Durchsuchbare Dokumentation aufrufen | Zurück zur Dokumentationsübersicht

Navigation: Dokumentationen agorum core > agorum core Module und Plugins > Directory Sync

Directory Sync einrichten

Hinweis: Diese Dokumentation bezieht sich auf die aktuellste Version des Plugins agorum core directory sync. Aktualisieren Sie das hier beschriebene Plugin, um die Dokumentation verwenden zu können.

Diese Dokumentation führt Sie Schritt für Schritt durch die erstmalige Einrichtung einer Verzeichnissynchronisierung. Außerdem erfahren Sie, wie Sie vorhandene Konfigurationen bearbeiten, deaktivieren oder löschen können.

Nach dem Installieren des Plugins können Sie dazu folgende Einstellungen in der Administration des Plugins in der Kopfleiste unter > Administration > Konfiguration > Verzeichnissynchronisierung vornehmen.

Einstellmöglichkeiten

Jede Konfiguration für eine Verzeichnissynchronisierung besteht aus folgenden Angaben:

Konfigurationsangaben: Name, Aktivstatus
Logindaten für die Anmeldung beim Verzeichnisdienst
Regeln für die Synchronisierung

Übersicht über die Bedienoberfläche

Synchronisierungskonfiguration

Bereich	Feld/Schaltfläche	Beschreibung
Einstellungen für die Konfiguration	Dieser Bereich enthält allgemeine Angaben zur Konfiguration.
	Konfig-Name	Name der Konfiguration. Erlaubt sind alphanumerische Zeichen und Unterstrich (_). Beispiel: AD_Hauptstandort
	Konfig aktiv	Checkbox zum Aktivieren/Deaktivieren der Konfiguration. Hinweis: Nur aktive Konfigurationen werden bei der automatischen Synchronisierung berücksichtigt.
	Hilfe-Icon	Aufrufen der Dokumentation für die Verzeichnissynchronisierung
Logindaten	Dieser Abschnitt enthält alle Felder für die Verbindung zum Directory Service.
	Server	URL des Verzeichnisservers. ldap(s):// sowie Port werden (wenn nicht explizit angegeben) automatisch erkannt. Format: ldap(s)://<IP-Adresse oder Hostname des Domänencontrollers> Unterstützte Protokolle: ldap:// - Unverschlüsselte Verbindung (Standard-Port 389) ldaps:// - Verschlüsselte Verbindung (Standard-Port 636, SSL muss im Directory Service aktiviert sein) Beispiele: ldap://192.168.1.10 ldaps://dc01.firma.local
	Zertifikatsherkunft ignorieren	Checkbox zum Ignorieren der SSL-Zertifikatsprüfung. Tipp: Aktivieren Sie diese Option nur bei selbstsignierten Zertifikaten in Testumgebungen. In Produktivumgebungen sollten Sie gültige SSL-Zertifikate verwenden.
	Domain	Der vollständige Domänenname (FQDN). Beispiel: firma.local
	Benutzername	Der Administrator- oder Service-Benutzer im LDAP-Format (Distinguished Name). Sie können jeden Benutzer verwenden, der Rechte besitzt, um alle notwendigen Attribute aus dem Directory Service lesen zu können. Siehe Den Benutzernamen im LDAP-Format im Active Directory herausfinden Beispiel: CN=svc_agorum,OU=Service-Accounts,DC=firma,DC=local
	Passwort	Das Passwort des angegebenen Benutzers. Das Passwort wird verschlüsselt gespeichert.
	Auth.-Methode	Wählen Sie die Authentifizierungsmethode: automatisch erkennen - Das System versucht automatisch, die passende Authentifizierungsmethode zu ermitteln (empfohlen) Simple Authentication - Standard-LDAP-Authentifizierung mit Benutzername und Passwort Kerberos (GSSAPI) - Kerberos-basierte Authentifizierung für Single Sign-On Siehe Passwort-Authentifizierung
Regeln	Nachdem Sie die Logindaten hinterlegt haben und mit dem Verzeichnisdienst verbunden sind, können Sie Regeln für die Datensynchronisierung erstellen. Mit dem Symbol erstellen Sie eine neue Regel. Sie können mehrere Regeln hinterlegen. Nach der Erstellung können Sie jede Regel in der Regelliste über folgende Schaltflächen bedienen: (Stift-Symbol) Bearbeiten der Regel, öffnet das Bearbeitungsfenster (Pfeil nach oben-Symbol) Verschiebt die Regel in der Liste nach oben (Pfeil nach unten-Symbol) Verschiebt die Regel in der Liste nach unten (Papierkorb-Symbol) Löscht die Regel
Aktionsschaltflächen	Am unteren Rand des Dialogs befinden sich die folgenden Aktionsschaltflächen: Links: Synchronisieren zum manuellen Synchronisieren der Daten Log anzeigen zum Öffnen der Log-Anzeige im Support-Tools Rechts: Konfiguration löschen (nur bei bereits gespeicherten Konfigurationen): Löschen der Konfiguration für die Verzeichnissynchronisierung Konfiguration speichern Abbrechen: Dialog ohne Speichern verlassen

Synchronisierungsoptionen

Bevor Sie Synchronisierungsregeln erstellen, müssen Sie festlegen, was synchronisiert werden soll.

Die Oberfläche zur Regelverwaltung ist wie folgt aufgebaut:

Oben: Synchronisierungsoptionen (Radiobuttons) und Checkbox für automatische Gruppensynchronisierung
Links: Directory Service Struktur (LDAP/AD) mit OU-Baum - Hier wählen Sie die Quell-OU oder einzelne Objekte aus
Rechts: Ausgewählte Objekte bzw. Ergebnisse - Zeigt die Objekte an, die synchronisiert werden

Im Dialog zur Regelverwaltung finden Sie oben die Synchronisierungsoptionen:

Option	Beschreibung
Benutzer und Gruppen	Synchronisiert sowohl Benutzer als auch Gruppen aus der ausgewählten Organisationseinheit (OU) im Verzeichnisdienst. Dies ist die Standardoption für eine vollständige Synchronisierung.
Nur Gruppen	Synchronisiert ausschließlich Benutzergruppen aus der ausgewählten OU. Benutzer-Objekte werden ignoriert. Diese Option verwenden Sie, wenn Sie nur Gruppenstrukturen synchronisieren möchten.
Nur Benutzer	Synchronisiert ausschließlich Benutzer aus der ausgewählten OU. Gruppen-Objekte werden ignoriert. Diese Option verwenden Sie, wenn Sie nur Benutzer synchronisieren möchten.
Nur ausgewählte Objekte	Ermöglicht eine manuelle Auswahl einzelner Benutzer oder Gruppen. Sie wählen in der Directory Service Struktur gezielt einzelne Objekte aus, anstatt eine komplette OU zu synchronisieren. Nützlich für Testszenarien oder wenn nur bestimmte Objekte synchronisiert werden sollen.

Neben den Synchronisierungsoptionen finden Sie die Checkbox:

Gruppeninhalt automatisch synchronisieren

Wenn diese Option aktiviert ist, werden die Mitgliedschaften automatisch synchronisiert. Das bedeutet:

Wenn ein Benutzer im Verzeichnisdienst einer Gruppe hinzugefügt wird, wird er automatisch auch in agorum core pro in diese Gruppe aufgenommen.
Wenn ein Benutzer im Verzeichnisdienst aus einer Gruppe entfernt wird, wird er automatisch auch in agorum core pro aus dieser Gruppe entfernt.
Die Gruppenmitgliedschaften bleiben zwischen Verzeichnisdienst und agorum core pro synchron.

Tipp: Aktivieren Sie diese Option in der Regel, um sicherzustellen, dass die Gruppenstrukturen und Berechtigungen zwischen beiden Systemen konsistent bleiben.

Passwort-Authentifizierung

Das Directory Sync Plugin unterstützt verschiedene Methoden zur Passwort-Authentifizierung:

PassThrough-Authentifizierung (Standard)

Die PassThrough-Through-Authentifizierung ist im Standard aktiviert und funktioniert folgendermaßen:

Benutzer melden sich mit ihren Directory Service (AD/LDAP) Zugangsdaten bei agorum core pro an.
agorum core pro leitet die Anmeldedaten zur Prüfung an den Verzeichnisdienst weiter.
Bei erfolgreicher Authentifizierung erhält der Benutzer Zugang zu agorum core pro.
Das Passwort wird nicht in agorum core pro gespeichert.

Bei Verwendung von PassThrough muss sich der Benutzer beim ersten Mal und immer dann, wenn er sein Passwort ändert, einmal an der Weboberfläche von agorum core pro anmelden, damit die Anmeldung für das Laufwerk/agorum core dms drive (SMB/WebDAV) funktioniert.

Kerberos (Single Sign-On)

Für eine vollwertige Single Sign-On (SSO) Lösung können Sie Kerberos einrichten:

Benutzer werden automatisch am Domänencontroller authentifiziert.
Keine separate Anmeldung bei agorum core pro notwendig.
Nahtlose Integration in die Windows-Umgebung.

Die Einrichtung von Kerberos/SSO ist hier beschrieben: SSO über Kerberos einrichten

Einrichten einer neuen Verzeichnissynchronisierung

Voraussetzungen

Sie können agorum core directory sync verwenden, um Benutzer- und Gruppeninformationen aus einem Microsoft Active Directory oder einem LDAP-kompatiblen Verzeichnisdienst zu synchronisieren. Stellen Sie dazu Folgendes sicher:

Netzwerkverbindung: Sie benötigen Zugriff vom agorum core pro Server auf den Directory Service (LDAP-Port 389 oder LDAPS-Port 636).
Berechtigungen: Sie benötigen ein Benutzerkonto im Verzeichnisdienst mit mindestens Leserechten für alle zu synchronisierenden Objekte.
SSL-Zertifikat (optional): Für verschlüsselte LDAPS-Verbindung

Eine neue Verzeichnissynchronisierung erstellen

Gehen Sie wie folgt vor, um eine neue Konfiguration für eine Verzeichnissynchronisierung zu erstellen:

Öffnen Sie > Administration > Konfiguration > Verzeichnissynchronisierung.

Ergebnis: Das Fenster Verzeichnissynchronisierung einrichten öffnet sich.
Klicken Sie auf , um eine neue Konfiguration zu erstellen.

Ergebnis: Das Fenster Neue Konfiguration erstellen öffnet sich.
Geben Sie im Feld Konfig-Name einen Namen für die Konfiguration an. Beispiel: ad.example.com
Wollen Sie die neue Konfiguration sofort aktiv schalten und die Daten automatisch synchronisieren? Wenn nicht, entfernen Sie die Markierung in der Checkbox Konfig aktiv.
Geben Sie die Logindaten für die Anmeldung am Verzeichnisdienst an, siehe Logindaten, und klicken Sie auf Einloggen.

Ergebnis: Das System stellt die Verbindung zum Verzeichnisdienst mit den angegebenen Daten her. Die Beschriftung der Schaltfläche ändert sich von Einloggen zu Logindaten bearbeiten.
Klicken Sie auf , um eine neue Synchronisierungsregel zu erstellen:

1. Wählen Sie die gewünschte Synchronisierungsoption aus.
2. Deaktivieren Sie bei Bedarf die Checkbox Gruppeninhalt automatisch synchronisieren.
3. Navigieren Sie in der linken Baumstruktur zur gewünschten Organisationseinheit (OU) im Directory Service und wählen Sie die OU aus, die synchronisiert werden soll.
Alternativ können Sie auch die Suche verwenden, um die gewünschten Objekte zu finden. Dabei müssen Sie die LDAP-Suchsyntax verwenden, siehe LDAP-Suchsyntax.
Wenn Sie die Synchronisierungsoption Nur ausgewählte Objekte verwenden, müssen Sie die Objekte, die synchronisiert werden sollen, in den Bereich Ausgewählte Objekte verschieben.
4. Klicken Sie Speichern, um die Synchronisierungsregel zu speichern.

Ergebnis: Die neue Synchronisierungsregel wird in der Liste der Regeln angezeigt. Die ausgewählte Synchronisierungsoption erscheint in der Spalte Synchronisierungsoptionen, der Suchfilter wird ggf. in der Spalte Suchfilter angezeigt.
Erstellen Sie bei Bedarf weitere Synchronisierungsregeln.
Klicken Sie auf die Schaltfläche Synchronisieren, um testweise eine manuelle Synchronisierung durchzuführen.

Ergebnis: Das Fenster Hintergrundaktivitäten öffnet sich und zeigt den Fortschritt der Synchronisierung an.

Eine bestehende Konfiguration bearbeiten

Sie können jederzeit bestehende Konfigurationen bearbeiten, um Logindaten zu ändern, Regeln anzupassen oder die Konfiguration zu aktivieren/deaktivieren.

Öffnen Sie > Administration > Konfiguration > Verzeichnissynchronisierung.

Ergebnis: Das Fenster Verzeichnissynchronisierung einrichten öffnet sich mit einer Auswahlliste aller vorhandenen Konfigurationen.
Wählen Sie die Konfiguration aus, die Sie bearbeiten möchten, und klicken Sie auf Bearbeiten.

Ergebnis: Das Bearbeitungsfenster der ausgewählten Konfiguration öffnet sich.
Nehmen Sie die gewünschten Änderungen vor:
Konfigurationsname ändern: Passen Sie den Namen im Feld Konfig-Name an.
Konfiguration aktivieren/deaktivieren: Setzen oder entfernen Sie die Markierung in der Checkbox Konfig aktiv.
Logindaten ändern: Klicken Sie auf Logindaten bearbeiten, nehmen Sie die gewünschten Änderungen vor und klicken Sie Einloggen, um die Verbindung mit den neuen Daten zu testen.
Regeln bearbeiten: Klicken Sie auf das Stift-Symbol neben der Regel, die Sie bearbeiten möchten, und nehmen Sie die Änderungen vor.
Regeln löschen: Klicken Sie auf das Papierkorb-Symbol neben der Regel, die Sie löschen möchten.
Neue Regeln hinzufügen: Klicken Sie auf , um weitere Synchronisierungsregeln zu erstellen.
Reihenfolge der Regeln ändern: Verwenden Sie die Pfeil-Symbole und , um die Reihenfolge der Regeln anzupassen.
Testen Sie die Änderungen durch Klick auf Synchronisieren.

Ergebnis: Das Fenster Hintergrundaktivitäten öffnet sich und zeigt den Fortschritt der Synchronisierung an.
Klicken Sie auf Konfiguration speichern, um die Änderungen zu übernehmen.

Tipp: Bei Änderungen an Logindaten oder Regeln empfiehlt es sich, zunächst eine Testsynchronisierung durchzuführen, bevor Sie die Konfiguration aktivieren.

Eine Konfiguration löschen

Wenn Sie eine Verzeichnissynchronisierung nicht mehr benötigen, können Sie die Konfiguration löschen.

Achtung: Das Löschen einer Konfiguration kann nicht rückgängig gemacht werden. Die bereits synchronisierten Benutzer und Gruppen in agorum core pro bleiben erhalten, werden aber bei künftigen automatischen Synchronisierungen nicht mehr aktualisiert.

Öffnen Sie > Administration > Konfiguration > Verzeichnissynchronisierung.

Ergebnis: Das Fenster Verzeichnissynchronisierung einrichten öffnet sich mit einer Auswahlliste aller vorhandenen Konfigurationen.
Wählen Sie die Konfiguration aus, die Sie löschen möchten, und klicken Sie auf Bearbeiten.

Ergebnis: Das Bearbeitungsfenster der ausgewählten Konfiguration öffnet sich.
Klicken Sie unten rechts auf die Schaltfläche Konfiguration löschen.
Bestätigen Sie im Dialogfenster, dass Sie die Konfiguration wirklich löschen möchten.

Ergebnis: Die Konfiguration wird gelöscht und Sie kehren zur Übersicht der Verzeichnissynchronisierungen zurück.

Hinweis: Alternativ zum Löschen können Sie eine Konfiguration auch einfach deaktivieren, indem Sie die Checkbox Konfig aktiv deaktivieren. So bleibt die Konfiguration erhalten und kann später wieder aktiviert werden.

Tipps und Hintergrundinformationen

Den Benutzernamen im LDAP-Format im Active Directory herausfinden

So finden Sie den vollständigen Distinguished Name (DN) eines Benutzers im Active Directory:

Öffnen Sie im Active Directory die Konsole Active Directory-Benutzer und -Computer.
Aktivieren Sie im Menü Ansicht die Erweiterten Features.
Doppelklicken Sie auf den gewünschten Benutzer.
Öffnen Sie die Registerkarte Attribut-Editor.
Suchen Sie das Attribut distinguishedName – dies ist der vollständige LDAP-Pfad des Benutzers.
Kopieren Sie diesen Wert und tragen Sie ihn im Feld Benutzer ein.

LDAP-Suchsyntax (Filter)

LDAP-Filter werden verwendet, um Objekte im Directory Service zu suchen und zu filtern. Die Filtersyntax ist in RFC 4515 definiert.

Grundlegende Syntax

Ein LDAP-Filter wird immer in Klammern gesetzt und besteht aus einem Attribut, einem Operator und einem Wert:

(attribut=wert)

Vergleichsoperatoren

Operator	Bedeutung	Beispiel	Beschreibung
=	Gleichheit	(cn=Max Mustermann)	Exakte Übereinstimmung
=*	Vorhanden	(mail=*)	Attribut existiert (beliebiger Wert)
=wert*	Beginnt mit	(cn=Max*)	Attribut beginnt mit 'Max'
=*wert	Endet mit	(mail=*@firma.local)	Attribut endet mit '@firma.local'
=wert	Enthält	(cn=Muster)	Attribut enthält 'Muster'
>=	Größer oder gleich	(uidNumber>=1000)	Numerischer Vergleich
<=	Kleiner oder gleich	(uidNumber<=9999)	Numerischer Vergleich
~=	Ungefähr gleich	(cn~=Musterman)	Phonetische oder Ähnlichkeitssuche (serverabhängig)

Logische Operatoren

Mehrere Filter können mit logischen Operatoren verknüpft werden:

Operator	Bedeutung	Beispiel	Beschreibung
&	UND	(&(objectClass=user)(cn=Max*))	Beide Bedingungen müssen erfüllt sein
\|	ODER	(\|(cn=Max)(cn=Moritz))	Mindestens eine Bedingung muss erfüllt sein
!	NICHT	(!(userAccountControl=514))	Negation der Bedingung

Praktische Beispiele

// Alle Benutzer finden
(objectClass=user)

// Alle Gruppen finden
(objectClass=group)

// Benutzer mit E-Mail-Adresse
(&(objectClass=user)(mail=*))

// Benutzer, deren Name mit 'M' beginnt
(&(objectClass=user)(cn=M*))

// Alle Benutzer außer Administratoren
(&(objectClass=user)(!(cn=Administrator)))

// Benutzer mit einem bestimmten Vor- und Nachnamen
(&(givenName=Max)(sn=Mustermann))