LDAP-Server-Authentifizierung

Sie können Service Desk und Asset Manager so konfigurieren, dass die Authentifizierung von Verzeichnisdienstbenutzern gegenüber einem LDAP-Server erfolgt (unter Verwendung eines Domänenkennworts) und nicht unter Verwendung eines Service Desk- oder Asset Manager-Benutzerkennworts.Diese Vorgehensweise unterscheidet sich von der Verwendung der integrierten Anmeldung und kann auch nicht zusammen mit einer integrierten Anmeldung eingesetzt werden. Benutzerkonten können aber dennoch getrennt von Service Desk oder Asset Manager verwaltet werden und die Benutzer kommen mit einem Kennwort aus.Der angegebene Benutzername wird verwendet, um den externen Benutzernamen im Wert „Benutzer-Netzwerkanmeldung“ nachzuschlagen. Der Wert für die Netzwerkanmeldung und das eingegeben Kennwort werden dann zur Authentifizierung gegenüber dem in der Konfiguration definierten Verzeichnisdienstobjekt verwendet.

SA meldet sich stets mit der expliziten Standardanmeldung unter Umgehung der LDAP-Authentifizierung an.

LDAP-Authentifizierung wird in Workspaces nicht unterstützt.

Bevor Sie die LDAP-Server-Authentifizierung verwenden können, müssen Sie mit der Komponente Administration der Ivanti Console Netzwerkanmeldungen für Benutzer hinzufügen und diese mit den LDAP Distinguished Names auffüllen:

  • Bei Authentifizierung mit eDirectory:
    CN=Name,O=Organisation
  • Bei Authentifizierung mit ActiveDirectory:
    CN=Benutzer.Name,CN=Benutzer,DC=Domäne,DC=com

Sie können die LDAP-Serverauthentifizierung entweder für Active Directory oder für eDirectory einrichten und sich entweder für den Klartextport (Standard 389) oder den SSL/TLS-Port (Standard 636) entscheiden.

So richten Sie die LDAP-Server-Authentifizierung für Active Directory ein:

  1. Ändern Sie auf dem Ivanti Webserver in den beiden Ordnern C:\ProgramData\Ivanti\ServiceDesk\servicedesk.Framework und C:\ProgramData\Ivanti\ServiceDesk\servicedesk.WebAccess (wobei servicedesk der Name der Instanz ist) den wert <ServerObject> auf DirectoryServiceAuthentifictionConfiguration.xml, um auf den LDAP-Server zu verweisen, und geben Sie dabei die entsprechende Portnummer an.

Beispiel:

<ServerObject>LDAP://Servername:389/cn=Benutzer,dc=Firma,dc=com</ServerObject>

Fügen Sie im Anschluss an den Servernamen den SSL-Port ein. Die Standardwerte sind 389 für den Klartext-Port bzw. 636 für den SSL-Port.

  1. Aktualisieren Sie in beiden Exemplaren der Datei DirectoryServiceAuthentifictionConfiguration.xml den Authentifizierungstyp (<AuthenticationType>). Wenn Sie den Klartext-Port verwenden, setzen Sie diesen Wert auf None; wenn Sie den SSL-Port verwenden, setzen Sie ihn auf Secure. Wenn Sie beispielsweise den SSL-Port verwenden, geben Sie Folgendes ein:

<AuthenticationType>Secure</AuthenticationType>

  1. Fügen Sie zu den beiden Dateien ..ProgramData\LANDesk\ServiceDesk\servicedesk.Framework\tps.config und ..ProgramData\LANDesk\ServiceDesk\servicedesk.WebAccess\tps.config folgende Zeile hinzu:

<add key="AuthenticationProvider" value="Touchpaper.Integrations.LDAPLogon.DirectoryServiceAuthenticationProvider" />

  1. Öffnen Sie die gewünschte Instanz im Ivanti Konfigurationscenter.
  2. Klicken Sie neben der Anwendung Service Desk Framework auf Bearbeiten.
    Das Dialogfeld „Anwendung bearbeiten“ für das Service Desk Framework wird angezeigt
  3. Wählen Sie in der Gruppe Konfigurationsparameter in der Liste Anmelderichtlinie den Eintrag Nur explizit aus und klicken Sie dann auf OK.
  4. Klicken Sie neben der Anwendung Web Access auf Bearbeiten.
    Das Dialogfeld „Anwendung bearbeiten“ für Web Access wird angezeigt.
  5. Wählen Sie in der Gruppe Konfigurationsparameter in der Liste Anmelderichtlinie den Eintrag Nur explizit aus und klicken Sie dann auf OK.

Bei der Anmeldung verwenden Sie das Netzwerkkennwort des zugeordneten Domänenbenutzers.

So richten Sie LDAP-Server-Authentifizierung für eDirectory ein:

  1. ^Öffnen Sie auf dem Ivanti Webserver in beiden Ordnern C:\ProgramData\Ivanti\ServiceDesk\servicedesk.Framework und C:\ProgramData\Ivanti\ServiceDesk\servicedesk.WebAccess (wobei servicedesk der Name der Instanz ist) entweder die Datei OpenLDAPAuthentifictionConfiguration.xml oder OpenLDAPSSLAuthentifictionConfiguration.xml in einem Texteditor.
  2. Aktualisieren Sie den Wert <Server> dahingehend, dass er die IP-Adresse des LDAP-Servers widerspiegelt.
  3. Aktualisieren Sie den Wert <Port> auf den entsprechenden Port (Standardwerte sind 389 für den Klartext-Port bzw. 636 für den SSL/TLS-Port).
  4. Setzen Sie den Wert <TestDN> auf ein eDirectory-Objekt, das von allen Benutzern gelesen werden kann. Dieser Wert wird verwenden, um zu überprüfen, ob dieses Objekt mit den angegebenen Anmeldeinformationen gelesen werden kann. (Beispiel: o=testdomain)
  5. Fügen Sie zu den beiden Dateien ..ProgramData\LANDesk\ServiceDesk\ServiceDesk.Framework\tps.config und ..ProgramData\LANDesk\ServiceDesk\WebAccess\tps.config folgende Zeile hinzu:

<add key="AuthenticationProvider" value="Touchpaper.Integrations.OpenLDAPLogon.OpenLDAPAuthenticationProvider" />

oder die folgende Zeile:

<add key="AuthenticationProvider" value="Touchpaper.Integrations.OpenLDAPSSLLogon.OpenLDAPSSLAuthenticationProvider" />

  1. Öffnen Sie die gewünschte Instanz im Ivanti Konfigurationscenter.
  2. Klicken Sie neben der Anwendung Service Desk Framework auf Bearbeiten.
    Das Dialogfeld „Anwendung bearbeiten“ für das Service Desk Framework wird angezeigt
  3. Wählen Sie in der Gruppe Konfigurationsparameter in der Liste Anmelderichtlinie den Eintrag Nur explizit aus und klicken Sie dann auf OK.
  4. Klicken Sie neben der Anwendung Web Access auf Bearbeiten.
    Das Dialogfeld „Anwendung bearbeiten“ für Web Access wird angezeigt.
  5. Wählen Sie in der Gruppe Konfigurationsparameter in der Liste Anmelderichtlinie den Eintrag Nur explizit aus und klicken Sie dann auf OK.

Bei der Anmeldung verwenden Sie das Netzwerkkennwort des zugeordneten Domänenbenutzers.

Ausnahmeprotokollierung für die LDAP-Server-Authentifizierung

Wenn beim Konfigurieren der LDAP-Server-Authentifizierung Probleme auftreten sollten, können Sie die Ausnahmeprotokollierung aktivieren, um das Problem schneller identifizieren zu können. Diese Funktion ist standardmäßig deaktiviert und wir empfehlen Ihnen, die Ausnahmeprotokollierung wieder auszuschalten, sobald Sie Ihre Untersuchung abgeschlossen haben.

So aktivieren Sie die Ausnahmeprotokollierung für die LDAP-Server-Authentifizierung:

  1. Öffnen Sie die entsprechende XML-Datei für die Authentifizierungskonfiguration in einem Texteditor.
    Das heißt, die Datei DirectoryServiceAuthentifictionConfiguration.xml, OpenLDAPAuthentifictionConfiguration.xml oder OpenLDAPSSLAuthentifictionConfiguration.xml.
  2. Ändern Sie die folgende Zeile:
    <ShowExceptions>false</ShowExceptions>
    in
    <ShowExceptions>true</ShowExceptions>
    und speichern Sie die Änderungen.