LDAP/Active Directory

Zammad verfügt über eine leistungsstarke LDAP-Integration, die es Ihnen ermöglicht, eine einzige Quelle der Wahrheit zu haben. Durch die Verwendung dieser Integration wird die Anzahl der Zugangsdaten, die sich Ihre Benutzer merken müssen, reduziert.

Hinweis

Die LDAP-Quelle ist auch ein perfekter Kandidat für Zammads Kerberos Single Sign-On, funktioniert aber auch als Ergänzung zu anderen Anwendungen von Drittanbietern.

Screenshot zeigt die LDAP-Einstellungen von Zammad.

Einschränkungen

Bevor Sie fortfahren, beachten Sie bitte die folgenden Einschränkungen:

  • Mapping / Synchronisation von Organisationen ist nicht möglich

    Tipp

    Um dieses Problem zu umgehen können Sie die Verwendung der domainbasierten Zuweisungen in Betracht ziehen. Erfahren Sie mehr unter Organisationen.

  • Die LDAP-Synchronisierung von Zammad funktioniert nur in eine Richtung. Die Bearbeitung von Benutzereinstellungen oder Berechtigungen können bei der nächsten Synchronisierung überschrieben werden, abhängig von Ihrer Konfiguration.

  • Die Synchronisierung von Benutzeravataren aus LDAP wird nicht unterstützt.

  • Im Gegensatz zu den Benutzerfiltern können die Gruppenfilter nicht geändert werden.

  • Wenn ein Benutzer von einem LDAP-Server stammt, versucht Zammad zunächst, die Anmeldedaten anhand von LDAP zu überprüfen - wenn dies fehlschlägt, prüft Zammad seine lokale Datenbank.

    Warnung

    Benutzer können lokale Passwörter haben, auch wenn sie LDAP-Benutzer sind! Sie können mehr über Benutzerkonten im Allgemeinen unter Benutzer erfahren.

  • Wenn mehrere LDAP-Quellen denselben Benutzer (d.h. dieselbe E-Mail-Adresse) enthalten, wird der betreffende Benutzer mit jeder konfigurierten Quelle aktualisiert. Die letzte LDAP-Quelle gewinnt. Siehe Issue 4109 für weitere Details.

  • Die Synchronisationsstatistiken betreffen derzeit alle konfigurierten LDAP-Quellen. Dies gilt auch für neu hinzugefügte oder aktualisierte Quellen. Siehe Issue 4108 für weitere Details.

  • Zammad bietet derzeit nur begrenzte Unterstützung für Fallback-Server. Sie können dies umgehen, indem Sie mehrere Quellen einrichten - stellen Sie jedoch sicher, dass Sie die exakt gleiche Konfiguration auf Ihrem Fallback-Server haben. Siehe Issue 4107 für weitere Details.

Verwalten von LDAP-Quellen

Eine neue Quelle hinzufügen

Über die Schaltfläche Neue Quelle können Sie neue LDAP-Quellen zu Ihrer Installation hinzufügen. Sie sind in der Anzahl der Quellen nicht beschränkt, bedenken Sie jedoch, dass viele Quellen auch mehr Zeit für die Synchronisierung benötigen.

Sie können zwischen verschiedenen Verschlüsselungsarten wählen, nämlich SSL und STARTTLS oder keine von beiden („kein SSL“). Wenn Sie sich für SSL oder STARTTLS entscheiden, zeigt Zammad eine zusätzliche Option SSL-Verifizierung an, mit der Sie die Überprüfung deaktivieren können, z.B. für selbst signierte SSL-Zertifikate. Sie können Zammad auch anweisen, einen anderen Port zu verwenden, indem Sie :<Portnummer> an Ihren Hostnamen/IP anhängen.

Screenshot der Konfiguration einer neuen LDAP-Quelle mit SSL-Verschlüsselung und SSL-Verifizierung

Neue Quelle mit aktivierter SSL-Verschlüsselung und Zertifikatsüberprüfung

Tipp

Die Verwendung eines Benutzerfilters kann eine gute Idee sein, wenn Sie nur eine Teilmenge Ihrer LDAP-Benutzer in Zammad benötigen. Da Active Directories ziemlich spezifisch hinsichtlich der Filterung nach aktiven Benutzern sind, finden Sie weitere Informationen in der Dokumentation von Microsoft.

  • Da sich jedes LDAP anders verhält, welche Attribute wie gesetzt werden, kümmert sich Zammad nicht um irgendwelche Flags.

  • Benutzer, die nicht mehr von Ihrer LDAP-Quelle zurückgegeben werden, werden automatisch auf inaktiv gesetzt. Zammad geht davon aus, dass der Benutzer deaktiviert wurde.

  • Benutzer werden niemals automatisch entfernt! Wenn Sie veraltete Benutzer entfernen wollen, verwenden Sie Datenschutz.

Gefahr

Editieren Sie keine Pfade von LDAP-Attributen oder Gruppen manuell. Wenn Zammad sie nicht anzeigt, kann es sie entweder nicht finden oder Sie haben viele Benutzer, bei denen die Attribute nicht ausgefüllt sind.

Zammad wird immer nur Attribute zurückgeben, die ausgefüllt sind - dies reduziert die Liste der zurückgegebenen Attribute erheblich.

Screenshot zeigt das Hinzufügen einer neuen Beispiel-LDAP-Quelle

Bemerkung

Wenn Ihr LDAP-System keine anonyme Verbindung zulässt, erkennt Zammad dies und stellt Ihnen ein editierbares Text-Feld „Basis-DN“ anstelle eines vorausgefüllten Auswahl-Feldes zur Verfügung.

Hinweis

Falls Ihre LDAP-Gruppen einer Hierarchie folgen, können Sie allen Mitgliedern der verschachtelten Gruppen Zammad-Rollen zuweisen.

Setzen Sie das Dropdown-Menü Verschachtelte einbeziehen einfach auf Ja, und alle Mitglieder der untergeordneten Gruppen werden bei der Rollenzuweisung berücksichtigt.

Screenshot zeigt Option "Verschachtelte Gruppen" für die Rollenzuweisung

Vorhandene Quelle überprüfen oder bearbeiten

Wenn Sie auf eine LDAP-Quelle klicken, erhalten Sie eine Übersicht über die Konfiguration und das Mapping.

Bei Bedarf können Sie dann die Schaltfläche Ändern verwenden, um entweder den Namen, den Status (aktiv oder nicht) oder die gesamte Konfiguration zu aktualisieren. Wenn Sie die gesamte Konfiguration ändern, ist der Dialog identisch mit dem bei der Erstellung der Quelle.

Bemerkung

Hat sich Ihr LDAP-Server geändert? Verschiedene LDAP-Server haben unterschiedliche Strukturen und Standardattribute. Dies führt dazu, dass die LDAP-Synchronisierung wahrscheinlich fehlschlägt. Entfernen Sie die betroffene Quelle und fügen Sie sie erneut hinzu.

Reihenfolge der LDAP-Quellen ändern

Sie können die Reihenfolge der Synchronisierung jederzeit ändern. Zammad wird die Quellen von oben nach unten synchronisieren. Um die Reihenfolge zu ändern, ziehen Sie die Quellen einfach per Drag & Drop mit dem ≣-Griff.

Eine Quelle entfernen

Wenn Sie eine LDAP-Quelle nicht mehr benötigen oder einfach neu beginnen möchten, können Sie sie jederzeit entfernen. Synchronisierte Benutzer, synchronisierte Daten oder Berechtigungen werden dabei nicht entfernt.

Wenn Sie nicht sicher sind, ob Sie die Quelle später noch benötigen, setzen Sie sie stattdessen auf inaktiv.

Aktuellste Protokolle

Dieser Abschnitt enthält alle Anfragen an alle LDAP-Quellen. Diese Einträge können entweder Synchronisationsinformationen oder Logins (Authentifizierungsversuche über die Login-Schnittstelle von Zammad) enthalten.

Wenn Sie auf eine Anfrage klicken, stellt Zammad weitere Informationen zur Verfügung. Die bereitgestellten Informationen können nützlich sein, wenn etwas nicht wie erwartet funktioniert.

Bemerkung

LDAP-Synchronisationen können viele Log-Einträge verursachen. Das Webinterface beschränkt die Anzahl der angezeigten Einträge immer auf die letzten 50 Einträge.

Screencast mit LDAP-Protokollen und Detailansicht eines Eintrags.