Integrazione di CA SDM con LDAP

Sommario
casm173
Sommario
Configurazione delle opzioni LDAP
È possibile configurare CA SDM per l'accesso ai dati di directory LDAP.
Attenersi alla procedura seguente:
  1. Installare manualmente le opzioni LDAP utilizzando Gestione opzioni dell'interfaccia Web.
    Le opzioni necessarie per l'integrazione di base di LDAP vengono identificate come obbligatorie nella colonna Descrizione della seguente tabella. Le opzioni identificate come facoltative sono funzioni che è possibile aggiungere solo se sono state installate tutte le opzioni richieste. I valori specificati quando si installano queste opzioni sono scritti nel file $NX_ROOT/NX.env.
  2. Riavviare il servizio di CA SDM.
    Le modifiche vengono applicate.
Gestione dei server LDAP mediante l'utilità di configurazione LDAP
È possibile utilizzare l'utilità Server LDAP per gestire più server LDAP. È possibile usare l'utilità per eseguire le attività seguenti:
  • Aggiungere un nuovo server LDAP.
  • Eliminare un server LDAP che non si desidera utilizzare.
  • Visualizzare i dettagli del server LDAP.
  • Riavviare il database virtuale LDAP.
In una configurazione con disponibilità avanzata, eseguire l'utilità sul server in background. Dopo aver aggiunto un nuovo server LDAP, riavviare i servizi di CA SDM su tutti i server in standby.
Attenersi alla procedura seguente:
  1. (Facoltativo) Per specificare il nome del dominio del server LDAP predefinito, eseguire il comando seguente:
    pdm_options_mgr -c -a pdm_option.inst -s LDAP_DOMAIN -v <Default_LDAP_DomainName> pdm_options_mgr -c -a pdm_option.inst -s LDAP_DOMAIN -v <Default_LDAP_DomainName> -t
    Configurare il nome di dominio del server LDAP predefinito nei seguenti casi:
    • Il server CA EEM è configurato con più domini di Microsoft Active Directory.
    • Il server LDAP predefinito e qualsiasi altro server LDAP configurato con CA SDM hanno gli stessi dettagli utente.
    Una volta completata la configurazione, gli utenti LDAP predefiniti devono accedere a CA SDM con il formato domain_name\userid.
  2. Aprire il comando di Windows e accedere alla posizione $NX_ROOT/bin.
  3. Eseguire il comando seguente:
    pdm_perl pdm_ldap_config.pl
  4. In base all'attività che si desidera eseguire, selezionare l'opzione appropriata.
Opzione
Valore predefinito
Descrizione
ldap_domain
Obbligatorio per la configurazione di più server LDAP. Specificare il nome del dominio del server LDAP.
default_ldap_tenant
Richiesta per l'installazione multi-tenancy. Specifica l'assegnazione tenant predefinita per i contatti importati da LDAP. È necessario utilizzare l'UUID tenant quando si imposta il campo Valore opzione.
L'UUID tenant è ottenibile da una query del database. Ad esempio, SELECT * FROM ca_tenant.
ldap_enable
Richiesto. Consente l'integrazione LDAP con CA SDM.
ldap_host
Richiesto. Specifica il nome host o l'indirizzo IP del server di database LDAP.
ldap_port
389
Richiesto. Consente di specificare il numero di porta del server LDAP.
ldap_dn
Richiesto. Specifica il nome distinto di accesso del server LDAP.
Esempio
: CN=Joe, CN=Users, DC=KLAND, DC=AD, DC=com
Se il server LDAP supporta i binding anonimi, è possibile non specificare questo valore.
ldap_pwd
Richiesto. Specifica la password per il nome distinto di accesso del server LDAP.
Se il server LDAP supporta i binding anonimi, è possibile non specificare questo valore.
ldap_search_base
Richiesto. Consente di specificare il punto di partenza per le ricerche nella struttura dello schema LDAP:
(UNIX) È necessario specificare un contenitore iniziale. Ad esempio:
CN=Users, DC=KLAND, DC=AD, DC=com
(Windows) Non è necessario specificare un contenitore. È possibile iniziare dalla parte superiore della struttura dello schema. Ad esempio:
DC=KLAND, DC=AD, DC=com
ldap_filter_prefix
(&(objectClass=
user)
Specifica il prefisso applicato ad un filtro generato automaticamente durante la ricerca degli utenti LDAP.
Questa variabile è stata sostituita dall'opzione ldap_user_object_class. Non è disponibile in Gestione opzioni, ma può essere impostata manualmente nel file NX.env.
ldap_filter_suffix
)
Specifica il suffisso applicato ad un filtro generato automaticamente durante la ricerca degli utenti LDAP.
Questa variabile è stata sostituita dall'opzione ldap_user_object_class. Non è disponibile in Gestione opzioni, ma può essere impostata manualmente nel file NX.env.
ldap_user_object_class
persona
Richiesto. Specifica il valore dell'attributo LDAP objectClass applicato ad un filtro generato automaticamente durante la ricerca di utenti LDAP.
ldap_enable_group
Facoltativo. Consente l'assegnazione del tipo di accesso di CA SDM in base all'appartenenza al gruppo LDAP.
ldap_group_object_class
Gruppo
Richiesta solo se è installata l'opzione ldap_enable_group. Specifica il nome oggetto applicato ad un filtro generato automaticamente durante la ricerca dei gruppi.
ldap_group_filter_prefix
(&(objectClass=
group)
Specifica il prefisso applicato a un filtro generato automaticamente durante la ricerca di gruppi LDAP.
Questa variabile è stata sostituita dall'opzione ldap_group_object_class. Non è disponibile in Gestione opzioni, ma può essere impostata manualmente nel file NX.env.
ldap_group_filter_suffix
)
Specifica il suffisso applicato a un filtro generato automaticamente durante la ricerca di gruppi LDAP.
Questa variabile è stata sostituita dall'opzione ldap_group_object_class. Non è disponibile in Gestione opzioni, ma può essere impostata manualmente nel file NX.env.
ldap_enable_auto
Facoltativo. Consente di generare automaticamente record contatto dai dati LDAP.
ldap_sync_on_null
Facoltativo. Sovrascrive gli attributi di contatto esistenti di CA SDM con dati null se l'attributo utente LDAP corrispondente contiene un valore null.
ldap_service_type
Active Directory
Facoltativo. Utilizzare questa opzione se l'ambiente operativo di CA SDM è Windows e la directory LDAP
non
è Active Directory (ad esempio, eTrust o Novell).
In un ambiente operativo UNIX, la funzionalità "Non AD" viene utilizzata solo se questa opzione
non
è installata. Se è installata, il tipo di servizio è impostato su Active Directory.
ldap_enable_tls
No
Facoltativo. Consente di specificare se il protocollo TLS (Transport Layer Security) è attivato durante l'elaborazione LDAP.
Verifica dell'integrazione con LDAP
Dopo aver installato le opzioni LDAP necessarie, gli utenti di CA SDM possono importare i dati LDAP caso per caso, eliminando in questo modo la necessità di inserire manualmente tutti i campi degli attributi del contatto.
Per verificare che sia possibile cercare ed importare i record LDAP
  1. Selezionare File, Nuovo contatto da LDAP nella scheda Service Desk.
    Viene visualizzata la finestra Ricerca Directory LDAP.
  2. Specificare i criteri del filtro e fare clic su Cerca. Ad esempio, è possibile immettere b% nel campo Cognome per recuperare un elenco di utenti LDAP i cui cognomi iniziano con la lettera B.
    Se la directory LDAP contiene migliaia di voci e non si limita la ricerca, la richiesta potrebbe tentare il recupero di
    tutti
    i record utente della directory LDAP. Ciò può causare il timeout della richiesta e la restituzione di zero record.
    Vengono visualizzati i risultati di ricerca corrispondenti ai criteri di filtro.
  3. Selezionare una voce.
    Viene visualizzata la finestra Crea nuovo contatto, che contiene i valori degli attributi LDAP importati.
  4. Fare clic su Salva.
    Viene creato il record contatto.
Per verificare che sia possibile aggiornare un contatto utilizzando i dati LDAP
Prima di eseguire questa procedura, per scopi di test potrebbe essere necessario utilizzare uno strumento di modifica LDAP disponibile per modificare uno o più valori di attributi nella voce utilizzata per la procedura precedente. È possibile verificare se il contatto è aggiornato con i dati LDAP più recenti.
  1. Selezionare Ricerca, Contatti nella scheda Service Desk.
    Viene visualizzata la finestra Ricerca contatto.
  2. Specificare i criteri di filtro per la ricerca di un contatto con una voce utente LDAP corrispondente. È ad esempio possibile cercare il contatto creato nella procedura precedente.
    Vengono visualizzati i risultati di ricerca corrispondenti ai criteri di filtro.
  3. Selezionare il contatto da aggiornare con i dati LDAP.
    Viene visualizzata la pagina Dettagli contatto contenente le informazioni sul contatto di CA SDM.
  4. Fare clic su Modifica.
    Viene visualizzata la pagina Aggiorna contatto.
  5. Fare clic su Unisci LDAP.
    Viene visualizzata la pagina Elenco Voci LDAP contenente l'elenco di tutte le voci utente LDAP corrispondenti al contatto selezionato di CA SDM.
    Per cercare altre voci nella directory LDAP, è possibile fare clic su Mostra filtro, specificare i criteri di filtro e fare clic su Cerca.
    Se la directory LDAP contiene migliaia di voci e non si limita la ricerca, la richiesta potrebbe tentare il recupero di
    tutti
    i record utente della directory LDAP. Ciò può causare il timeout della richiesta e la restituzione di zero record.
  6. Fare clic sulla voce LDAP desiderata.
    Viene visualizzata la pagina Dettagli LDAP contenente i valori di attributo relativi alla voce selezionata. Verificare di aver selezionato la voce corretta per il contatto da aggiornare, quindi fare clic su Chiudi finestra.
  7. Nella pagina Elenco Voci LDAP fare clic con il pulsante destro del mouse sulla voce che meglio corrisponde al contatto da aggiornare e scegliere Unisci nel contatto.
    Viene nuovamente visualizzata la pagina Aggiorna del contatto contenente i valori di attributo LDAP correnti. Se i dati LDAP sono stati modificati dalla creazione o dall'ultimo aggiornamento del contatto, le modifiche vengono applicate anche ai campi degli attributi del contatto.
    Se è stata installata l'opzione ldap_sync_on_null e la voce LDAP contiene valori Null per i campi degli attributi che corrispondono agli attributi del contatto che attualmente contengono valori, i valori del record contatto vengono sovrascritti con i valori Null al momento del salvataggio dei dati del contatto.
  8. Fare clic su Salva nella pagina Aggiorna del contatto.
    Il contatto viene aggiornato con i dati LDAP corrispondenti.
Creazione di un contatto
HID_CreateaContact
Un contatto è una persona che utilizza il sistema regolarmente, ad esempio un analista o un cliente. Una volta creati la struttura aziendale e i gruppi, creare i contatti ed eseguirne il mapping alla rispettiva posizione e organizzazione.
È possibile creare contatti nei modi seguenti:
Creazione di un contatto mediante i dati LDAP
Se l'installazione è configurata per accedere a un server LDAP (Lightweight Directory Access Protocol) come Microsoft Windows Active Directory e sono installate le opzioni necessarie, è possibile creare e aggiornare i contatti utilizzando i dati del database LDAP. Questo metodo facilita la sincronizzazione dei contatti con i dati utente di rete.
Gli amministratori possono configurare la sincronizzazione automatica dei contatti con i dati LDAP.
Attenersi alla seguente procedura:
  1. Selezionare File, Nuovo contatto da LDAP nella barra dei menu della scheda Service Desk.
    Viene visualizzata la pagina Ricerca directory LDAP.
  2. (Facoltativo) Compilare uno o più dei seguenti campi per limitare l'elenco delle voci LDAP ai record desiderati:
    • Cognome
      Specifica il cognome dell'utente così come visualizzato nella directory LDAP. Ad esempio, è possibile immettere b% nel campo Cognome per recuperare un elenco di utenti LDAP i cui cognomi iniziano con la lettera B.
    • Nome
      Consente di specificare il nome dell'utente così come compare nella directory LDAP.
    • Secondo nome
      Consente di specificare il secondo nome dell'utente così come compare nella directory LDAP.
    • ID utente
      Consente di specificare il nome utente per l'accesso al sistema.
  3. Fare clic su Cerca.
    La pagina Elenco voci LDAP mostra i record corrispondenti ai criteri di ricerca specificati.
    Per visualizzare le informazioni contenute in un record LDAP senza creare un contatto, fare clic con il pulsante destro del mouse sul record desiderato e selezionare Visualizza. Viene visualizzata la pagina dei dettagli della voce LDAP.
    Tutti i campi della pagina dei dettagli di una voce LDAP non necessitano di spiegazione, ad eccezione dei campi seguenti:
    • ID utente
      Consente di specificare l'ID immesso dall'utente per accedere al sistema.
    • Nome distinto
      Consente di specificare il nome completo per l'accesso a LDAP. Ad esempio, CN=Joe, CN=Users, DC=KLAND, DC=AD, DC=com.
  4. Fare clic sulla voce LDAP per creare un contatto.
    Viene visualizzata la pagina Crea Nuovo contatto, parzialmente compilata con le informazioni LDAP.
  5. Immettere eventuali informazioni aggiuntive.
  6. Fare clic su Salva.
    Il record contatto viene salvato e compare la pagina Dettagli contatto. Diventano disponibili i pulsanti riportati di seguito per configurare il contatto.
    • Aggiorna ambiente
      -- Consente di visualizzare la finestra Elemento della configurazione/Ricerca asset per il contatto o l'organizzazione, in cui è possibile specificare i criteri di ricerca per gli asset che si desidera considerare. Quando si fa clic su Ricerca, viene visualizzata la finestra Aggiornamento ambiente, in cui è possibile aggiungere e rimuovere asset per questo contatto o organizzazione.
      Aggiorna gruppi
      -- Consente di visualizzare la finestra Ricerca gruppo, in cui è possibile specificare i criteri di ricerca per i gruppi che si desidera considerare per questo contatto. Quando si fa clic su Ricerca, viene visualizzata la finestra Aggiornamento gruppi, in cui è possibile aggiungere e rimuovere gruppi per questo contatto.
Creazione automatica di un contatto
È possibile configurare CA SDM per la creazione automatica di un contatto da un record utente LDAP corrispondente quando un nuovo utente accede a CA SDM.
Per attivare questa funzionalità, installare tutte le opzioni LDAP richieste più l'opzione ldap_enable_auto.
Il record di contatto viene creato automaticamente come segue:
  1. Se un utente che accede a CA SDM non dispone ancora di un record di contatto, ma il suo nome di accesso è già presente in un record LDAP, i dati LDAP vengono importati automaticamente e viene così creato un record di contatto.
  2. Il record di contatto creato automaticamente eredita le impostazioni di protezione predefinite relative al tipo di accesso.
  3. Al contatto può quindi essere assegnato in modo esplicito un tipo di accesso o il tipo di accesso può essere assegnato sulla base dell'appartenenza dell'utente ad un gruppo LDAP.
Questo processo è completamente trasparente all'utente, è infatti simile a qualsiasi altra sessione di accesso.
Creazione manuale dei contatti
Se non si desidera utilizzare una directory attiva come LDAP per le informazioni relative ai contatti, è possibile creare i contatti manualmente in CA SDM.
In caso di abilitazione dell'opzione multi-tenancy, selezionare il tenant appropriato dall'elenco a discesa.
Attenersi alla seguente procedura:
  1. Selezionare File, Nuovo contatto dalla barra dei menu nel Contatore.
    Viene visualizzata la finestra Crea nuovo contatto.
  2. Completare i campi contatto.
  3. Fare clic su Salva.
    Le informazioni sul contatto vengono salvate.
Campi Contatto
Tenant
Specifica il tenant che viene associato al contatto (per installazioni con più tenant).
Contact ID
Specifica un identificatore univoco per il contatto. Se si utilizza l'autenticazione dell'utente predefinito, il valore in questo campo viene utilizzato come password quando l'utente effettua l'accesso.
ID utente
Specifica il nome utente del contatto. Il contatto utilizza questo valore per accedere al sistema.
Tipo di servizio
Specifica il livello del servizio di assistenza ricevuto dal contatto.
Partizione dati
Specifica la partizione dati del contatto. Questo valore determina i record a cui può accedere il contatto.
Tipo di accesso
Specifica il tipo di accesso. Il tipo di accesso determina le funzioni di sistema a cui può accedere il contatto.
Disponibile
Indica se il contatto è disponibile per assegnazioni di ticket.
Conferma salvataggio self-service
Indica se il contatto riceve una conferma quando si salva un record dall'interfaccia self-service.
Gruppo tenant dell'analista
(Solo Tipo di contatto Analista) Specifica il gruppo di tenant di cui è responsabile l'analista.
Per configurare il contatto, utilizzare i controlli seguenti disponibili nelle schede.
Notifica
Definisce le informazioni di contatto e il metodo di notifica del contatto.
    • Selezionare il metodo di notifica dall'elenco a discesa (Posta elettronica, Notifica, Posta elettronica_cercapersone o xMatters/Posta elettronica) da utilizzare per il livello di urgenza di ogni messaggio per il contatto.
      CA SDM supporta solo un metodo di notifica alla volta. Se si utilizza la posta elettronica, non è possibile utilizzare contemporaneamente Notifica. Questo vale per tutti i metodi di notifica forniti, quali ad esempio Posta elettronica, Notifica, Posta elettronica_cercapersone, xMatters/Posta elettronica/xMatters/Notifica e xMatters/Posta elettronica_cercapersone.
      Gli amministratori di CA SDM devono aggiornare manualmente il metodo di notifica nella pagina dei dettagli di contatto se l'integrazione di xMatters e CA SDM è disabilitata. Per ulteriori informazioni, consultare l'articolo Gestione opzioni di xMatters.
    • Selezionare il turno valido per ciascun livello di notifica di urgenza.
Ad esempio, si può assegnare un turno Normale (cinque giorni a settimana per otto ore al giorno) alle notifiche di livello normale e un turno di 24 ore alle notifiche con livello di emergenza.
Indirizzo
Specifica l'indirizzo del contatto.
Informazioni organizzazione
Specifica l'organizzazione funzionale o amministrativa, il reparto, il centro di costo o le informazioni sul vendor del contatto.
Ambiente
Specifica l'ambiente del contatto, ad esempio apparecchiature, software e servizi.
Gruppi
Consente di assegnare un contatto a un gruppo, ovvero a una raccolta di contatti con un'area comune di responsabilità.
Ruoli
Consente di assegnare il contatto a uno o più ruoli.
Contratti del servizio
Visualizza eventuali contratti del servizio associati al contatto.
Gestione speciale
Elenca i contatti di gestione speciale e consente di cercare e associare un contatto, ad esempio un visitatore o un contatto con un tipo di rischio di protezione, a un tipo di gestione speciale.
Registro eventi
Elenca gli eventi associati al contatto, ad esempio attività di self-service o della conoscenza.
Attività
Visualizza il registro delle attività per il contatto.
Unione dei contatti mediante LDAP
È possibile sincronizzare i contatti esistenti con i dati LDAP correnti.
Attenersi alla seguente procedura:
  1. Selezionare Ricerca, Contatti nel Contatore.
    Viene visualizzata la pagina Ricerca contatto.
  2. Compilare i campi di filtro in modo appropriato oppure lasciarli tutti vuoti per visualizzare un elenco di tutti i contatti, quindi fare clic su Cerca.
    Viene visualizzata la pagina Elenco contatti.
  3. Far clic sul contatto da modificare.
    Viene visualizzata la pagina Dettagli del contatto.
  4. Fare clic su Modifica.
    Viene visualizzata la pagina Aggiorna del contatto.
  5. Fare clic su Unisci LDAP.
    Viene visualizzata la pagina Elenco voci LDAP. Se il contatto che si sta modificando ha un record LDAP corrispondente, questo compare nella pagina.
  6. Fare clic sulla voce LDAP.
    Viene visualizzata la pagina Dettagli LDAP.
  7. Fare clic su Chiudi finestra dopo aver verificato che la pagina Dettagli LDAP contiene i dati per l'utente corretto.
  8. Nella pagina Elenco voci LDAP, fare clic con il pulsante destro del mouse sulla voce relativa al contatto che si sta aggiornando e selezionare Unisci nel contatto.
  9. Fare clic su Salva nella pagina Aggiorna del contatto.
Assegnazione dei tipi di accesso tramite i gruppi LDAP
HID_AssignAccessTypesLDAPGroup
Assegnare automaticamente i valori del tipo di accesso ai contatti con un server LDAP (Lightweight Directory Access Protocol).
Per abilitare questa funzionalità, installare le opzioni ldap_enable_group e ldap_group_object_class.
Attenersi alla procedura seguente:
  1. Selezionare Gestione ruoli e protezione, Tipi accesso nella scheda Amministratore.
  2. Selezionare il tipo di accesso da associare a un gruppo LDAP. Ad esempio, selezionare Amministrazione.
    Se l'opzione ldap_enable_group è installata, nella scheda Autenticazione Web compare il campo Gruppo accesso LDAP.
    Se un gruppo LDAP è già associato al tipo di accesso selezionato, viene visualizzato un collegamento a Dettagli gruppo LDAP. Fare clic sul collegamento per visualizzare una descrizione di sola lettura del gruppo LDAP e un elenco dei suoi membri.
  3. Fare clic su Modifica nella pagina Dettagli tipo accesso per associare un tipo di accesso a un gruppo LDAP.
  4. Fare clic sul collegamento Gruppo accesso LDAP.
  5. (Facoltativo) Immette i criteri di filtro per limitare la ricerca ai gruppi LDAP desiderati.
  6. Selezionare il gruppo LDAP da associare al tipo di accesso.
  7. Fare clic su Salva.
    L'associazione del gruppo LDAP selezionato al tipo di accesso è completa.
Mapping degli attributi
I valori degli attributi dei record di contatto in CA SDM vengono sincronizzati con i valori degli attributi utente LDAP in base alle definizioni di mapping degli attributi presenti nel file $NX_ROOT/bopcfg/majic/ldap.maj.
Il mapping viene illustrato dal seguente estratto da ldap.maj. I nomi attributo nella colonna sinistra (id) sono i nomi attributo dei contatti di CA SDM. La colonna centrale (distinguishedName) contiene i nomi degli attributi LDAP corrispondenti.
id distinguishedName STRING 512; last_name sn,pzLastName STRING ; first_name givenName,pzFirstName STRING ; middle_name initials,pzMiddleName STRING ; userid uid,sAMAccountName,pzUserName STRING ; phone_number telephoneNumber,pzWorkPhoneNumber STRING ;
Se esiste un attributo SREL (una singola relazione o chiave esterna in un'altra tabella del database) in CA SDM, il valore attributo del contatto viene sincronizzato con il valore LDAP corrispondente. Se l'attributo SREL non esiste, non viene creato automaticamente durante l'elaborazione della sincronizzazione LDAP.
Per impostazione predefinita, il mapping degli attributi viene configurato per lo schema LDAP di Microsoft Active Directory. Se necessario, è possibile modificare il mapping utilizzando un file mod.
Modalità di modifica dell'associazione dell'attributo
È possibile modificare l'associazione dell'attributo predefinita.
Per modificare l'associazione dell'attributo predefinita, attenersi alla procedura seguente:
  1. Accedere a $NX_ROOT/site/mods/majic e aprire il file mod.
  2. Utilizzare le istruzioni MODIFY nel file mod, come descritto di seguito.
    • Le istruzioni MODIFY devono sempre trovarsi in prima posizione nel file.
    • Dopo le istruzioni MODIFY, tutti i campi aggiuntivi che non si trovano nel file ldap.maj devono essere inseriti utilizzando la sintassi mostrata nel seguente esempio.
    • Se si definisce un campo che contiene un trattino nel nome attributo, il nome deve essere inserito tra virgolette. In caso contrario, quando si crea il file mod l'attributo causerà un errore di sintassi. Il nome attributo seguente deve ad esempio essere inserito tra virgolette:
      c_nx_string1 'swsd-secret-question' STRING ;
  3. Salvare e chiudere il file mod.
  4. Riavviare il servizio di CA SDM.
    Se viene rilevata una differenza nella sintassi o nell'uso di maiuscole e minuscole, il motore Web non viene avviato.
    Le modifiche diventano effettive.
Esempio: utilizzo delle istruzioni MODIFY
L'esempio seguente mostra come modificare due campi e aggiungere un campo nuovo:
// // Map CA SDM userid attribute to ADAM Userid // MODIFY ldap userid cn ; MODIFY ldap middle_name middleName ; OBJECT ldap LDAP { ATTRIBUTES LDAP_Entry{ contact_num employeeNumber STRING ; }; } ;
Utilizzo dei dati LDAP per la comunicazione in CA SDM
LDAP (Lightweight Directory Access Protocol)
è un protocollo per le comunicazioni di rete che consente di eseguire query e di apportare modifiche ai servizi directory in esecuzione su una rete TCP/IP. Una directory LDAP è una struttura ad albero che contiene voci per la gestione di utenti, gruppi, computer, stampanti ed altre entità in una rete.
È possibile configurare CA SDM per accedere a una directory LDAP, la quale consente di utilizzare i dati LDAP in diversi modi:
  • Sincronizzare i contatti con i record utente LDAP. La sincronizzazione può verificarsi nei seguenti modi:
    • Al momento dell'accesso
      : quando un utente accede al prodotto, se esiste un record LDAP per tale utente ma non un record contatto corrispondente, ne viene automaticamente creato uno in base alle informazioni LDAP.
    • Nuovo contatto
      --
      quando si crea manualmente un record contatto, è possibile selezionare un record LDAP e unirne i valori di attributo ai relativi campi corrispondenti nel nuovo record contatto.
    • Aggiornamento in batch
      : è possibile eseguire processi batch per rendere automatiche le operazioni di importazione e aggiornamento dei record contatto con le informazioni provenienti dai record LDAP corrispondenti.
      La sincronizzazione con LDAP è un processo unidirezionale. I dati LDAP possono essere utilizzati per creare ed aggiornare i contatti, ma il prodotto non supporta aggiornamenti alla directory LDAP.
  • Assegnare i tipi di accesso di CA SDM in base all'appartenenza ai gruppi LDAP.
  • Implementare un metodo alternativo di esecuzione dell'autenticazione di CA SDM.
Il componente ldap_virtb fornisce funzionalità di integrazione LDAP sui server seguenti a seconda della configurazione di CA SDM in uso, indipendentemente dal tipo di sistema operativo:
  • Convenzionale: server primario o secondario.
  • Disponibilità avanzata: server applicazioni o server in background.
Nel file $NX_ROOT/bopcfg/majic/ldap.maj è specificata l'associazione tra gli attributi LDAP e gli attributi dei record contatto.
In CA SDM è necessario che i record LDAP contengano una voce nel campo del cognome che consente di cercare, visualizzare e importare i dati LDAP.
CA SDM supporta la
ricerca per pagina
, che consente di ricercare tutti i record nella directory LDAP. La ricerca per pagina consente inoltre di importare i nuovi record contatto o i record contatto sincronizzati esistenti da qualsiasi numero di record LDAP. Queste funzionalità sono limitate, tuttavia, se si utilizza Sun Java System Directory Server o Novell eDirectory in quanto i server LDAP non supportano le ricerche per pagina. In tal caso, è solo possibile cercare, importare ed eseguire la sincronizzazione con il numero di record LDAP specificato da NX_LDAP_MAX_FETCH. Per ulteriori informazioni sulle ricerche per pagina, consultare il file NX.env.
Assegnazioni del tipo di accesso dai gruppi LDAP
È possibile configurare CA SDM per l'assegnazione automatica dei valori per il tipo di accesso ai contatti, in base all'appartenenza ai gruppi LDAP. Con l'assegnazione automatica del tipo di accesso abilitata, se un record utente LDAP utilizzato per creare un contatto appartiene a un gruppo LDAP associato ad uno dei tipi di accesso di CA SDM, al contatto viene assegnato automaticamente quel tipo di accesso. In caso contrario, il contatto eredita il tipo di accesso predefinito.
Per abilitare l'assegnazione automatica del tipo di accesso, è necessario installare le opzioni ldap_enable_group e ldap_group_object_class.
Per ulteriori informazioni, consultare la sezione Configurazione delle opzioni LDAP.
Autenticazione tramite LDAP
È possibile utilizzare LDAP per autenticare gli utenti che accedono a CA SDM. L'autenticazione LDAP è disponibile quando il componente di autenticazione CA EEM è integrato con CA SDM e sostituisce il metodo di convalida predefinito eseguito dal sistema operativo host. L'autenticazione LDAP è valida solo quando CA EEM è configurato per l'uso di una directory LDAP esterna ed è stata selezionata l'autenticazione SO come tipo di convalida dell'utente in un record Tipo di accesso.
Quando una funzionalità di CA EEM è attivata, le richieste di accesso vengono controllate con il server di CA EEM. Una richiesta di accesso viene autorizzata solo se si verifica quanto segue.
  • L'ID utente specificato corrisponde ad un record contatto di CA SDM.
  • L'ID utente corrisponde a un profilo utente in CA EEM.
  • CA EEM convalida la combinazione ID utente/password.
Per ulteriori informazioni sull'utilizzo di CA EEM per l'autenticazione e per il trasferimento del modulo di autenticazione a un server esterno, consultare la sezione spostamento del modulo di autenticazione su un server esterno. Consultare anche la sezione Assegnazione dei tipi di accesso tramite i gruppi LDAP.
Transport Layer Security
È possibile configurare CA SDM per l'uso di TLS (Transport Layer Security) durante l'elaborazione LDAP. TLS, un protocollo per le comunicazioni protette, rappresenta il successore di SSL v3 (Secure Socket Layer) nell'ambito della protezione. Per abilitare tale protocollo è necessario installare l'opzione ldap_enable_tls.
Se questa funzione è abilitata, tutte le comunicazioni tra CA SDM e il server LDAP server sono crittografate. Se invece
non
è abilitata, tutte le comunicazioni di dati, inclusi l'account e la password amministrativi utilizzati per accedere al server LDAP, vengono inviati in testo non crittografato.
Per informazioni sulla configurazione di TLS, fare riferimento alla documentazione relativa al sistema operativo e al server LDAP. Installare manualmente le opzioni LDAP utilizzando Gestione opzioni dell'interfaccia Web. Per ulteriori informazioni, consultare la sezione Configurazione delle opzioni LDAP.