Best Practice zum Aufbau eines AD LDAP-Verzeichnisses

Editionen: ViMP Corporate
Versionen: 2.5.0+

Für den Aufbau des LDAP-Verzeichnisses empfehlen wir folgendes Vorgehen:

Es sollte eine eigene Organizational Unit (OU) für die Gruppen von ViMP im LDAP-Verzeichnis angelegt sein, in der auch nur die ViMP-LDAP-Gruppen enthalten sind. Nachfolgend sollte die LDAP Gruppenbasis (ldap_base_group) dann auf diese OU gesetzt werden. Somit werden im ViMP-Backend bei der Zuordnung der LDAP-Gruppen zu ViMP-Rollen auch nur noch diese Gruppen angezeigt, z.B:

ou=vimp,dc=subdomain,dc=domain,dc=tld

Um zu verhindern, dass alle Benutzer des LDAP-Verzeichnisses sich bei ViMP anmelden können, ist es ratsam, eine neue LDAP-Gruppe anzulegen, der man dann die Benutzer zuweisen kann. Dann kann man den Wert für den LDAP Benutzerfilter (ldap_user_filter) entsprechend anpassen, wodurch nur noch die Benutzer dieser Gruppe gefunden werden, z.B.:

(&(objectClass=user)(memberOf=cn=vimpusers,ou=vimp,dc=subdomain,dc=domain,dc=tld))

Sie können natürlich auch die schon vorhanden Gruppen für die ViMP-Rollen aus der OU nutzen. So sparen Sie sich eine zusätzliche Rolle, aber der Wert für den LDAP Benutzerfilter (ldap_user_filter) muss dann für die Gruppen entsprechend angepasst werden, z.B.:

(&(objectClass=user)(|(memberOf=cn=vimpadmins,ou=vimp,dc=subdomain,dc=domain,dc=tld)(memberOf=cn=vimpmods,ou=vimp,dc=subdomain,dc=domain,dc=tld)(memberOf=cn=vimpusers,ou=vimp,dc=subdomain,dc=domain,dc=tld)))

 

Zuletzt aktualisiert am 02.03.2017 von Admin.

Zurück