Authentisierung via LDAP Server

Produktlinien: Standard, Expert
Module: Leistung & CRM
Erstellt: 14.11.2016, Änderung: 25.04.2016
Stehende Verbindung des CloudServers zum LDAP Server wurde mit 6.1.0.11 aufgehoben
Mehr ansehen

Ab Version 6.1 ist es möglich, Benutzer in Vertec mit Usern in einem LDAP Server (z.B. Active Directory) zu koppeln. Voraussetzung dafür ist ein korrekt konfigurierter LDAP-Server. Die Verantwortung hierfür liegt beim Kunden. Beim Login in Vertec kann sich der Benutzer dann mit seinem Usernamen und Passwort aus LDAP anmelden. Dafür gibt es in den Systemeinstellungen Authentisierung eine Reihe von Properties:

LDAP AdministratorHier muss ein Vertec Bearbeiter als LDAP Administrator hinterlegt werden. Zur Auswahl stehen alle Vertec Administratoren. Dieser User wird immer direkt über sein Vertec Login authentisiert. Ein Zugriff auf Vertec ist für den Admin somit auch ohne verfügbaren LDAP Server möglich.
LDAP Authentisierung über DomainDer Domain Name, über welchen die User sich authentisieren können.
LDAP Server AdresseDie Server Adresse des LDAP Servers ohne Port.
LDAP Server PortDer Port auf welchem der LDAP Server zu erreichen ist. Falls leer, wird der Default Port 636 genommen.
LDAPS Zertifikat-Fingerabdruck

Der Fingerabdruck des LDAP Server Zertifikats. Stimmt dieser Fingerabdruck nicht mit dem Fingerabdruck beim Verbinden mit dem LDAP Server überein, wird die Verbindung verweigert.

Um den Fingerabdruck des Zertifikats in Vertec einzutragen, klicken Sie doppelt auf das Zertifikat (.cer File), Reiter Details, Feld Fingerabdruck. Wenn Sie den Eintrag selektieren, wird im unteren Bereich der Wert zum kopieren dargestellt. Hinweis: Selektiert man den ganzen String im unteren Bereich, kommen unsichtbare Unicode Charactere mit - siehe ?https://support.microsoft.com/en-us/kb/2023835. Wird dieser String ins Vertec kopiert, kommt zu Beginn des Strings ein Fragezeichen. Dieses muss gelöscht werden, sonst schlägt der Fingerabdruckvergleich fehl.

Es gelten folgende Richtlinien:

  • Die Kopplung an den Vertec User geschieht über das Member loginName auf dem Projektbearbeiter. Dieser muss dem Domain Usernamen entsprechen.
  • Damit die Authentisierung an den LDAP Server delegiert werden kann, müssen diese vier Systemeinstellungen gesetzt sein:
    • LDAP Administrator
    • LDAP Server Adresse
    • LDAP Authentisierung über Domain
    • LDAPS Zertifikat-Fingerabdruck

    Ist eine dieser Einstellungen nicht gesetzt, geschieht die Authentisierung über die Vertec Logins.

  • Ausnahme ist der als LDAP Administrator hinterlegte User - dieser wird immer über das Vertec Login authentisiert. Das geschieht wie folgt: Desktop App bzw. Cloud Server suchen sich den Loginnamen des hinterlegten LDAPAdmin Users. Möchte sich ein User mit diesem Loginnamen einloggen, werden Username und Passwort direkt mit der Vertec Datenbank abgeglichen.
  • Es sind nur sichere Verbindungen über SSL/TLS zugelassen.
  • Sind lokal Anmeldedaten hinterlegt (siehe Angemeldet bleiben), so haben diese Vorrang vor der Anmeldung via LDAP Server (da gar kein Login kommt).

Änderungen an den Systemeinstellungen werden in der Cloud App und der Web App erst nach dem Neustart des Cloud Servers aktiv. Die Desktop App muss ebenfalls neu gestartet werden (Abmelden reicht nicht).

Steigt der Host oder der LDAP Server während des Betriebs des Cloud Servers aus, wird den Usern bei einem Authentisierungsversuch angezeigt, dass der Authentisierungsserver nicht erreichbar ist. Wird der LDAP Server wieder erreichbar, verbindet sich der Cloud Server transparent wieder. In diesem Fall besteht keine Notwendigkeit, den Cloud Server neu zu starten.

Es gibt Fälle, wo die Verbindung zum LDAP Server nach längerer Inaktivität unterbrochen wird. Bei Verwendung von Azure Active Directory ist dies zum Beispiel nach 4 Minuten der Fall (siehe https://azure.microsoft.com/de-de/blog/new-configurable-idle-timeout-for-azure-load-balancer/). In solchen Fällen sollte auf Netzwerk-Ebene sichergestellt werden, dass dies nicht geschieht, zum Beispiel durch Konfigurieren eines TCP Keep alive Timeouts, der weniger als 4 Minuten beträgt.

Mit der Vertec Version 6.1.0.11 wurde die stehende Verbindung des Cloud Servers zum LDAP Server aufgehoben. Der Cloud Server baut nun (analog zur Desktop App) für jeden Authentisierungsversuch eine neue Verbindung zum LDAP Server auf.

Logging

Die Logeinträge betreffend LDAP befinden sind bei Verwendung eines Cloud Clients im Vertec.CloudServer.log. bzw. bei Verwendung der Desktop App im Vertec.Deskop.log.

Der Verbindungsaufbau zum LDAP Server beim Start des Cloud Servers bzw. der Desktop App wird durch Info Messages angezeigt (Connecting to the LDAP authenticationserver, Connected to the LDAP authentication server). Diese erscheinen immer im Log, wenn LDAP konfiguriert ist.

Logeinträge zur LDAP Konfiguration und zu Fehlern bei den Bind-Aufrufen erscheinen als Debug Messages im Logfile, wenn die entsprechende DebugCategory namens VertecLib.LdapPasswordAuthenticationProvider angegeben ist. Wenden Sie sich dafür an Ihren Vertec Betreuer.

Achtung bei Verwendung von Vertec Classic App, XML Server, Classic Weberfassung und iPhone App!

Diese Webservices sowie die Classic App, die zum Teil ab 6.2 nicht mehr mitgeliefert werden, sind nicht für den Einsatz mit LDAP erweitert worden. Falls Sie einen dieser Services nutzen, verwenden Sie die Vertec LDAP Anbindung nicht, sondern verwenden nach wie vor die Authentisierung via Vertec Login.

Falls Sie nur den XML Server (zum Beispiel zur Anbindung einer internen Applikation) nutzen, die anderen Services jedoch nicht, und LDAP verwenden möchten, müssen Sie sicherstellen, dass sämtliche Projektbearbeiter in Vertec ein Vertec-Passwort besitzen, da diese sich andernfalls ohne Passwort beim XML Server anmelden können.