Ihrem LDAP- oder Active Directory-System. Achten Sie darauf, denselben Benutzernamen wie in Spectrum™ Technology Platform zu verwenden.
    Anmerkung: Sie müssen den Benutzer „admin“ nicht in LDAP oder Active Directory erstellen, da dieser Benutzer weiterhin Spectrum™ Technology Platform zur Authentifizierung verwenden wird, nachdem Sie LDAP- oder Active Directory-Authentifizierung aktiviert haben.
  2. Stoppen Sie den Spectrum™ Technology Platform-Server.
  3. Aktivieren Sie LDAP oder Active Directory-Authentifizierung:
    1. Öffnen Sie folgende Konfigurationsdatei in einem Texteditor:

      server\app\conf\spectrum-container.properties

    2. Legen Sie die Eigenschaft spectrum.security.authentication.basic.authenticator auf LDAP fest: 
      spectrum.security.authentication.basic.authenticator=LDAP

      Die Einstellung LDAP wird verwendet, um sowohl Active Directory als auch LDAP zu aktivieren.

    3. Speichern Sie die Datei und schließen Sie sie.
  4. Konfigurieren Sie die Verbindungseigenschaften:
    1. Öffnen Sie folgende Konfigurationsdatei in einem Texteditor:

      server\app\conf\spring\security\spectrum-config-ldap.properties

    2. Ändern Sie diese Eigenschaften.
      spectrum.ldap.url
      Dies ist die URL einschließlich Port des LDAP- oder Active Directory-Servers. Beispiel:
      spectrum.ldap.url=ldap://ldapserver.example.com:389/
      spectrum.ldap.dn.format
      Dies ist das Format, das zur Suche nach dem Benutzerkonto in LDAP oder Active Directory verwendet wird. Verwenden Sie die Variable %s für den Benutzernamen. Beispiel:

      LDAP:

      spectrum.ldap.dn.format=uid=%s,ou=users,dc=example,dc=com

      Active Directory:

      spectrum.ldap.dn.format=%s@example.com
      spectrum.ldap.dn.base
      Dies ist der eindeutige Name (Distinguished Name, dn) über den in LDAP oder Active Directory nach Benutzerkonten gesucht wird. Beispiel:

      LDAP:

      spectrum.ldap.dn.base=ou=users,dc=example,dc=com

      Active Directory:

      spectrum.ldap.dn.base=cn=Users,dc=example,dc=com
      spectrum.ldap.search.filter
      Dies ist ein Suchfilter, der verwendet wird, wenn nach Attributen wie Rolle gesucht wird. Der Suchfilter kann die folgenden Variablen enthalten:
      • {user} ist der Benutzername für die Anmeldung bei Spectrum™ Technology Platform.
      • {dn} ist der eindeutige Name, der in spectrum.ldap.dn.base angegeben ist.
      Beispiel:

      LDAP:

      spectrum.ldap.search.filter=uid={user}

      Active Directory:

      spectrum.ldap.search.filter=userPrincipalName={dn}
      spectrum.ldap.attribute.roles
      Optional: Gibt das LDAP- oder Active Directory-Attribut an, das den Namen der Spectrum™ Technology Platform-Rolle für den Benutzer enthält. Um beispielsweise die im Attribut gecos definierten Rollen anzuwenden, müssen Sie Folgendes angeben:
      spectrum.ldap.attribute.roles=gecos

      Wenn das Attribut gecos den Wert designer enthält, würde dem Benutzer die Rolle designer gewährt.

      Anmerkung: Der Wert des Attributs in LDAP oder Active Directory muss mit dem Namen der in Spectrum™ Technology Platform definierten Rolle übereinstimmen, wenn Sie den Attributwert in LDAP nicht einer Rolle in Spectrum™ Technology Platform zuordnen. Weitere Informationen finden Sie unter Zuordnen von LDAP-Attributwerten zu Rollen.

      Wenn Sie mehrere Attribute angeben möchten, trennen Sie diese durch Komma.

      Sie können Einzelwertattribute oder Multiwertattribute angeben. Einzelwertattribute können eine einzelne Rolle oder eine kommagetrennte Liste von Rollen enthalten. Bei Multiwertattributen kann jede Instanz des Attributs eine andere Rolle enthalten.

      Wenn Sie keinen Wert für spectrum.ldap.attribute.roles angeben, wird für Benutzer, die sich anmelden und über kein Spectrum™ Technology Platform-Konto verfügen, automatisch ein Konto erstellt. Ihnen wird standardmäßig die Rolle user zugewiesen.

      Wenn dem Benutzer in Spectrum™ Technology Platform Rollen zugewiesen sind, setzen sich die Berechtigungen des Benutzers aus den Rollen aus LDAP oder Active Directory und den Rollen aus Spectrum™ Technology Platform zusammen.

      spectrum.ldap.pool.min
      Gibt die Mindestgröße des Verbindungspools für Verbindungen zum LDAP- oder Active Directory-Server.
      spectrum.ldap.pool.max
      Gibt die maximale Anzahl der gleichzeitigen Verbindungen zum LDAP- oder Active Directory-Server.
      spectrum.ldap.timeout.connect
      Gibt in Millisekunden an, wie lange auf die Verbindungsherstellung zum LDAP- oder Active Directory-Server zu warten ist. Der Standardwert ist 1000 Millisekunden.
      spectrum.ldap.timeout.response
      Gibt in Millisekunden an, wie lange auf eine Antwort vom LDAP- oder Active Directory-Server zu warten ist, nachdem die Verbindung hergestellt wurde. Der Standardwert ist 5000 Millisekunden.
    3. Speichern Sie die Eigenschaftsdatei und schließen Sie sie.
  5. Starten Sie den Spectrum™ Technology Platform-Server.

Wenn Spectrum™ Technology Platform bei Ihnen in einem Cluster läuft, ändern Sie einfach die Dateien spectrum-container.properties und spectrum-config-ldap.properties auf jedem Server im Cluster. Beenden Sie den Server, bevor Sie die Dateien ändern, und starten Sie den Server anschließend wieder. Wenn Sie ein LDAP-Attribut einer Rolle zugeordnet haben, wird diese Zuordnung zu allen Knoten im Cluster repliziert. Sie müssen also die Zuordnungsprozedur in der JMX-Konsole nicht wiederholen.