Configurazione dell'autenticazione LDAP

Se si accede a Dashboards in Infor Ming.le, viene utilizzata l'autenticazione IFS e non è possibile utilizzare l'autenticazione LDAP.

Per utilizzare LDAP in un ambiente non Infor Ming.le, è necessario impostare l'autenticazione su LDAP in Service Expert. Per configurare LDAP, utilizzare il pannello di controllo Repository e specificare tutte le impostazioni del provider di autenticazione LDAP necessarie. Una volta configurata l'autenticazione LDAP, è possibile registrare utenti e gruppi LDAP.
Nota

dopo aver registrato l'autenticazione LDAP nel repository, è ancora possibile accedere come utente di base. Per eseguire l'accesso con l'autenticazione utente di base, è necessario anteporre al nome utente il prefisso basic:.

  1. Selezionare Dashboards > Amministrazione farm > Repository.
  2. Nel widget Impostazioni del provider di autenticazione selezionare LDAP.
  3. Fare clic sull'icona Impostazioni di LDAP.
  4. Fare clic sulla scheda Generale e immettere le informazioni riportate di seguito.
    Nome server
    Consente di specificare il nome univoco o l'indirizzo IP del server in cui si trova la directory LDAP, ad esempio myldapserver.
    Porta
    Consente di specificare il numero di porta del server LDAP.
    Directory principale
    Consente di specificare il nome univoco della directory principale, ad esempio dc=mysubdomain,dc=mydomain. È possibile specificare più directory principali della struttura LDAP separandole con un punto e virgola.
    Nome utente e password
    Consente di specificare il nome utente e la password per accedere alla directory.
  5. Fare clic sulla scheda Utenti e immettere le informazioni riportate di seguito:
    Filtro
    Consente di specificare le informazioni in base alle quali distinguere gli utenti da altri oggetti nella directory LDAP. Ad esempio, (&(objectCategory=person)(objectClass=user)).
    Appartenenza a gruppi
    Selezionare questa casella di controllo per attivare l'appartenenza ai gruppi.
    Appartenenza a gruppo
    Se l'opzione Appartenenza a gruppi non è selezionata, specificare il nome del tipo di attributo con cui viene salvata l'appartenenza a gruppi degli utenti. Ad esempio, memberof.
    Nome utente
    Consente di specificare il nome del tipo di attributo con cui viene salvato il nome dell'utente. Ad esempio, account_name.
    ID utente
    Consente di specificare il nome del tipo di attributo con cui viene salvato l'ID univoco degli utenti. Ad esempio, objectsid.
    Descrizione utente
    Consente di specificare il nome del tipo di attributo con cui viene salvata la descrizione degli utenti (facoltativo).
  6. Fare clic sulla scheda Gruppi e specificare le informazioni riportate di seguito:
    Filtro
    Consente di specificare le informazioni in base alle quali distinguere i gruppi da altri oggetti nella directory LDAP. Ad esempio, objectclass=group.
    Appartenenza utente
    Consente di immettere il nome del tipo di attributo con cui vengono salvati gli utenti che appartengono a un gruppo. Ad esempio, member.
    Nome gruppo
    Consente di specificare il nome del tipo di attributo con cui vengono salvati i nomi dei gruppi. Ad esempio, group_name.
    ID gruppo
    Consente di specificare il nome del tipo di attributo con cui viene salvato l'ID univoco dei gruppi. Ad esempio, group_id.
    Descrizione gruppo
    Consente di specificare il nome del tipo di attributo con cui viene salvata la descrizione dei gruppi (facoltativo).
  7. Fare clic sulla scheda Autenticazione e selezionare una o più delle seguenti opzioni di autenticazione:
    Autenticazione di base (binding semplice)
    Consente di impostare l'autenticazione di base nel provider di autenticazione LDAP. Se è selezionata Autenticazione di base, le altre opzioni di autenticazione sono disattivate.
    Protezione

    Consente di richiedere l'autenticazione protetta. Quando questa casella di controllo è selezionata, per l'autenticazione del client il provider WinNT utilizza NTLM, mentre Servizi di dominio Active Directory utilizza Kerberos ed eventualmente NTLM. Quando il nome utente e la password sono un riferimento null (Nothing in Visual Basic), ADSI esegue il binding all'oggetto utilizzando il contesto di protezione del thread chiamante. In questa connessione si tratta di uno dei due elementi seguenti:

    • Contesto di protezione dell'account utente con il quale viene eseguita l'applicazione
    • Account utente client rappresentato dal thread chiamante
    • Sigillatura: esegue la crittografia dei dati utilizzando Kerberos.
    • Firma: verifica l'integrità dei dati per assicurarsi che i dati ricevuti siano identici a quelli inviati.
    Anonimo
    Consente di specificare che l'autenticazione non deve essere eseguita.
    Utilizza SSL
    Consente di allegare al messaggio una firma crittografata che identifica il mittente e al tempo stesso garantisce che il messaggio non sia stato modificato durante il transito.
    Binding rapido
    Consente di specificare che ADSI non tenterà di eseguire una query sulla proprietà objectClass di Servizi di dominio Active Directory. Verranno pertanto esposte solo le interfacce di base supportate da tutti gli oggetti ADSI. Le altre interfacce supportate dall'oggetto non risulteranno disponibili. Gli utenti possono utilizzare questa opzione per incrementare le prestazioni in diverse operazioni di manipolazione degli oggetti che comportano solo l'utilizzo dei metodi delle interfacce di base. ADSI non verifica se gli oggetti richiesti sono presenti nel server.
    Binding del server
    Se il proprio ADsPath include un nome server, selezionare questa casella di controllo quando si utilizza il provider LDAP. Non selezionarla, invece, per i percorsi che includono un nome di dominio o per i percorsi senza server. Se si specifica un nome server senza selezionare questa casella di controllo, viene generato traffico di rete inutile.
    Delega
    Consente di attivare l'interfaccia ADSI (Active Directory Services Interface) per delegare il contesto di protezione dell'utente. Questa operazione è necessaria per spostare gli oggetti da un dominio all'altro.
    Server di sola lettura
    Per un provider WinNT, ADSI tenta di connettersi a un controller di dominio. Per Servizi di dominio Active Directory, questa casella di controllo selezionata indica che non è richiesto un server scrivibile per un binding senza server.
  8. Fare clic su OK.