... | ... | @@ -40,13 +40,30 @@ Sollte keine der vorhandenen Authentifizierungsmethoden verwendbar sein, kann au |
|
|
|
|
|
Bisher werden zwei Datenquellen in SecDoc verwendet.
|
|
|
|
|
|
### AD/LDAP ([L79-105](https://zivgitlab.uni-muenster.de/secdoc/secdoc/-/blob/master/assets/ajax/secdoc.conf.php#L79-105))
|
|
|
### AD/LDAP ([L78-104](https://zivgitlab.uni-muenster.de/secdoc/secdoc/-/blob/master/assets/ajax/secdoc.conf.php#L78-104))
|
|
|
|
|
|
AD/LDAP wird zur Abfrage von Nutzerinformationen, wie z.B. E-Mail Adressen oder Nutzergruppen, verwendet. Zur Abfrage muss ein gültiger Domänencontroller angegeben werden und gegebenenfalls ein Nutzer mit Passwort konfiguriert werden, um die notwendigen Daten abfragen zu können.
|
|
|
|
|
|
In `$ldap_configs` müssen die jeweiligen Anfragen an den eigenen Aufbau der Domänenstruktur angepasst werden. Es werden Platzhalter bei einigen Anfragen verwendet, um dynamische Anfragen zuzulassen, beispielsweise für die Personensuche.
|
|
|
In `$ldap_configs` müssen die jeweiligen Anfragen an den eigenen Aufbau der Domänenstruktur angepasst werden. Es werden Platzhalter (`$`) bei den Anfragen verwendet, um dynamische Anfragen zu ermöglichen.
|
|
|
|
|
|
Diese Einstellung ist zwingend notwendig, wenn Zugriffsberechtigungen über Nutzergruppen gesteuert werden sollen. SecDoc selbst enthält bisher keine eigene Gruppenverwaltung!
|
|
|
Diese Einstellungen sind zwingend notwendig, wenn Zugriffsberechtigungen über Nutzergruppen gesteuert werden sollen. SecDoc selbst enthält bisher keine eigene Gruppenverwaltung!
|
|
|
|
|
|
#### Erläuterungen zu den Abfragen
|
|
|
|
|
|
* `$ldap_configs['groups']`: Führt die Suche nach Gruppen durch. Die Platzhalter (`$`) in `ldap_filter` werden durch den Suchbegriff ersetzt. Standardmäßig werden die Attribute `cn` und `description` durchsucht, dies kann allerdings durch Anpassung von `ldap_filter` geändert werden. Es müssen zwei Attribute in `ldap_attributes` angegeben werden. Das erste Attribut wird als Gruppenkennung in SecDoc verwendet, während das zweite Attribut eine Beschreibung der Gruppe darstellen soll. Diese können ebenfalls ersetzt werden.
|
|
|
* `$ldap_configs['usergroups']`: Fragt alle Nutzergruppen zu einer Kennung ab, z.B. für die Prüfung von Zugriffsrechten. Der Platzhalter (`$`) in `ldap_filter` wird durch die Nutzerkennung ersetzt. Es wird standardmäßig nach dem Attribut `cn` gesucht, aber eine Suche beispielsweise nach `sAMAccountName` ist durch Anpassung des Filters möglich. Es wird das `memberof` Attribut genutzt. Dies sollte nicht geändert werden!
|
|
|
* `$ldap_configs['groupname']`: Holt die Gruppenbezeichnungen zu einer Gruppenkennung. Der Platzhalter (`$`) wird durch eine Gruppenkennung ersetzt. Die Suche erfolgt über das `cn` Attribut, dies kann aber durch Anpassung des Filters angepasst werden. Das Attribut `description` wird als Gruppenbezeichnung gewählt, kann aber auch durch ein beliebiges anderes Attribut ersetzt werden. Es wird nur ein Attribut verarbeitet.
|
|
|
* `$ldap_configs['users_id']`: Fragt Informationen zu einer bestimmten Nutzerkennung ab. Der Filter nutzt nutzt standardmäßig das `cn` Attribut, kann aber angepasst werden. Der Platzhalter wird hierbei durch die Nutzerkennung ersetzt. Die Anwendung erwartet 6 Attribute zur Abfrage in `ldap_attributes`, die der Reihe nach für folgende Werte in SecDoc genutzt werden: Nutzerkennung, Vorname, Nachname, Hauptgruppe/Abteilung/Beschreibung, Telefonnummer, E-Mail. Die Attribute können frei verändert werden, aber sollten passende Werte und die korrekte Reihenfolge beibehalten. Aktuell werden die Werte nur für die Anzeige von Personen in der Form `Vorname Nachname, Hauptgruppe, Telefon, E-Mail` verwendet.
|
|
|
* `$ldap_configs['users_one']` und `$ldap_configs['users_two']`: Durchsucht die Nutzer nach einer (Teil-)Kennung oder einem (Teil-)Namen. Falls eine Zeichenkette ohne Leerzeichen übergeben wird, wird `users_one` verwendet und es werden die Attribute `cn`, `sn` und `givenname` nach dem Suchbegriff durchsucht. Bei Zeichenketten mit Leerzeichen wird `users_two` verwendet und die Zeichenkette aufgeteilt in Vor- und Nachname und die Attribute `givenname` und `sn` mit der Kombination durchsucht. Wie immer können die Filter-Attribute verändert werden, aber die ursprüngliche Zuordnung der Platzhalter muss beachtet werden. Die abgefragten Attribute sind identisch zur `users_id` Abfrage.
|
|
|
* `$ldap_configs['usermail']`: Fragt die E-Mail Adresse zu einer Nutzerkennung ab. Wie bei den anderen Personenabfragen kann der Filter von `cn` auf andere Attribute geändert werden.
|
|
|
|
|
|
#### Erläuterungen zu den Filtern
|
|
|
Damit bei Personensuchen an unterschiedlchen Stellen in SecDoc verschiedene Werte genutzt werden können, z.B. nur Mitarbeiter als verantwortliche Personen gesucht werden können, aber auch studentische Hilfskräfte in der Nutzersuche für Zugriffsrechte auftauchen, werden die `$ldap_user_filter` Variablen genutzt. Die Filter werden an die vorhandenen LDAP-Filter aus den `$ldap_configs` Variablen angehangen.
|
|
|
|
|
|
* `$ldap_user_filter['active']`: Beschränkt die angezeigten Nutzer auf aktive Kennungen.
|
|
|
* `$ldap_user_filter['employee']`: Beschränkt die angezeigten Nutzer auf Mitarbeiter.
|
|
|
|
|
|
Wird so eine Unterscheidung nicht benötigt oder gewünscht, können die Filter zu leeren Zeichenketten geändert werden.
|
|
|
|
|
|
### SQLite
|
|
|
|
... | ... | |