So integrieren Sie CA SDM mit LDAP

Inhalt
casm173
Inhalt
Konfigurieren von LDAP-Optionen
Sie können CA SDM so konfigurieren, dass der Zugriff auf LDAP-Verzeichnisdaten möglich ist.
Gehen Sie folgendermaßen vor:
  1. Installieren Sie manuell LDAP-Optionen, die den Optionsmanager der Web-Schnittstellen verwenden.
    Die für eine grundlegende LDAP-Integration notwendigen Optionen sind nach Bedarf in der folgenden Tabelle in der Spalte "Beschreibung" angegeben. Die als optional gekennzeichneten Optionen sind Funktionen, die Sie nur dann hinzufügen können, wenn die obligatorischen Optionen installiert wurden. Die Werte, die Sie beim Installieren dieser Optionen angeben, werden in die Datei "$NX_ROOT/NX.env" geschrieben.
  2. Starten Sie den CA SDM-Dienst neu.
    Die Änderungen werden nun wirksam.
Verwalten von LDAP-Server mithilfe des Konfigurationsdienstprogramms LDAP
Mit dem LDAP-Server-Hilfsprogramm können Sie mehrere LDAP-Server verwalten. Mit dem Dienstprogramm können Sie folgende Aufgaben durchführen:
  • Einen neuen LDAP-Server hinzufügen.
  • Einen LDAP-Server löschen, den Sie nicht mehr verwenden möchten.
  • LDAP-Serverdetails anzeigen
  • Die virtuelle LDAP-Datenbank neu starten.
Führen Sie das Hilfsprogramm in einer Konfiguration für erweiterte Verfügbarkeit auf dem Hintergrundserver aus. Nachdem Sie einen neuen LDAP-Server hinzugefügt haben, starten Sie die CA SDM-Dienste auf allen Standby-Servern neu.
Gehen Sie folgendermaßen vor:
  1. (Optional) Um den Domain-Namen des Standard-LDAP-Server anzugeben, geben Sie den folgenden Befehl ein:
    pdm_options_mgr -c -a pdm_option.inst -s LDAP_DOMAIN -v <Default_LDAP_DomainName> pdm_options_mgr -c -a pdm_option.inst -s LDAP_DOMAIN -v <Default_LDAP_DomainName> -t
    Konfigurieren Sie den standardmäßigen LDAP-Server-Domänennamen in den folgenden Fällen:
    • Der CA EEM-Server ist mit Microsoft Active Directory-Mehrfachdomänen konfiguriert.
    • Der standardmäßige LDAP-Server und andere LDAP-Server, die mit CA SDM konfiguriert sind, haben die gleichen Benutzerdetails.
    Nach Abschluss der Konfiguration müssen die Standard-LDAP-Anwender sich in CA SDM im Format domain_name\userid anmelden.
  2. Öffnen Sie die Windows-Befehlszeile und navigieren Sie zu dem Speicherort "$NX_ROOT/bin".
  3. Führen Sie folgenden Befehl aus:
    pdm_perl pdm_ldap_config.pl
  4. Abhängig von der Aufgabe, die Sie durchführen möchten, wählen Sie die entsprechende Option aus.
Option
Standardwert
Beschreibung
ldap_domain
Erforderlich für die Konfiguration mehrerer LDAP-Server. Gibt den Domänennamen des LDPA-Servers an.
default_ldap_tenant
Für das Installieren von Mandantenfähigkeit erforderlich. Definiert die standardmäßige Zuweisung von Mandanten für Kontakte, die aus LDAP importiert wurden. Sie müssen die Mandanten-UUID verwenden, wenn Sie das Feld "Optionswert" ausfüllen.
Die Mandanten-UUID ist aus einer Datenbankabfrage ersichtlich. Beispiel: "SELECT * FROM ca_tenant".
ldap_enable
Ja
Erforderlich. Ermöglicht die LDAP-Integration mit CA SDM.
ldap_host
Erforderlich. Gibt den Hostnamen oder die IP-Adresse des LDAP-Datenbankservers an.
ldap_port
389
Erforderlich. Gibt die Portnummer für den LDAP-Server an.
ldap_dn
Erforderlich. Gibt den eindeutigen Namen für die LDAP-Server-Anmeldung an.
Beispiel:
CN=Joe, CN=Users, DC=KLAND, DC=AD, DC=com
Wenn der LDAP-Server anonyme Verbindungen unterstützt, kann dieser Wert leer sein.
ldap_pwd
Erforderlich. Gibt das Kennwort für den eindeutigen Namen der LDAP-Server-Anmeldung an.
Wenn der LDAP-Server anonyme Verbindungen unterstützt, kann dieser Wert leer sein.
ldap_search_base
Erforderlich. Gibt den Startpunkt für Suchläufe in der LDAP-Schemastruktur an:
(UNIX) Sie müssen einen Startcontainer angeben. Beispiel:
CN=Users, DC=KLAND, DC=AD, DC=com
(Windows) Sie brauchen keinen Container anzugeben. Sie können an der Spitze des Schemabaums starten. Beispiel:
DC=KLAND, DC=AD, DC=com
ldap_filter_prefix
(&(objectClass=
user)
Gibt das Präfix an, das beim Suchen nach LDAP-Anwendern auf einen automatisch erstellten Filter angewendet wird.
Diese Variable wurde durch die Option "ldap_user_object_class" ersetzt. Sie ist nicht im Optionsmanager verfügbar, kann jedoch manuell in der Datei "NX.env" festgelegt werden.
ldap_filter_suffix
)
Gibt das Suffix an, das beim Suchen nach LDAP-Anwendern auf einen automatisch erstellten Filter angewendet wird.
Diese Variable wurde durch die Option "ldap_user_object_class" ersetzt. Sie ist nicht im Optionsmanager verfügbar, kann jedoch manuell in der Datei "NX.env" festgelegt werden.
ldap_user_object_class
Person
Erforderlich. Gibt den Wert des LDAP-objectClass-Attributs an, das auf einen automatisch erzeugten Filter angewendet wird, wenn man nach LDAP-Anwendern sucht.
ldap_enable_group
Ja
Optional. Aktiviert die Zuweisung eines CA SDM-Zugriffstyps basierend auf der Mitgliedschaft zu einer LDAP-Gruppe.
ldap_group_object_class
Gruppe
Nur erforderlich, wenn "ldap_enable_group" installiert ist. Gibt den Objektnamen an, der beim Suchen nach Gruppen auf einen automatisch erstellten Filter angewendet wird.
ldap_group_filter_prefix
(&(objectClass=
group)
Gibt das Präfix an, das beim Suchen nach LDAP-Anwendern auf einen automatisch erstellten Filter angewendet wird.
Diese Variable wurde durch die Option "ldap_group_object_class" ersetzt. Sie ist nicht im Optionsmanager verfügbar, kann jedoch manuell in der Datei "NX.env" festgelegt werden.
ldap_group_filter_suffix
)
Gibt das Suffix an, das beim Suchen nach LDAP-Gruppen auf einen automatisch erstellten Filter angewendet wird.
Diese Variable wurde durch die Option "ldap_group_object_class" ersetzt. Sie ist nicht im Optionsmanager verfügbar, kann jedoch manuell in der Datei "NX.env" festgelegt werden.
ldap_enable_auto
Ja
Optional. Aktiviert das automatische Generieren von Kontaktdatensätzen aus LDAP-Daten.
ldap_sync_on_null
Ja
Optional. Überschreibt bestehende CA SDM-Kontaktattribute mit ungültigen Daten, wenn das entsprechende LDAP-Anwenderattribut einen ungültigen Wert enthält.
ldap_service_type
Active Directory
Optional. Wählen Sie diese Option, wenn Windows als -Betriebsumgebung verwendet wird und das LDAP-Verzeichnis
nicht
Active Directory ist (z. B. eTrust oder Novell).
In UNIX-Betriebsumgebungen wird die Funktion "Non-AD" nur verwendet, wenn diese Option
nicht
installiert ist. Wenn sie installiert wird, wird der Servicetyp auf "Active Directory" gesetzt.
ldap_enable_tls
Nein
Optional. Gibt an, ob die Transportschichtsicherheit (Transport Layer Security, TLS) während der LDAP-Verarbeitung aktiviert ist.
Überprüfen der LDAP-Integration
Nachdem Sie die notwendigen LDAP-Optionen installiert haben, können CA SDM-Anwender LDAP-Daten fallweise importieren. Dadurch entfällt die Notwendigkeit, alle Kontaktattributfelder manuell auszufüllen.
So überprüfen Sie, dass Sie LDAP-Datensätze suchen und importieren können:
  1. Wählen Sie auf der Registerkarte "Service Desk" die Optionen "Datei" und dann "Neuer Kontakt" aus.
    Das Fenster "LDAP-Verzeichnisse – Suche" wird angezeigt.
  2. Legen Sie Filterkriterien fest, und klicken Sie auf "Suchen". Sie können beispielsweise "b%" im Feld "Nachname" eingeben, um eine Liste der LDAP-Anwendereinträge mit Nachnamen abzurufen, die mit dem Buchstaben B beginnen.
    Wenn Ihr LDAP-Verzeichnis Tausende von Einträgen enthält und Sie Ihre Suche nicht filtern, versucht die Anfrage,
    alle
    LDAP-Benutzerdatensätze zu finden. Dies kann zur Zeitüberschreitung der Anfrage und einem Zurücksetzen auf null Datensätze führen.
    Mit den Filterkriterien übereinstimmende Suchergebnisse werden angezeigt.
  3. Wählen Sie einen Eintrag aus.
    Das Fenster "Neuen Kontakt erstellen" wird angezeigt, das die importierten LDAP-Attributwerte enthält.
  4. Klicken Sie auf Speichern.
    Der Kontaktdatensatz wird erstellt.
So überprüfen Sie, dass Sie einen Kontakt mit LDAP-Daten aktualisieren können:
Bevor Sie dieses Verfahren durchführen, können Sie zu Testzwecken eines der verfügbaren LDAP-Bearbeitungstools verwenden, um einen oder mehrere Attributwerte des Eintrags zu ändern, den Sie in dem vorherigen Vorgang verwendet haben. Sie können überprüfen, ob der Kontakt mit den neuesten LDAP-Daten aktualisiert wurde.
  1. Wählen Sie auf der Registerkarte "Service Desk" die Option "Suche" und anschließend "Kontakte".
    Das Fenster "Kontakt" wird angezeigt.
  2. Legen Sie Filterkriterien fest, um nach einem Kontakt zu suchen, für den ein entsprechender LDAP-Benutzereintrag vorhanden ist. Sie können beispielsweise nach dem Kontakt suchen, den Sie im vorherigen Verfahren erstellt haben.
    Mit den Filterkriterien übereinstimmende Suchergebnisse werden angezeigt.
  3. Wählen Sie den Kontakt aus, den Sie mit LDAP-Daten aktualisieren wollen.
    Die Seite "Kontaktdetails" wird mit eingetragenen CA SDM-Kontaktinformationen angezeigt.
  4. Klicken Sie auf Bearbeiten.
    Die Seite "Kontakt aktualisieren" wird angezeigt.
  5. Klicken Sie auf "LDAP zusammenführen".
    Die Seite "LDAP-Einträge - Liste" zeigt eine Liste mit LDAP-Benutzereinträgen an, die zu dem ausgewählten CA SDM-Kontakt gehören.
    Um in dem LDAP-Verzeichnis nach anderen Einträgen zu suchen, klicken Sie auf "Filter anzeigen", legen Sie die Filterkriterien fest, und klicken sie anschließend auf "Suchen".
    Wenn Ihr LDAP-Verzeichnis Tausende von Einträgen enthält und Sie Ihre Suche nicht filtern, versucht die Anfrage,
    alle
    LDAP-Benutzerdatensätze zu finden. Dies kann zur Zeitüberschreitung der Anfrage und einer Zurückgabe von null Datensätzen führen.
  6. Klicken Sie auf den gewünschten LDAP-Eintrag.
    Die LDAP-Detailseite zeigt die Attributwerte für den ausgewählten Eintrag an. Überprüfen Sie, dass Sie den richtigen Eintrag für den Kontakt ausgewählt haben, den Sie aktualisieren wollen. Klicken Sie dann auf "Fenster schließen".
  7. Klicken Sie auf der Seite "LDAP-Einträge - Liste" mit der rechten Maustaste auf den Eintrag, der mit dem zu aktualisierenden Eintrag am meisten übereinstimmt, und klicken Sie dann auf "Zu Kontakt zusammenfügen".
    Die Seite zur Kontaktaktualisierung wird erneut angezeigt, jetzt aufgefüllt mit den aktuellen LDAP-Attributwerten. Wenn die LDAP-Daten sich geändert haben, seitdem Sie den Kontakt erstellt oder zum letzten Mal aktualisiert haben, dann finden sich diese Änderungen in den Kontaktattributfeldern wieder.
    Wenn Sie die Option "Idap_sync_on_null" installiert haben, und der LDAP-Eintrag enthält ungültige Werte für Attributfelder von Kontaktattributen, die in diesem Moment Werte enthalten, dann werden beim Speichern der Kontaktdaten die Werte in dem Kontaktdatensatz mit ungültigen Werten überschrieben.
  8. Klicken Sie auf der Seite zur Aktualisierung des Kontakts auf "Speichern".
    Der Kontakt wird mit den entsprechenden LDAP-Daten aktualisiert.
Erstellen von Kontakten
HID_CreateaContact
Ein Kontakt ist eine Person, die Ihr System regelmäßig verwendet, wie z. B. ein Analyst oder ein Kunde. Nachdem Sie die Geschäftsstruktur und Gruppen erstellt haben, erstellen Sie Kontakte und ordnen sie ihrer jeweiligen Lokation und Organisation zu.
Sie können Kontakte folgendermaßen erstellen:
Erstellen eines Kontakts unter Verwendung von LDAP-Daten
Wenn Ihre Installation für den Zugriff auf einen LDAP-Server (Lightweight Directory Access Protocol) konfiguriert ist, z. B. Microsoft Windows Active Directory, und auch die notwendigen Optionen installiert sind, können Sie Kontakte über die LDAP-Daten erstellen und aktualisieren. Dadurch können Kontakte sehr einfach mit den Netzbenutzerdaten synchronisiert werden.
Administratoren können die automatisierte Synchronisierung von Kontakten mit LDAP-Daten konfigurieren.
Gehen Sie folgendermaßen vor:
  1. Wählen Sie in der Menüleiste der Registerkarte "Service Desk" die Option "Ansicht" > "Neuer Kontakt".
    Die Seite "LDAP-Verzeichnis - Suche" wird angezeigt.
  2. (Optional) Füllen Sie eines oder mehrere der folgenden Filterfelder aus, um die Liste der LDAP-Einträge auf die Datensätze zu beschränken, die für Sie von Interesse sind:
    • Nachname
      Gibt den Nachnamen des Anwenders an, so wie er im LDAP-Verzeichnis geführt wird. Sie können beispielsweise "b%" im Feld "Nachname" eingeben, um eine Liste der LDAP-Anwendereinträge mit Nachnamen abzurufen, die mit dem Buchstaben B beginnen.
    • Vorname
      Gibt den Vornamen des Anwenders an, so wie er im LDAP-Verzeichnis geführt wird.
    • Zweiter Vorname
      Gibt den zweiten Vornamen des Anwenders an, so wie er im LDAP-Verzeichnis geführt wird.
    • Anwender-ID
      Gibt den Anwendernamen zur Anmeldung beim System an.
  3. Klicken Sie auf "Suche".
    Die Seite "LDAP-Einträge - Liste" zeigt die Datensätze an, die Ihren Filterkriterien entsprechen.
    Um die Informationen eines LDAP-Datensatzes einzusehen, ohne einen neuen Kontakt erstellen zu müssen, klicken Sie mit der rechten Maustaste auf den betreffenden Datensatz und wählen "Ansicht". Die Seite "LDAP-Einträge - Details" wird geöffnet.
    Alle Felder auf der LDAP-Detailseite sind selbsterklärend, mit Ausnahme der folgenden:
    • Anwender-ID
      Gibt die ID an, die der Anwender bei der Systemanmeldung eingibt.
    • Eindeutiger Name
      Gibt den vollständig qualifizierten LDAP-Anmeldenamen an. Beispiel: CN=Joe, CN=Users, DC=KLAND, DC=AD, DC=com
  4. Klicken Sie auf den LDAP-Eintrag, um einen Kontakt zu erstellen.
    Die Seite "Neuen Kontakt erstellen" wird geöffnet, auf der die LDAP-Daten bereits teilweise ausgefüllt sind.
  5. Geben Sie je nach Bedarf weitere Informationen ein.
  6. Klicken Sie auf Speichern.
    Der Kontaktdatensatz wird gespeichert, und die Seite "Kontakt - Detail" wird geöffnet. Die folgenden Schaltflächen sind jetzt zum Konfigurieren des Kontakts verfügbar:
    • Umgebung aktualisieren
      -- Zeigt das Fenster "Configuration Item/Asset - Suche" für den Kontakt oder die Organisation an, in dem Sie Suchkriterien für die Assets angeben können, die Sie berücksichtigen möchten. Wenn Sie auf "Suche" klicken, wird das Fenster "Umgebung aktualisieren" angezeigt, in dem Sie Anlagen für diesen Kontakt oder diese Organisation hinzufügen und entfernen können.
      Gruppen aktualisieren
      -- Zeigt das Fenster "Gruppen - Suche" an, in dem Sie Suchkriterien für die Gruppen eingeben können, die für diesen Kontakt berücksichtigt werden sollen. Wenn Sie auf "Suche" klicken, wird das Fenster "Gruppen aktualisieren" angezeigt, in dem Sie Gruppen für diesen Kontakt hinzufügen und entfernen können.
Automatisches Erstellen von Kontakten
Sie können CA SDM so konfigurieren, dass CA SDM automatisch Kontakte aus einem entsprechenden LDAP-Anwenderdatensatz erstellt, wenn sich ein neuer Anwender bei CA SDM anmeldet.
Sie müssen alle obligatorischen LDAP-Optionen sowie die Option "ldap_enable_auto" installieren, um diese Funktion zu aktivieren.
Der Kontaktdatensatz wird automatisch folgendermaßen erstellt:
  1. Wenn sich ein Anwender in CA SDM anmeldet, von dem noch kein Kontaktdatensatz verfügbar ist, aber dessen Anwenderkennung in einem LDAP-Datensatz existiert, dann werden die LDAP-Daten automatisch importiert und ein Kontaktdatensatz wird erstellt.
  2. Der automatisch erstellte Kontaktdatensatz erbt die Sicherheitseinstellungen des Standard-Zugriffstyps.
  3. Sie können dem Kontakt dann einen speziellen Zugriffstyp zuweisen, oder der Zugriffstyp kann basierend auf der Mitgliedschaft des Benutzers in einer LDAP-Gruppe zugewiesen werden.
Dieser Prozess ist für den Anwender vollständig transparent und wird ihm wie jede andere Anmeldungssitzung dargestellt.
Manuelles Erstellen von Kontakten
Wenn Sie kein Active Directory, wie z. B. LDAP, für Ihre Kontakteinformationen verwenden möchten, können Sie die Kontakte in CA SDM manuell erstellen.
Wenn die Mandantenfähigkeit aktiviert ist, wählen Sie in der Drop-down-Liste den entsprechenden Mandanten aus.
Gehen Sie folgendermaßen vor:
  1. Wählen Sie der Menüleiste des Scoreboards "Datei", "Neuer Kontakt".
    Das Fenster "Neuen Kontakt erstellen" wird geöffnet.
  2. Füllen Sie die Kontaktfelder aus.
  3. Klicken Sie auf Speichern.
    Die Kontaktinformationen wurden gespeichert.
"Kontakt" - Felder
Mandant
Gibt den Mandanten an, mit dem der Kontakt verknüpft ist (für Installationen für mehrere Mandanten).
ID kontaktieren
Gibt eine eindeutige Kennung für den Kontakt an. Bei Verwendung der Standard-Anwenderauthentifizierung dient der Wert in diesem Feld als Kennwort für die Anwenderanmeldung.
Anwender-ID
Gibt den Anwendernamen des Kontakts an. Der Kontakt verwendet diesen zur Anmeldung im System.
Diensttyp
Gibt die Support-Ebene an, die der Kontakt erhalten hat.
Datenaufteilung
Gibt die Datenpartition für diesen Kontakt an. Dieser Wert bestimmt, auf welche Datensätze dieser Kontakt zugreifen kann.
Zugriffstyp
Gibt den Zugriffstyp an. Der Zugriffstyp bestimmt die Systemfunktionen, auf die der Kontakt zugreifen kann.
Verfügbar
Zeigt an, ob der Kontakt für Ticketzuweisungen verfügbar ist.
Self-Service-Speicherung bestätigen
Zeigt an, ob der Kontakt eine Bestätigung erhält, wenn ein Datensatz über die Self-Service-Schnittstelle gespeichert wird.
Mandantengruppe des Analysten
(Nur Kontakttyp "Analyst") Gibt die Mandantengruppe an, für die der Analyst verantwortlich ist.
Um den Kontakt zu konfigurieren, verwenden Sie folgende Steuerelemente, die auf den Registerkarten verfügbar sind.
Benachrichtigung
Definiert die Kontaktinformationen und die Methode zum Benachrichtigen des Kontakts.
    • Markieren Sie die Benachrichtigungsmethode aus der Drop-down-Liste (E-Mail, Benachrichtigung, Pager_Email xMatters/Email, xMatters/Notification, und xMatters/Pager_Email), die Sie für jede Dringlichkeitsstufe für diesen Kontakt verwenden möchten.
      CA SDM unterstützt nur eine Benachrichtigungsmethode zu einem Zeitpunkt. Bei Verwendung von E-Mail können Sie Benachrichtigung nicht gleichzeitig verwenden. Dies gilt für alle Abwesenheits-Benachrichtigungsmethoden wie E-Mail, Benachrichtigung, Pager_Email, xMatters/Email, xMatters/Notification und xMatters/Pager_Email.
      CA SDM-Administratoren müssen die Benachrichtigungsmethode auf der Kontaktdetail-Seite manuell aktualisieren, wenn die xMatters- und CA SDM-Integration deaktiviert ist. Weitere Informationen finden Sie im Optionsmanager xMatters.
    • Wählen Sie die Schicht, die für die verschiedenen Dringlichkeitsstufen der Benachrichtigung gilt.
Zum Beispiel können Sie einer normalen Benachrichtigung eine reguläre Schicht (5-Tage Woche, 8-Stunden-Tag) zuweisen und einer Notfallbenachrichtigung eine 24-Stunden-Schicht.
Adresse
Gibt den Standort des Kontakts an.
Organisationsinformationen
Gibt die funktionale oder administrative Organisation, Abteilung, Kostenstelle oder die Anbieterinformationen des Kontakts an.
Umgebung
Gibt die Umgebung des Kontakts an, etwa Ausrüstung, Software and Services.
Gruppen
Weist einen Kontakt einer Gruppe (einer Sammlung von Kontakten mit einem gemeinsamen Verantwortungsbereich) zu.
Rollen
Weist den Kontakt einer oder mehreren Rollen zu.
Serviceverträge
Zeigt die mit dem Kontakt verknüpften Serviceverträge an (sofern vorhanden).
Spezielle Verarbeitung
Listet die Kontakte auf, die einer besonderen Behandlung bedürfen, und ermöglicht Ihnen die Zuweisung von Kontakten zu speziellen Verarbeitungstypen, wie etwa Besucher oder Sicherheitsrisiko.
Ereignisprotokoll
Listet mit dem Kontakt verknüpfte Events auf, etwa Self-Service- und Knowledge-Aktivitäten.
Aktivitäten
Zeigt das Aktivitätsprotokoll des Kontakts an.
Zusammenführen von Kontakten mithilfe von LDAP
Sie können vorhandene Kontakte mit den aktuellen LDAP-Daten synchronisieren.
Gehen Sie folgendermaßen vor:
  1. Wählen Sie auf dem Scoreboard die Optionen "Suche", "Kontakte".
    Die Seite "Kontakt – Suche" wird angezeigt.
  2. Füllen Sie die Filterfelder nach Wunsch aus (oder lassen Sie alle Filterfelder leer, um eine Liste aller Kontakte abzurufen), und klicken Sie dann auf "Suchen".
    Die Seite "Kontakt - Liste" wird geöffnet.
  3. Klicken Sie auf den Kontakt, den Sie bearbeiten wollen.
    Die Seite "Kontakt - Detail" wird angezeigt.
  4. Klicken Sie auf Bearbeiten.
    Die Seite "Kontakt aktualisieren" wird geöffnet.
  5. Klicken Sie auf "LDAP zusammenführen".
    Die Seite "LDAP-Eingabe - Liste" wird angezeigt. Wenn der Kontakt, den Sie bearbeiten möchten, über einen entsprechenden LDAP-Datensatz verfügt, wird dieser auf der Seite angezeigt.
  6. Klicken Sie auf den LDAP-Eintrag.
    Die Seite "LDAP - Detail" wird angezeigt.
  7. Prüfen Sie, ob die Seite "LDAP - Detail" die Daten für den richtigen Anwender enthält, und klicken Sie auf "Fenster schließen".
  8. Klicken Sie mit der rechten Maustaste auf den Eintrag auf der Seite "LDAP-Eingabe - Liste" für den Kontakt, den Sie aktualisieren möchten, und wählen Sie "Zu Kontakt zusammenfügen".
  9. Klicken Sie auf der Seite "Aktualisieren" des Kontakts auf "Speichern".
Zuweisen von Zugriffstypen mithilfe von LDAP-Gruppen
HID_AssignAccessTypesLDAPGroup
Zugriffstypwerte zu Kontakten automaitsch mt einen LDAP-Server (Lightweight Directory Access Protocol) zuweisen.
Um diese Funktion zu aktivieren, müssen Sie die Optionen "ldap_enable_group" und "ldap_group_object_class" installieren.
Gehen Sie folgendermaßen vor:
  1. Wählen Sie auf der Registerkarte "Administration" die Option "Sicherheit und Rollenverwaltung" > "Zugriffstypen".
  2. Markieren Sie den Zugriffstyp, den Sie mit einer LDAP-Gruppe verknüpfen möchten. Wählen Sie beispielsweise "Administration".
    Wenn die Option "ldap_enable_group" installiert ist, wird auf der Registerkarte "Webauthentifizierung" das Feld "LDAP-Zugriffsgruppe" angezeigt.
    Wenn eine LDAP-Gruppe bereits mit dem ausgewählten Zugriffstyp verknüpft ist, wird eine Verknüpfung zu den LDAP-Gruppe-Details angezeigt. Klicken Sie auf die Verknüpfung, um eine schreibgeschützte Beschreibung der LDAP-Gruppe und eine Liste ihrer Mitglieder anzuzeigen.
  3. Klicken Sie auf der Seite "Zugriffstyp - Detail" auf "Bearbeiten", um einen Zugriffstyp mit einer LDAP-Gruppe zu verknüpfen.
  4. Klicken Sie auf die Verknüpfung "LDAP-Zugriffsgruppe".
  5. (Optional) Geben Sie Filterkriterien ein, wenn Sie die Suche auf bestimmte LDAP-Gruppen beschränken möchten.
  6. Markieren Sie die LDAP-Gruppe, die Sie mit diesem Zugriffstyp verknüpfen möchten.
  7. Klicken Sie auf Speichern.
    Die Verknüpfung der markierten LDAP-Gruppe mit dem Zugriffstyp ist abgeschlossen.
Attributzuordnung
Attributwerte von CA SDM-Kontaktdatensätzen werden, basierend auf den Attributzuordnungsdefinitionen in der Datei "$NX_ROOT/bopcfg/majic/ldap.maj", mit Attributwerten von LDAP-Benutzern synchronisiert.
Der folgende Auszug aus "ldap.maj" illustriert e Zuordnung. Bei den Attributnamen in der linken Spalte ("id") handelt es sich um die CA SDM-Kontaktattributnamen. Die mittlere Spalte ("distinguishedName") enthält die entsprechenden LDAP-Attributnamen.
id distinguishedName STRING 512; last_name sn,pzLastName STRING ; first_name givenName,pzFirstName STRING ; middle_name initials,pzMiddleName STRING ; userid uid,sAMAccountName,pzUserName STRING ; phone_number telephoneNumber,pzWorkPhoneNumber STRING ;
Wenn ein SREL (eine einzelne Beziehung oder ein Fremdschlüssel in einer anderen Datenbanktabelle) auf CA SDM existiert, wird der Kontaktattributwert mit dem entsprechenden LDAP-Wert synchronisiert. Wenn der SREL nicht bereits existiert, wird er nicht automatisch während der Verarbeitung der LDAP-Synchronisierung erstellt.
Standardmäßig wird die Attributzuordnung für das Microsoft Active Directory-LDAP-Schema konfiguriert. Im Bedarfsfall können Sie die Zuordnung durch die Verwendung einer mod-Datei ändern.
Ändern der Attributzuordnung
Sie können die Standardattributzuordnung ändern.
Verfahren Sie wie folgt, um das Standardattribut zu ändern:
  1. Navigieren Sie zu "$NX_ROOT/site/mods/majic", und öffnen Sie die mod-Datei.
  2. Verwenden Sie die MODIFY-Anweisungen in der mod-Datei wie folgt.
    • Die MODIFY-Anweisungen müssen in der Datei immer am Anfang stehen.
    • Im Anschluss an die MODIFY-Anweisungen sollten beliebige zusätzliche Felder, die nicht in der Datei "ldap.maj" enthalten sind, mit der Syntax im folgenden Beispiel angegeben werden.
    • Wenn Sie ein Feld definieren, das ein Bindestrichzeichen im Attributnamen enthält, müssen Sie den Namen in einfache Anführungszeichen setzen. Andernfalls bewirkt das Attribut beim Erstellen der mod-Datei einen Syntaxfehler. Zum Beispiel muss der folgende Attributname in einzelne Anführungszeichen eingeschlossen werden:
      c_nx_string1 'swsd-secret-question' STRING ;
  3. Speichern und schließen Sie die mod-Datei.
  4. Starten Sie den CA SDM-Dienst neu.
    Die Web-Engine wird nicht gestartet, wenn es eine Diskrepanz in der Syntax oder bei der Groß-/Kleinschreibung gibt.
    Ihre Änderungen treten in Kraft.
Beispiel: Verwenden von MODIFY-Anweisungen
Das folgende Beispiel veranschaulicht, wie zwei Felder geändert und ein zusätzliches Feld hinzugefügt wird.
// // Map CA SDM userid attribute to ADAM Userid // MODIFY ldap userid cn ; MODIFY ldap middle_name middleName ; OBJECT ldap LDAP { ATTRIBUTES LDAP_Entry{ contact_num employeeNumber STRING ; }; } ;
Beschreibt, wie CA SDM LDAP-Daten zum Kommunizieren verwendet
Lightweight Directory Access Protocol (LDAP)
ist ein Netzwerkkommunikationsprotokoll für die Abfrage und die Änderung von Verzeichnisdiensten, die über ein TCP/IP-Netzwerk laufen. Ein LDAP-Verzeichnis ist eine Baumstruktur, die Einträge für die Verwaltung von Anwendern, Gruppen, Computern, Druckern und anderen Entitäten in einem Netzwerk enthält.
CA SDM kann so konfiguriert werden, dass auf ein LDAP-Verzeichnis zugegriffen wird, welches Ihnen erlaubt, LDAP-Daten auf verschiedene Art und Weise zu verwenden:
  • Synchronisieren Sie Kontakte mit LDAP-Anwenderdatensätzen. Die Synchronisierung kann folgendermaßen geschehen:
    • Bei Anmeldung
      - Wenn ein Anwender sich am Produkt anmeldet und ein LDAP-Datensatz für diesen Anwender existiert, aber ein entsprechender Kontaktdatensatz fehlt, wird ein Kontaktdatensatz automatisch auf der Basis der LDAP-Informationen erstellt.
    • Neuer Kontakt
      :
      Wenn Sie einen Kontaktdatensatz manuell erstellen, können Sie einen LDAP-Datensatz auswählen und seine Attributwerte mit ihren entsprechenden Feldern im neuen Kontaktdatensatz zusammenführen.
    • Batch-Aktualisierung
      - Sie können Stapelverarbeitungsaufträge laufen lassen, um die Prozesse für den Import und die Aktualisierung von Kontaktdatensätzen mit Daten aus den entsprechenden LDAP-Datensätzen zu automatisieren.
      Synchronisierung mit LDAP funktioniert nur in eine Richtung. LDAP-Daten können benutzt werden, um Kontakte zu erstellen und zu aktualisieren. Das Produkt unterstützt allerdings keine Aktualisierungen des LDAP-Verzeichnisses.
  • Weisen Sie CA SDM-Zugriffstypen zu, die auf LDAP-Gruppenmitgliedschaft basieren.
  • Implementieren Sie eine Alternativmethode zur Durchführung der CA SDM-Authentifizierung.
Die Komponente "ldap_virtb" stellt die Funktion zur LDAP-Integration auf folgenden Servern bereit, abhängig von Ihrer CA SDM-Konfiguration und unabhängig vom Betriebssystemtyp:
  • Konventionell: Primärserver oder Sekundärserver.
  • Erweiterte Verfügbarkeit: Hintergrundserver oder Anwendungsserver
Die Datei "$NX_ROOT/bopcfg/majic/ldap.maj" gibt die Zuordnung zwischen LDAP-Attributen und Kontaktdatensatzattributen an.
Bei CA SDM müssen LDAP-Datensätze einen Eintrag im Feld "Nachname" haben, um die LDAP-Daten zu suchen, anzuzeigen und zu importieren.
CA SDM unterstützt
seitenbasierte Suchvorgänge
, bei denen alle Datensätze in Ihrem LDAP-Verzeichnis durchsucht werden. Paginiertes Suchen ermöglicht Ihnen auch, neue Kontaktdatensätze zu importieren oder bestehende Kontaktdatensätze aus einer beliebigen Anzahl von LADP-Datensätzen zu synchronisieren. Diese Möglichkeiten sind allerdings eingeschränkt, wenn Sie Sun Java System Directory Server oder Novell eDirectory verwenden, weil diese LDAP-Server keine paginierte Suche unterstützen. In diesem Fall können Sie nur die Anzahl von LDAP-Datensätzen suchen, importieren und synchronisieren, die durch NX_LDAP_MAX_FETCH angegeben wird. Weitere Informationen über seitenbasierte Suchvorgänge finden Sie in der Datei "NX.env".
Zugriffstypenzuweisungen von LDAP-Gruppen aus
Sie können CA SDM so konfigurieren, um Kontakten basierend auf der LDAP-Gruppenmitgliedschaft automatisch Zugriffstypenwerte zuzuweisen. Wenn bei aktivierter automatischer Zugriffstypenzuweisung ein LDAP-Benutzerdatensatz, der für die Erstellung eines Kontakts benutzt wurde, einer LDAP-Gruppe gehört, die einem der CA SDM-Zugriffstypen zugeordnet ist, wird jener Zugriffstyp dem Kontakt automatisch zugewiesen. Andernfalls erbt der Kontakt den Standardzugriffstyp.
Um die automatische Zugriffstypenzuweisung zu aktivieren, müssen Sie die Optionen "ldap_enable_group" und "ldap_group_object_class" installieren.
Weitere Informationen finden Sie unter "Konfigurieren von LDAP-Optionen".
LDAP-Authentifizierung
Sie können mithilfe von LDAP Anwender authentifizieren, die sich in CA SDM anmelden. Die DAP-Authentifizierung ist verfügbar, wenn die CA SDM -Authentifizierungskomponente in integriert ist; sie ersetzt die vom Hostbetriebssystem durchgeführte Standardvalidierung. Die LDAP-Authentifizierung ist nur anwendbar, wenn CA EEM für die Verwendung eines externen LDAP-Verzeichnisses konfiguriert wurde und Sie für den Validierungstyp eines Anwenders in einem Zugriffstypdatensatz die Authentifizierung durch das Betriebssystem gewählt haben.
Wenn eine CA EEM-Funktion aktiviert ist, werden die Anmeldeanforderungen mit dem CA EEM-Server geprüft. Ein Protokoll in der Anforderung wird nur gewährt, wenn Folgendes geschieht:
  • Die angegebene Anwender-ID stimmt mit einem CA SDM-Kontaktdatensatz überein.
  • Die Anwender-ID entspricht einem Anwenderprofil in CA EEM.
  • Die Kombination aus Anwender-ID und das Kennwort wird von CA EEM erfolgreich validiert.
Weitere Informationen zur Verwendung von CA EEM, für die Authentifizierung und Authentifizierungsmodul auf externe Server verschieben, finden Sie unter So verschieben Sie das Authentifizierungsmodul zu einem externen Server. Lesen Sie sich auch "Zuweisen von Zugriffstypen mithilfe von LDAP-Gruppen" durch.
Transport Layer Security
Sie können CA SDM so konfigurieren, dass während der LDAP-Verarbeitung TLS (Transport Layer Security) benutzt wird. TLS, ein sicheres Kommunikationsprotokoll, ist der Nachfolger von SSL v3 (Secure Sockets Layer). Zur Aktivierung installieren Sie die ldap_enable_tls-Option.
Wenn diese Funktion aktiviert ist, werden alle Kommunikationen zwischen CA SDM und dem LDAP-Server verschlüsselt. Wenn diese Funktion
nicht
aktiviert ist, werden alle Datenübertragungen (einschließlich des Anmeldenamens und des Kennworts des Administrators zum Zugriff auf den LDAP-Server) im Klartext übermittelt.
Information zur Konfiguration von TLS finden Sie auf Ihrem LDAP-Server und der Dokumentation des Betriebssystems. Installieren Sie manuell LDAP-Optionen, die den Optionsmanager der Web-Schnittstellen verwenden. Weitere Informationen finden Sie unter "Konfigurieren von LDAP-Optionen".