In Siveillance Control wird jeder Benutzer einer Benutzergruppe zugeordnet. Eine Benutzergruppe umfasst alle Mitarbeiter, die in derselben Rolle tätig sind (z. B. alle Bediener, die für Brandmeldetechnik verantwortlich sind). Alle Mitglieder einer Benutzergruppe haben dieselben Rechte. Sie können entweder neue Benutzer und Benutzergruppen anlegen oder sie aus einer LDIF-Datei importieren. Die LDIF-Datei wird zur Aktivierung der Anmeldung mithilfe der Windows-Authentifizierung benötigt.
Die LDIF-Datei
Die LDIF-Datei ist eine ASCII-Datei und enthält die Informationen von Benutzern und Benutzergruppen aus einem LDAP-Verzeichnis. Die LDIF-Datei enthält keine Passwörter. Sie können die Informationen mithilfe eines Texteditors anzeigen. Folgende Arten von LDIF-Dateien sind vorhanden:
Benutzergruppen in der LDIF-Datei ohne Referenz
Sind in der LDIF-Datei Benutzergruppen enthalten, die nicht auf eine andere Benutzergruppe referenzieren, werden diese nach dem Import unter dem Knoten System > Benutzer gespeichert.
dn: cn=Aloxerv,ou=DistributionGroups,ou=Managed
Objects,dc=TESTDOMAIN,dc=local
objectClass: top
objectClass: group
objectCategory:
CN=Group,CN=Schema,CN=Configuration,DC=TESTDOMAIN,DC=local
member: CN=Aloxerv-Tester,OU=DistributionGroups,OU=Managed
Objects,DC=TESTDOMAIN,DC=local
member: CN=Barososo Josef,OU=ActiveEmployee,OU=User,OU=Managed
Objects,DC=TESTDOMAIN,DC=local
...
Benutzergruppen in der LDIF-Datei mit Referenz
Sind in der LDIF-Datei Benutzergruppen enthalten, die durch das Attribut memberOf auf eine Benutzergruppe referenzieren, werden diese unter dem Knoten System > Benutzer > [Benutzergruppe] gespeichert.
dn: CN=Aloxerv-Tester,OU=DistributionGroups,OU=Managed
Objects,DC=TESTDOMAIN,DC=local
objectClass: top
objectClass: group
objectCategory:
CN=Group,CN=Schema,CN=Configuration,DC=TESTDOMAIN,DC=local
member: CN=Kegler Martin,OU=ActiveEmployee,OU=User,OU=Managed
Objects,DC=TESTDOMAIN,DC=local
memberOf: CN=Aloxerv,OU=DistibutionGroups,OU=Managed
Objects,DC=TESTDOMAIN,DC=local
...
Benutzer in der LDIF-Datei
In der LDIF-Datei enthaltene Benutzer sind über das Attribut memberOf auf eine Benutzergruppe referenziert. Deshalb kann ein Benutzer auf mehrere Benutzergruppen referenziert sein, die nicht alle in der LDIF-Datei vorhanden sind. Folgende Möglichkeiten sind verfügbar:
Wird ein Benutzer auf eine Benutzergruppe referenziert, die nicht in der LDIF-Datei vorhanden ist, wird diese Referenz ignoriert und für jede nicht vorhandene Referenz wird eine Warnmeldung angezeigt. Der Benutzer wird dennoch importiert.
Hat ein Benutzer keine oder eine ungültige Referenz auf eine Benutzergruppe aus der LDIF-Datei, wird der Benutzer unter dem Knoten System > Benutzer gespeichert.
Wird ein Benutzer mit Referenz auf eine Benutzergruppe importiert, wird der Benutzer unter dem entsprechenden Baumknoten dieser Benutzergruppe gespeichert.
dn: CN=Kegler Martin,OU=ActiveEmployee,OU=User,OU=Managed
Objects,DC=TESTDOMAIN,DC=local
mailNickname: mkr
objectClass: organizationalPerson
objectClass: top
objectClass: person
objectClass: user
objectCategory:
CN=Person,CN=Schema,CN=Configuration,DC=TESTDOMAIN,DC=local
memberOf: CN=Aloxerv-
Tester,OU=DistributionGroups,OU=Managed
Objects,DC=TESTDOMAIN,DC=local
...
LDIF-Dateien bereitstellen
Die LDIF-Datei wird typischerweise nicht während der Konfiguration bereitgestellt, da die verantwortlichen Personen nicht dazu berechtigt sind. Sie sollten jedoch dieses Konzept im Prinzip verstehen.
Die LDIF-Datei wird aus dem LDAP-Verzeichnis eines AD-Servers exportiert. Besonders in größeren Firmen werden Benutzerkonten zentral von einem Active Directory-Server (kurz: AD-Server) verwaltet. Der Netzwerkadministrator ist für den Export autorisiert. Um die LDIF-Datei zu exportieren, haben Sie folgende Möglichkeiten:
Export der LDIF-Datei mithilfe eines Befehls in der Eingabeaufforderung
Die erste Option wird am konkreten Beispiel eines Microsoft Active Directory Servers (kurz: MSAD) unter Windows Server 2008 beschrieben. Dafür gelten folgende Voraussetzungen:
- Direkter Zugriff auf den Windows-Server mit der Möglichkeit, eine MS DOS-Konsole zu öffnen.
- Administratorrechte für das Lesen von Inhalten auf dem MSAD-Server für Benutzer und Benutzergruppen.
Der eigentliche Aufruf in der Konsole für den Export sieht wie folgt aus:
ldifde -f "ldif-file_name/-path" -d "start_node (OU notation)" -p subtree -ldistinguishedName,givenName,objectClass,sn,sAMAccountName,memberOf
Die einzelnen Parameter haben folgende Bedeutung:
-f: Der Dateipfad auf die zu erzeugende LDIF-Datei. Entsprechende Schreibberechtigungen auf dem Zielpfad werden vorausgesetzt.
-d: Der Startknoten in der AD-Struktur, ab dem exportiert werden soll. Das Format muss mit dem entsprechenden DN in der AD-Notation übereinstimmen, z. B. OU=[…].
Die restlichen Parameter sind immer fix und müssen nicht dynamisch angegeben oder geändert werden.
Export der LDIF-Datei mit Apache Directory Studio
Die zweite Option beinhaltet die Nutzung der Software Apache Directory Studio, um Benutzer über eine Benutzeroberfläche zu exportieren. Für diese Möglichkeit sind folgende Arbeitsschritte notwendig:
Apache Directory Studio Software installieren
- Laden Sie die Software in der aktuellen Version herunter: http://directory.apache.org/studio/downloads.html
- Installieren Sie die Software mit den Standardoptionen.
AD-Serververbindung konfigurieren
- Die IP-Adresse des AD-Servers ist bekannt.
- Sie besitzen ein Benutzerkonto für den AD-Server.
- Starten Sie Apache Directory Studio.
- Klicken Sie mit der rechten Maustaste auf die Sicht Verbindungen und wählen Sie Neue Verbindung.
- Geben Sie einen Verbindungsnamen ein. Unter diesem Namen wird später die Verbindung angezeigt.
- Geben Sie die folgenden Netzwerkparameter ein:
- Hostname: IP-Adresse des AD-Servers
- Port: 389
- Verschlüsselung: Keine Verschlüsselung
- Provider: Apache Directory LDAP Client API
- Klicken Sie auf Netzwerkparameter überprüfen.
- Prüfen Sie bei einer Fehlermeldung die Netzwerkparameter.
- Klicken Sie auf OK.
- Klicken Sie auf Schreibgeschützt, um Hinzufügungen, Löschungen, Änderungen oder Umbenennungen zu vermeiden.
- Klicken Sie auf Weiter.
- Wählen Sie die Einfache Authentifizierung aus.
- Geben Sie die Authentifizierungs-Parameter ein:
- Geben Sie den Benutzer mit der voreingestellten Domain ein.
- Wählen Sie ggf. die Option Passwort speichern.
- Klicken Sie auf Authentifizierung überprüfen.
- Prüfen Sie bei einer Fehlermeldung die Authentifizierungsparameter.
- Klicken Sie auf OK.
- Klicken Sie auf Fertigstellen.
LDIF-Datei exportieren
- Apache Directory Studio wird angezeigt.
- Klicken Sie in der Sicht Verbindungen auf Neue Verbindung.
- Wählen Sie im LDAP-Browser einen Knoten. Sie haben folgende Möglichkeiten:
- Wählen Sie für den Export aller enthaltenen Benutzergruppen und Benutzer den Domain-Knoten.
- Wählen Sie für den Export einer Benutzergruppe ohne Benutzer eine Benutzergruppe unter der Domain.
- Wählen Sie für den Export eines einzelnen Benutzers einen Benutzer unter der Domain.
- Klicken Sie mit der rechten Maustaste und wählen Sie Exportieren > LDIF-Export.
- Die Verbindung und die Suchbasis werden automatisch übernommen.
- Geben Sie mithilfe der folgenden Optionen einen Text für den Filter ein:
- Um alle Benutzergruppen und Benutzer zu filtern, verwenden Sie folgenden Befehl: (|(objectClass=group)(objectClass=user))(|(objectClass=group)(objectClass=user)).
- Damit sucht der Filter alle Einträge der Objektklasse group oderuser.
- Um alle Benutzer in einer Benutzergruppe zu filtern, verwenden Sie den folgenden Befehl: (&(objectClass=user)(memberOf=[Ihre Benutzergruppe]))(&(objectClass=user)(memberOf=[Ihre Benutzergruppe])).
- Damit sucht der Filter alle Einträge mit der Objektklasse user und der angegebenen Benutzergruppe.
- Erstellen Sie einen Filter nach Ihren Bedürfnissen. Weitere Informationen finden Sie im Internet mithilfe der Suchwörter LDAP Filter Syntax.
- Behalten Sie die restlichen Standardeinstellungen bei.
- Klicken Sie auf Weiter.
- Wählen Sie die Zieldatei aus.
- Geben Sie den Dateinamen ein. Verwenden Sie ggf. die Option Durchsuchen.
- Um eine vorhandene Datei zu überschreiben, wählen Sie die Option Vorhandene LDIF-Datei überschreiben.
- Klicken Sie auf Fertigstellen.
- Die LDIF-Datei wird gespeichert.
Benutzer und Benutzergruppen mithilfe der LDIF-Datei importieren
- Der AD-Server wurde gestartet.
- Siveillance Control ist zur Authentifizierung auf dem AD-Server freigegeben.
- Die Windows-Benutzergruppe und -Benutzer stehen als LDIF-Dateien zur Verfügung.
- Die LDIF-Datei wurde nur aus einer Quelle erzeugt.
- Öffnen Sie die Perspektive Versorgung:
- Klicken Sie auf Daten importieren.
- Wählen Sie LDIF Import (Benutzer/Gruppen aus ActiveDirectory) (ldifimport).
- Klicken Sie auf Weiter.
- Wählen Sie die Datei aus, die Sie importieren möchten.
- Klicken Sie auf Weiter.
- Wählen Sie die erweiterten Einstellungen aus. Sie haben folgende Möglichkeiten:
- Behalten Sie zum erstmaligen Importieren der LDIF-Datei die Standardeinstellungen bei.
- Wählen Sie Nicht mehr vorhanden > Löschen, um Benutzer, die nicht mehr in der neuen LDIF-Datei enthalten sind, zu löschen und die Datei neu zu importieren.
- Klicken Sie auf Weiter.
- Importwarnungen können angezeigt werden. Diese dienen zur Information. Die Benutzer werden dennoch importiert.
- Klicken Sie auf Weiter.
- Behalten Sie die Standardeinstellungen bei.
- Klicken Sie auf Fertigstellen.
- Die importierten Benutzer und Benutzergruppen werden in der Perspektive Benutzer- und Rechteverwaltung angezeigt.
- Kontrollieren Sie die Berechtigungen der importierten Benutzer!
- Falls Änderungen an Windows-Benutzerkonten vorgenommen werden, importieren Sie die LDIF-Datei erneut.
Standardbenutzergruppen
Im Engineering-Client werden die Benutzergruppen Administrator und Servicetechniker standardmäßig gesetzt. Sie finden sie im Baum Zu berechtigende Objekte unter System Engineering. Hier finden Sie die Standardbenutzer Admin und Techniker. Für das Runtime-System werden die Benutzergruppen Administrator und Bediener standardmäßig unter System eingeordnet. Der Standardbenutzer heißt hier Admin.
Benutzer und Benutzergruppen anlegen
Neue Benutzer können nur unter einer Benutzergruppe angelegt werden.
- Die Perspektive Benutzer- und Rechteverwaltung wird angezeigt
- Klicken Sie mit der rechten Maustaste im Baum Zu berechtigende Objekte auf Benutzer und wählen Sie Neu > Gruppe von Benutzern.
- Geben Sie einen Namen für die Benutzergruppe ein.
- Klicken Sie auf Fertigstellen.
- Klicken Sie mit der rechten Maustaste im Baum Zu berechtigende Objekte auf die neue Benutzergruppe und wählen Sie Neu > Benutzer.
- Geben einen Benutzernamen ein.
- Klicken Sie auf Fertigstellen.