LDAP / Active Directory

Zammad è dotato di una potente integrazione LDAP che ti consente di avere una singola fonte di verità. L’utilizzo di questa integrazione riduce il numero di credenziali di accesso che i tuoi utenti devono ricordare.

Suggerimento

La sorgente LDAP è anche un candidato perfetto per il Single Sign-On Kerberos di Zammad, ma funziona anche come aggiunta ad altri Applicazioni di terze parti.

Screenshot mostra le impostazioni LDAP di Zammad.

Limitazioni

Prima di continuare, si prega di notare le seguenti limitazioni:

  • La mappatura / sincronizzazione delle organizzazioni non è possibile

    Suggerimento

    Potresti voler considerare l’utilizzo di assegnazioni basate sul dominio per superare questo problema. Ulteriori informazioni su Organizzazioni.

  • La sincronizzazione LDAP di Zammad è unidirezionale. Le impostazioni utente o le autorizzazioni modificate potrebbero essere sovrascritte alla prossima sincronizzazione a seconda della tua configurazione.

  • La sincronizzazione degli avatar utente da LDAP non è supportata.

  • A differenza dei filtri utente, i filtri di gruppo non possono essere modificati.

  • Quando un utente proviene da un server LDAP, Zammad tenterà prima di verificare le credenziali di accesso rispetto a LDAP - se questo fallisce, Zammad controllerà il suo database locale.

    Avvertimento

    Gli utenti possono avere password locali anche se sono utenti LDAP! Puoi scoprire di più sugli account utente in generale su Utenti.

  • Quando diverse sorgenti LDAP contengono lo stesso utente (cioè lo stesso indirizzo email), l’utente in questione verrà aggiornato con ogni sorgente configurata. L”ultima sorgente LDAP vincerà. Vedi Issue 4109 per maggiori dettagli.

  • Le statistiche di sincronizzazione attualmente interessano tutte le sorgenti LDAP configurate. Questo vale anche per le sorgenti aggiunte o aggiornate di recente. Vedi Issue 4108 per maggiori dettagli.

  • Zammad ha attualmente un supporto limitato per server di fallback. Puoi aggirare questo problema fornendo diverse sorgenti - tuttavia, assicurati di avere la stessa configurazione esatta sul tuo fallback. Vedi Issue 4107 per maggiori informazioni.

Gestisci sorgenti LDAP

Aggiungi una nuova sorgente

Utilizzando il pulsante Nuova Sorgente puoi aggiungere nuove sorgenti LDAP alla tua installazione. Non sei limitato nel numero di sorgenti, tuttavia, tieni presente che molte sorgenti richiederanno anche più tempo per la sincronizzazione.

Puoi scegliere tra diversi tipi di crittografia, ovvero SSL e STARTTLS o nessuno di essi («Nessun SSL»). Se scegli SSL o STARTTLS, Zammad visualizzerà un’opzione aggiuntiva Verifica SSL che ti consente di disabilitare la verifica, ad esempio per certificati SSL autofirmati. Puoi anche dire a Zammad di utilizzare una porta diversa aggiungendo :<numero porta> al tuo hostname/IP.

Screenshot della configurazione di una nuova sorgente LDAP con crittografia SSL e verifica SSL

Nuova Sorgente con sicurezza di trasporto SSL abilitata e verifica del certificato

Suggerimento

Utilizzare un filtro utente può essere una buona idea se hai bisogno solo di un piccolo sottoinsieme dei tuoi utenti LDAP in Zammad. Poiché le Active Directory sono piuttosto specifiche su come filtrare solo gli utenti attivi, si prega di consultare la documentazione di Microsoft per maggiori informazioni.

  • Poiché ogni LDAP si comporta diversamente riguardo a quali attributi e come vengono impostati, Zammad non si preoccupa di alcun flag.

  • Gli utenti che non vengono più restituiti dalla tua sorgente LDAP verranno automaticamente impostati come inattivi. Zammad presume che l’utente sia stato disattivato.

  • Gli utenti non verranno mai rimossi automaticamente! Se desideri rimuovere utenti obsoleti, utilizza Privacy dei Dati.

Pericolo

Non scrivere manualmente i percorsi degli attributi LDAP o dei gruppi. Se Zammad non li visualizza, non riesce a trovarli o hai molti utenti che non hanno gli attributi popolati.

Zammad restituirà sempre solo gli attributi che sono compilati - questo riduce notevolmente l’elenco degli attributi restituiti.

Screenshot che mostra l'aggiunta di una nuova sorgente LDAP di esempio

Nota

Se il tuo sistema LDAP non consente il bind anonimo, Zammad lo rileva e ti fornisce un campo di testo «Base DN» modificabile invece di un campo di selezione precompilato.

Suggerimento

Nel caso in cui i tuoi gruppi LDAP seguano una gerarchia, puoi scegliere di assegnare ruoli Zammad a tutti i membri dei gruppi nidificati.

Imposta semplicemente il menu a discesa Includi nidificati su e tutti i membri dei gruppi figli saranno considerati per l’assegnazione del ruolo.

Screenshot che mostra l'opzione gruppi nidificati per l'assegnazione del ruolo

Revisiona o modifica sorgente esistente

Facendo clic su una sorgente LDAP verrà fornita una panoramica della configurazione e della mappatura.

Se necessario, puoi quindi utilizzare il pulsante Modifica per aggiornare il nome, lo stato attivo o l’intera configurazione. Se stai modificando l’intera configurazione, la finestra di dialogo sarà identica alla creazione della sorgente.

Nota

Il tuo server LDAP è cambiato? Server LDAP diversi hanno strutture e attributi predefiniti diversi. Ciò causa il probabile fallimento della sincronizzazione LDAP. Considera di rimuovere la sorgente interessata e riaggiungerla.

Modifica ordine sorgenti LDAP

Puoi cambiare l’ordine di sincronizzazione per ogni sorgente in qualsiasi momento. Zammad sincronizzerà le sorgenti dall’alto verso il basso. Per cambiare l’ordine, semplicemente trascina e rilascia le sorgenti con la maniglia ≣.

Rimuovi una sorgente

Se non hai più bisogno di una sorgente LDAP o semplicemente vuoi ricominciare, puoi rimuoverla in qualsiasi momento. Questo non rimuoverà gli utenti sincronizzati, i dati sincronizzati o le autorizzazioni.

Se non sei sicuro se avrai bisogno della sorgente in futuro, impostala su inattiva invece.

Log Recenti

Questa sezione contiene tutte le richieste che Zammad ha gestito per tutte le sorgenti LDAP. Queste voci possono contenere informazioni di sincronizzazione o accessi (tentativi di autenticazione tramite l’interfaccia di accesso di Zammad).

Facendo clic su qualsiasi richiesta, Zammad fornirà ancora più informazioni. Le informazioni fornite possono essere utili quando qualcosa non funziona come previsto.

Nota

In particolare una sincronizzazione LDAP può causare molte voci di log. L’interfaccia web limiterà sempre il numero di voci mostrate alle ultime 50.

Screencast che mostra le voci di log dell'integrazione LDAP e una vista di dettaglio su un elemento.