1 Themenübersicht
Mithilfe der Hintergrund-Anwendung „Mit LDAP synchronisieren“ werden Konfigurationsdaten mit einem LDAP-Server abgeglichen. Nachfolgend finden Sie unter anderem Beschreibungen zur Verwendung der Hintergrund-Anwendung und zu deren Aktionen und Parametern. Sie werden außerdem über mögliche Voraussetzungen und Auswirkungen für das Ausführen der Hintergrund-Anwendung informiert. Sie erfahren auch, ob die Hintergrund-Anwendung für das Erzeugen eines Verarbeitungsauftrages verwendet wird.
2 Begriffsbestimmung
Lightweight Directory Access Protocol (LDAP)
Das Lightweight Directory Access Protocol (LDAP) ist eine Benutzer- und Ressourcenverwaltung zum Aufbau einheitlicher Directory-Dienste, die von unterschiedlichen Nutzern (zum Beispiel einem Webserver und einem Netzwerk-Betriebssystem) gemeinsam verwendet werden können.
Hintergrund-Anwendung
Eine Hintergrund-Anwendung ist eine Anwendung, die ohne Interaktion mit einem Benutzer ausgeführt wird. Im System kann eine Hintergrund-Anwendung entweder durch einen Verarbeitungsauftrag, durch einen CORBA-Aufruf oder durch eine andere Anwendung geöffnet werden.
Verarbeitungsauftrag
Ein Verarbeitungsauftrag umfasst die notwendigen Informationen für die verzögerte Ausführung einer Hintergrund-Anwendung durch eine Verarbeitungs-Warteschlange.
3 Beschreibung
Die Hintergrund-Anwendung „Mit LDAP synchronisieren“ dient der Automatisierung von administrativen Prozessen. Die Hintergrundanwendung kopiert ausgewählte Daten aus dem LDAP in die Konfigurationsdatenbank. Die Konfiguration der Hintergrund-Anwendung erfolgt im Customizing der Funktion LDAP-Synchronisation. Der Verarbeitungsauftrag kann in der Anwendung „Verarbeitungsaufträge“, mithilfe des Tools „wrksbmjob“ oder über die Ansicht „Sessions“ im Systemcockpit, abgebrochen werden. Das Ausführen der Hintergrund-Anwendung erfolgt über das Navigatormenü oder die Anwendung „Verarbeitungsaufträge“. Weitere Informationen zu dieser Anwendung finden Sie in der Dokumentation „Verarbeitungsaufträge“.
3.1 Synchronisierte Daten
Die Synchronisation ist für Active-Directory von Microsoft ausgelegt. Wenn ein anderer LDAP-Server verwendet wird, kann es sein, dass die Datenübernahme angepasst werden muss. Die Datenübernahme wird durch die Java-Klasse com.cisag.pgm.base.CisLDAPLogic durchgeführt. Die Anpassung kann in der Klasse com.cisag.app.general.init.CisLDAPLogicImpl vorgenommen werden.
3.1.1 Benutzergruppen
Bei der Synchronisation mit dem LDAP-Server werden Benutzergruppen im System angelegt bzw. aktualisiert, wenn die Gruppen im LDAP in der entsprechenden Gruppe Mitglieder sind. In welcher Gruppe LDAP-Gruppen Mitglied sein müssen, um übernommen zu werden, ist im Customizing der Funktion LDAP-Synchronisation im Feld „Comarch-ERP-Enterprise-Gruppen“ festgelegt.
Der Name der Comarch-ERP-Enterprise-Gruppe wird durch das LDAP-Attribut „cn“ bestimmt. „cn“ ist die Abkürzung für den allgemeinen Namen („common name“). Der Wert aus dem LDAP-Attribut wird vor der Verwendung im System verändert. Alle Kleinbuchstaben werden in Großbuchstaben konvertiert. Alle Leerzeichen werden durch einen Unterstrich ersetzt. Zusätzlich zum Namen wird das LDAP-Attribut „description“ in die Beschreibung der Benutzergruppe übernommen.
3.1.2 Benutzer
Benutzer werden aus dem LDAP übernommen, wenn der LDAP-Benutzer Mitglied in bestimmten Gruppen ist. Die Gruppen werden im Customizing der Funktion LDAP-Synchronisation in den Feldern „Mitarbeiter mit Vollzugriff“, „Geschäftspartner mit Vollzugriff“, „Nur Lesezugriff Mitarbeiter“ und „Nur Lesezugriff Geschäftspartner“ festgelegt. Die Auswertung der Gruppenzugehörigkeit erfolgt in der hier angegebenen Reihenfolge. Die Gruppenzugehörigkeit bestimmt die Zuordnung des Benutzers zum System. Ist ein LDAP-Benutzer nicht in einer der Gruppen, so wird der LDAP-Benutzer nicht als Benutzer angelegt. Sollte schon ein Benutzer für diesen LDAP-Benutzer existieren, so wird die Zuordnung zum System entfernt. Die Zuordnung zum System wird nur für das System aktualisiert, in dem die Hintergrundanwendung ausgeführt wird. Wenn ein neuer Benutzer erzeugt wird, wird der Benutzer automatisch Mitglied in der Gruppe, die die von LDAP verwalteten Benutzer enthält. Der Name der Gruppe wird im Customizing im Feld „Von LDAP verwaltete Benutzer“ festgelegt.
Für alle Benutzer, die in der Gruppe „Von LDAP verwaltete Benutzer“ Mitglieder sind, werden die Daten vom LDAP übernommen. Der Name des Benutzers wird durch das LDAP-Attribut „sAMAccountName“ bestimmt. Gibt es das LDAP-Attribut „sAMAccountName“ nicht, wird da LDAP-Attribut „cn“ verwendet. „cn“ ist die Abkürzung für den allgemeinen Namen („common name“). Der Wert aus dem LDAP-Attribut wird vor der Verwendung im System verändert. Alle Kleinbuchstaben werden in Großbuchstaben konvertiert. Alle Leerzeichen werden durch einen Unterstrich ersetzt. Zusätzlich werden folgende Werte übernommen:
| LDAP-Attribut | Feld |
| cn | Vollständiger Name |
| displayName | Bezeichnung |
| sAMAccountName | Wird in die Benutzeridentifizierung vom Typ „Windows-Benutzer-Name“ übernommen. |
| userCertificate | Jeder Eintrag wird zu einer Benutzeridentifizierung vom Typ „X.509 Zertifikat“. |
| userAccountControl | Wird zum Aktivieren/Deaktivieren von Benutzern ausgewertet. |
Das LDAP-Attribut „userAccountControl“ ist ein Active-Directory spezifisches Attribut. Zusätzlich zu diesem Attribut wird ausgewertet, ob der LDAP-Benutzer in der LDAP-Gruppe Mitglied ist, die die deaktivierten Benutzer enthält. Der Name der Gruppe wird im Customizing im Feld „Deaktivierte Benutzer“ festgelegt.
Wenn ein Benutzer in der Gruppe „Von LDAP verwaltete Benutzer“ Mitglied ist und nicht im LDAP gefunden wird, so wird der Benutzer deaktiviert und das Löschkennzeichen gesetzt. Das Löschkennzeichen kann nur wieder entfernt werden, indem wieder ein LDAP-Benutzer angelegt wird.
4 Aktionen
Die Hintergrund-Anwendung stellt folgende Aktion zur Verfügung:
Aktion „Mit LDAP synchronisieren“
Die Hintergrund-Anwendung kopiert LDAP-Daten in die Konfigurations-Datenbank. Dabei werden verschiedene Stufen durchlaufen:
- Anlegen von Benutzergruppen im System
Alle LDAP-Gruppen, die Mitglied in einer bestimmten Gruppe sind, werden als Gruppen erzeugt. Wenn im LDAP die Beschreibung geändert wurde, wird diese bei der korrespondierenden Gruppe aktualisiert. Der Name der LDAP-Gruppe, die bestimmt, welche Gruppen in das System übertragen werden, wird in dem Feld „Comarch-ERP-Enterprise-Gruppen“ im Customizing bestimmt. - Anlegen von Benutzern
Benutzer, die im LDAP in einer Gruppe Mitglied sind, die Benutzerzuordnungen repräsentiert, werden erzeugt und aktualisiert. Die LDAP-Gruppen werden im Customizing hinterlegt. Es sind die Gruppen, die in den Feldern „Mitarbeiter mit Vollzugriff“, „Nur Lesezugriff Mitarbeiter“, „Geschäftspartner mit Vollzugriff“ und „Nur Lesezugriff Geschäftspartner“ hinterlegt werden. Eine eventuell vorhandene Löschmarkierung wird entfernt. Alle neu angelegten Benutzer werden automatisch Mitglied in der Gruppe, die im Customizing im Feld „Von LDAP verwaltete Benutzer“ hinterlegt ist. - Benutzerzuordnung zum System
Die Benutzerzuordnung wird in Abhängigkeit von den LDAP-Gruppen angepasst. Die Gruppen werden in folgender Reihenfolge ausgewertet: „Mitarbeiter mit Vollzugriff“, „Geschäftspartner mit Vollzugriff“, „Nur Lesezugriff Mitarbeiter“ und „Nur Lesezugriff Geschäftspartner“. - Deaktivieren von Benutzern
Der Aktiv-Status im System wird angeglichen. Wenn der LDAP-Server ein Active-Directory-Server von Windows ist, kann das Kennzeichen von Windows ausgewertet werden. Für alle anderen LDAP-Systeme besteht die Möglichkeit die Benutzer zu deaktivieren, wenn sie Mitglied in einer bestimmten Gruppe sind. Der Name der Gruppe wird im Customizing im Feld „Deaktivierte Benutzer“ hinterlegt. - Löschmarkierung bei Benutzern setzen
Alle Mitglieder der Gruppe, in der die von LDAP verwalteten Benutzer enthalten sind, werden mit einer Löschmarkierung versehen, wenn die Benutzer in den vorherigen Schritten nicht verarbeitet wurden.
Parameter
Die Hintergrundanwendung „Mit LDAP synchronisieren“ zeigt ausgewählte Felder der Customizing-Funktion LDAP-Synchronisation an. Die Parameter können jederzeit im Customizing geändert werden. Die geänderten Werte werden bei der nächsten Ausführung berücksichtigt, ohne dass der Verarbeitungsauftrag abgebrochen und neu erzeugt werden muss.
Die Aktion hat folgende Parameter:
| Parameter | Erläuterung |
| Hostname | Der Name oder die IP-Adresse unter der der LDAP-Server erreichbar ist. |
| Protokollierung | Einstellung der Protokollierungsstufe bei der Synchronisation.
Keine Protokollierung: Es findet keine Protokollierung statt. Ausführung und Summen: Es wird protokolliert, dass eine Synchronisation statt gefunden hat. Die Anzahl der erzeugten und geänderten Benutzer oder Benutzergruppen ist ersichtlich. Geänderte Instanzen: Es wird zusätzlich protokolliert, welcher Benutzer oder Benutzergruppen geändert wurde. Geänderte Werte: Es wird zusätzlich protokolliert, welches Attribute sich geändert hat. Dabei werden der alte und der neue Wert aufgezeichnet. |
5 Vorgehensweise
5.1 Öffnen aus dem Navigatormenü
Die Hintergrund-Anwendung kann direkt aus dem Navigatormenü ausgeführt werden.
- Öffnen Sie das Framework „System-Management“.
- Öffnen Sie den Ordner „Hintergrund-Anwendungen“.
- Öffnen Sie die Anwendung „Mit LDAP synchronisieren“.
- Das Dialog-Fenster „Hintergrund-Anwendung ausführen“ öffnet sich.
- Aktionen und Parameter werden auf dem Karteireiter „Aktion“ angezeigt.
- Wählen Sie bei Bedarf die Hintergrundeinstellungen auf den entsprechenden Karteireiter.
- Bestätigen Sie die Eingaben, indem Sie eine der Ausführungen über die zugehörigen Buttons „Im Hintergrund“ oder „Sofort“ wählen.
5.2 Öffnen aus der Anwendung „Verarbeitungsaufträge“
Die Hintergrund-Anwendung kann mithilfe der Anwendung „Verarbeitungsaufträge“ ausgeführt werden.
- Öffnen Sie die Anwendung „Verarbeitungsaufträge“.
- Drücken Sie in der Standard-Symbolleiste den Button „Hintergrund-Anwendung ausführen“.
- Das Dialog-Fenster „Hintergrund-Anwendung ausführen“ öffnet sich.
- Wählen Sie im Feld „Hintergrund-Anwendung“ die Hintergrund-Anwendung „Mit LDAP synchronisieren“ aus.
- Aktionen und Parameter werden auf dem Karteireiter „Aktion“ angezeigt.
- Wählen Sie bei Bedarf die Hintergrundeinstellungen auf den entsprechenden Karteireiter.
- Bestätigen Sie die Eingaben, indem Sie eine der Ausführungen über die zugehörigen Buttons „Im Hintergrund“ oder „Sofort“ wählen.