Child pages
  • Hipchat Server Dokumentation - Anbindung an ein LDAP Verzeichnis
Skip to end of metadata
Go to start of metadata

Auf dieser Seite:

Sie können für die Authentifizierung und Benutzerverwaltung in Hipchat Server ein LDAP Directory anbinden. Hipchat Server synchronisiert dabei periodisch die Benutzerinformationen, inklusive Benutzername, Anzeigename und E-Mail-Adresse mit LDAP.


Überblick

Ein LDAP Directory ist eine Ansammlung von Benutzer- und Gruppendaten. LDAP (Lightweight Directory Access Protocol) ist ein Internet-Protokoll, welches Web-Applikationen zum Abrufen Ihrer Benutzer- und Gruppeninformationen verwenden.

Hipchat bietet integrierte Connectoren für die beliebtesten LDAP Diretory Server:

  • Microsoft Active Directory
  • Apache Directory Server (ApacheDS)
  • Apple Open Directory
  • Fedora Directory Server
  • Novell eDirectory
  • OpenDS
  • OpenLDAP
  • OpenLDAP mit dem Posix Schema
  • Posix Schema für LDAP
  • Sun Directory Server Enterprise Edition (DSEE)
  • Ein generischer LDAP Directory Server

Wann eine Anbindung nützlich für Sie ist: Die Anbindung an einen LDAP Directory Server lohnt sich, wenn Ihre Benutzer und Gruppen in einem Unternehmensverzeichnis verwaltet werden.

Die LDAP Directory Anbindung in Hipchat

Zur Anbindung eines LDAP Directorys an Hipchat:

  1. Geben Sie in Ihrem Browser Ihren vollständigen, qualifizierten Domänennamen ein, z. B. https://hipchat.ihrunternehmen.com/.
  2. Loggen Sie sich mit Ihren Administrator-Zugangsdaten in Hipchats Web-Oberfläche ein.
  3. Navigieren Sie zu Group admin > Authentication.
  4. Wählen Sie Add Direcotry aus und eine der folgenden Optionen:
    • Microsoft Active Directory - Diese Option stellt die einfachste Art der Anbindung eines ADs dar, weil es der beliebteste LDAP Directory Typ ist.
    • LDAP - Im nächsten Schritt stehen Ihnen spezifische LDAP Directory Typen zur Auswahl.
  5. Tragen Sie die Werte der Einstellungen ein (die Einstellungen und deren Werte werden weiter unten ausführlich erklärt).
  6. Speichern Sie die Directory Einstellungen ab.
  7. Definieren Sie auf dem User Directories Bildschirm die Directory Reihenfolge, indem Sie die blauen Pfeile neben den Directories anklicken. Die Directory Reihenfolge hat folgende Auswirkungen:
    • Die Reihenfolge der Directories ist die Reihenfolge, in der nach Benutzern und Gruppen gesucht wird.
    • Änderungen an Benutzern und Gruppen werden nur in der ersten Directory gemacht, denn nur auf diese hat die Applikation die Rechte dazu.

Lesen Sie für weitere Details die Dokumentation über das Verwalten mehrerer Directories.

Servereinstellungen

EinstellungDefinition
Name

Benennen Sie das LDAP Directory so, dass Sie es zuordnen können. Beispiele:

  • Beispiel Unternehmen Mitarbeiter Directory
  • Beispiel Unternehmen Unternehmensweites LDAP
Directory Type

Wählen Sie den Directory-Typ aus, den Sie anbinden werden. Der Wert, den Sie hier auswählen, bestimmt die Standardwerte für viele weitere Optionen des Bildschirms. Beispiele:

  • Microsoft Active Directory
  • OpenDS
  • Und mehr.
Hostname

Der Host Name Ihres Directory Servers. Beispiele:

  • ad.example.com
  • ldap.example.com
  • opends.example.com
Port

Der Port, auf dem Ihr Directory Server kommuniziert. Beispiele:

  • 389
  • 10389
  • 636 (zum Beispiel für SSL)
Use SSLSetzen Sie hier das Häkchen, wenn die Verbindung zum Directory Server eine SSL-Verbindung ist (Secure Sockets Layer). Beachten Sie, dass Sie ein SSL-Zertifikat konfigurieren werden müssen, um diese Einstellung benutzen zu können.
Username

Der eindeutige Name des Benutzers, den die Applikation bei der Verbindung zum Directory Server verwenden wird. Beispiele:

  • cn=administrator,cn=users,dc=ad,dc=beispiel,dc=com
  • cn=user,dc=domain,dc=name
  • user@domain.name

Standardmäßig können alle Benutzer das uSNChanged Attribut lesen. Jedoch haben nur die Administratoren oder Benutzer mit den entsprechenden Rechten, Zugriff auf den Container mit den gelöschten Objekten. Die Rechte, die der Benutzer für die Verbindung zu LDAP benötigt sind "Bind" und "Read" (Benutzerinfo, Gruppeninfo, Gruppenzugehörigkeit, Updatesequenznummer, gelöschte Objekte). Diese Rechte erhält der Benutzer durch die Zugehörigkeit zu der in Active Directory vorinstallierten Administratoren-Gruppe.

Beachten Sie, dass der inkrementelle Sync fehlschlägt, wenn ein Benutzer ohne diese Rechte auf Active Directory zugreift. Das wurde in diesem Issue bereits berichtet: CWD-3093 .

Password

Das Passwort des oben beschriebenen Benutzers.

Beachten Sie: Bei der Anbindung an einen LDAP Server muss sich die Applikation mit dem hier konfigurierten Benutzernamen und Passwort im Server einloggen können. Das Password darf deshalb nicht One-Way Hashed sein, sondern es muss im Kontext dieser Applikation wiederherstellbar sein. Das Passwort ist in Klartext und unverschleiert in der Datenbank gesichert. Um dennoch die Sicherheit zu garantieren, müssen Sie sicherstellen, dass die anderen Prozesse keine Leserechte auf OS-Ebene für die Datenbank oder die Konfigurationsdateien dieser Applikation haben.

Schema Einstellungen

EinstellungDefinition
Base DN

Der 'root distinguished Name' (DN) wird bei Abfragen am Directory Server verwendet. Beispiele:

  • o=example,c=com
  • cn=users,dc=ad,dc=example,dc=com
  • Spezifizieren Sie den DN für Microsoft Active Directory im folgenden Format: dc=domain1,dc=local.
    Sie müssen für Ihre spezifische Konfiguration "doman1" und "local" mit den entsprechenden Werten ersetzen. Microsoft Server bietet ein Tool namens ldp.exe an, mit dem Sie die LDAP Struktur Ihres Servers herausfinden und konfigurieren können.
Additional User DN

Dieser Wert wird zusätzlich zur base DN bei der Suche und dem Laden von Benutzern verwendet. Wenn kein Wert hinterlegt wird, startet die Unterbaum-Suche an der base DN. Beispiel:

  • ou=Users
Additional Group DN

Dieser Wert wird zusätzlich zur base DN bei der Suche und dem Laden von Gruppen verwendet. Wenn kein Wert hinterlegt wird, startet die Unterbaum-Suche an der base DN. Beispiel:

  • ou=Groups

Werden keine Werte für Additional User DN und Additional Group DN hinterlegt, dann startet die Unterbaum-Suche an der base DN. Dies hat zur Folge, dass bei großen Directory Strukturen Performance-Probleme bei Logins und Operationen, bei denen Logins benötigt werden, auftreten.

Berechtigungseinstellungen

EinstellungDefinition
Read onlyLDAP Benutzer, Gruppen sowie Gruppenzugehörigkeiten werden von Ihrem Directory Server bezogen und können nur via Directory Server modifiziert werden. Sie können keine LDAP Benutzer, Gruppen oder Gruppenzugehörigkeiten über die Administrationsseiten der Applikation ändern.
Read only, with Local GroupsNicht verwendbar mit Hipchat Server.
Read/WriteNicht verwendbar mit Hipchat Server.

Erweiterte Einstellungen

EinstellungDefinition
Enable Nested GroupsNicht verwendbar mit Hipchat Server.
Manage User Status LocallyWenn auf "true", dann können Sie, abhängig vom Status im Directory Server, Benutzer aktivieren und deaktivieren.
Use Paged ResultsAktivieren oder deaktivieren Sie die LDAP Kontrollerweiterung, für einfaches, seitenweises Auflisten von Suchergebnissen. Ist das seitenweise Auflisten aktiviert, dann gibt die Suche Zusammenstellungen von Daten aus, anstelle aller Suchergebnisse auf einmal. Geben Sie, wenn aktiviert, die gewünschte Seitengröße ein, also die maximale Anzahl an Suchergebnissen pro Seite. Standardmäßig sind es 1.000 Suchergebnisse.
Follow ReferralsWählen Sie aus, ob der Directory Server Anfragen an andere Server weiterleiten darf oder nicht. Diese Option verwendet den Knoten "referral" (=Weiterleitung) (JNDI lookup java.naming.referral). Dies wird generell für Active Directory Server benötigt, die ohne ordnungsgemäße DNS konfiguriert sind, um einen "javax.naming.PartialResultException: Unprocessed Continuation Reference(s)" Fehler zu vermeiden.
Naive DN Matching

Wenn Ihr Directory Server immer eine konsistente String-Repräsentation einer DN zurückgibt, dann können Sie naives DN Matching aktivieren. Die Verwendung von naivem DN Matching bringt signifikante Performanceverbesserungen mit sich, deshalb ist es empfehlenswert dort zu verwenden, wo es nur möglich ist.

Diese Einstellung legt fest wie Ihre Applikation die DNs miteinander vergleicht, um festzustellen ob sie übereinstimmen.

  • Wenn ein Häkchen in dieser Box gesetzt ist, dann wird die Applikation einen direkten String-Vergleich, unabhängig von der Groß- und Kleinschreibung, vornehmen. Das ist die standardmäßige und empfohlene Einstellung für Active Directory, weil Active Directory das Format der DNs gewährleistet.
  • Wenn kein Häkchen in dieser Box gesetzt ist, dann wird die Applikation die DN analysieren und danach die analysierte Version überprüfen.
Enable Incremental Synchronization

Aktivieren Sie die inkrementelle Synchronisierung, wenn Sie nur die Änderungen seit der letzten Synchronisierung eines Directorys abgleichen möchten.

(Warnung) Bitte beachten Sie, dass der Benutzeraccount für die Synchronisierung zur Benutzung dieser Option folgende Leserechte braucht:

  • Auf das uSNChanged Attribut aller Benutzer und Gruppen des Directorys, denn es muss synchronisiert werden.
  • Auf die Objekte und Attribute des Containers mit den gelöschten Objekten in Active Directory (lesen Sie Microsoft's Knowledge Base Article No. 892806 für weitere Details).

Wenn auch nur eine dieser Konditionen nicht zutrifft, werden die zu Active Directory hinzugefügten (oder gelöschten) Benutzer nicht zur Applikation hinzugefügt (oder gelöscht).

Diese Einstellung ist nur verfügbar für den Directory-Typ "Microsoft Active Directory".

Synchronization Interval (minutes)

Die "Synchronization" ist der Prozess, der die internen Benutzerdaten der Applikation mit den Daten des Directory Servers abgleicht. Die Applikation sendet eine Anfrage an Ihren Directory Server und das alle x Minuten. "x" ist der Platzhalter für die Anzahl der Minuten. Der Standardwert beträgt 60 Minuten.

Read Timeout (seconds)

Die Zeit, in Sekunden, die für eine Antwort gewartet werden soll. Wenn keine Antwort innerhalb der definierten Zeit zurück kommt, wird der Leseversuch abgebrochen. Der Wert 0 (null) bedeutet keine zeitliche Begrenzung. Der Standardwert beträgt 120 Sekunden.

Search Timeout (seconds)

Die Zeit in Sekunden, die auf eine Suchanfrage gewartet werden soll. Der Wert 0 (null) bedeutet keine zeitliche Begrenzung. Der Standardwert beträgt 120 Sekunden.

Connection Timeout (seconds)

Diese Einstellung beeinflusst zwei Aktionen. Der Standardwert ist 0 (null).

  • Die zu wartende Zeit, um eine Verbindung vom Verbindungspool zu erhalten. Der Wert 0 (null) bedeutet kein zeitliches Limit, also wird unendlich lange gewartet.
  • Die Zeit in Sekunden, die bei der Öffnung neuer Server-Verbindungen gewartet wird. Der Wert 0 (null) bedeutet, dass das TCP-Netzwerk Timeout verwendet wird, was einige Minuten dauern kann.

Benutzer-Schema Einstellungen

EinstellungDefinition
User Object Class

Das ist der Name der Klasse, die für das LDAP Benutzerobjekt verwendet wird. Beispiel:

  • user
User Object Filter

Der Filter, der bei der Suche nach Benutzerobjekten verwendet wird. Beispiel:

  • (&(objectCategory=Person) (sAMAccountName=*))

Sie können in diesem Feld maximal 4.000 Zeichen haben. Stellen Sie sicher, das Ihre LDAP Filter präzise sind.

 

Weitere Beispiele und Informationen finden Sie in der LDAP Dokumentation von Atlassian (auf Englisch).

User Name Attribute

Das Attributfeld, das beim Laden des Benutzernamens verwendet wird. Beispiele:

  • cn
  • sAMAccountName

Beachten Sie: In Active Directory ist der "sAMAccountName" das "User Logon Name (vor Windows 200)" Feld. Der Login-Name des Benutzers wird mit "cn" referenziert.

User Name RDN Attribute

Der RDN (relative distinguished name) wird zum Laden des Benutzernamens verwendet. Der DN jedes LDAP Eintrages setzt sich aus zwei Teilen zusammen: dem RDN und dem Ablageort des Eintrages im LDAP Directory. Der RDN ist der Teil Ihres DNs, der nicht in Beziehung mit der Baumstruktur des Directorys zusammenhängt. Beispiel:

  • cn
User First Name Attribute

Das Attributfeld, das beim Laden des Vornamens eines Benutzers verwendet wird. Beispiel:

  • givenName
User Last Name Attribute

Das Attributfeld, das beim Laden des Nachnamens eines Benutzers verwendet wird. Beispiel:

  • sn
User Display Name Attribute

Das Attributfeld, das zum Laden des vollständigen Namens eines Benuters verwendet wird. Beispiel:

  • displayName

Dieses Feld akzeptiert nicht mehr als 50 Zeichen von LDAP. Sonst wird der Benutzer übersprungen. HCPUB-1763 - HipChat Server: Increase character limit for LDAP user names To be reviewed ist ein Feature Request zur Erhöhung des Limits auf über 50 Zeichen.

User Email Attribute

Das Attributfeld, das beim Laden der E-Mail Adresse eines Benutzers verwendet wird. Beispiel:

  • mail

Der Benutzer wird nicht synchronisiert, wenn dieses Feld leer ist. Verwenden Sie immer das Attribute, das die E-Mail Adresse des Benutzer enthält (Beispiel: userPrincipalName).

User Password Attribute

Das Attributfeld, das beim Laden des Passworts eines Benutzers verwendet wird. Beispiel:

  • unicodePwd
User Unique ID Attribute

Das Attribut, das als einzigartiges und unveränderbares Identifikationsmerkmal für Benutzerobjekte verwendet wird. Es dient der Zurückverfolgung von Änderungen am Benutzernamen und ist optional. Wenn dieses Attribut nicht aufgesetzt ist (oder einen ungültigen Wert hat), dann werden die Umbenennungen von Benutzern nicht erkannt. Folglich werden sie als gelöschte und neu hinzugefügte Benutzer interpretiert.

Dieses Attribut sollte normalerweise auf ein UUID Wert verweisen. Standardkonforme LDAP Server implementieren dies laut RFC 4530 als "entryUUID". Diese Einstellung existiert, weil es auf manchen Servern unter anderen Namen bekannt ist, z. B. "objectGUID" in Microsoft Active Directory.

Gruppen-Schema Einstellungen

Hinweis: Die Gruppen-Schema Einstellungen sind irrelevant für Hipchat Server.

Gruppenzugehörigkeits-Schema Einstellungen

Das User Member Attribut ist die einzige, für Hipchat Server relevante Gruppenzugehörigkeits-Schema Einstellung. Alle anderen Gruppenzugehörigkeits-Schema Einstellungen sind irrelevant.

EinstellungDefinition
User Member Attribute

Weil Hipchat Server nicht nach Gruppen filtert, benutzen Sie dieses Attribut, um die Gruppenzugehörigkeit der Benutzer herauszufinden. Für weitere Informationen können Sie den Abschnitt über das Filtern nach Gruppen auf dieser Seite lesen: Die Anzahl synchronisierter Benutzer zwischen LDAP und Hipchat Server reduzieren.

Beispiel:

memberOf

Abbildung einer möglichen Konfiguration



Hipchat Server