Um einen LDAP-Server in Fiona einzubinden, konfigurieren Sie bitte
zunächst die zu verwendenen Connectoren, indem Sie deren
Konfigurationsdatei in die Systemkonfigurationsdatei userManagement.xml
eintragen. Prüfen Sie die Connectoren-Konfigurationsdatei auf Richtigkeit
und Vollständigkeit und beachten Sie bitte auch die Hinweise zur LDAP-Konfiguration.
Prüfen Sie bitte anschließend das verwendete Connector-Skript im
Verzeichnis share/script/cm/serverCmds/userman/handler/
und
passen Sie es an.
Die LDAP-Anbindung kann jetzt ausprobiert werden, indem beispielsweise
die Tcl-Befehle listGroups
und
listSecondaryGroups
aufgerufen und das Ergebnis überprüft
wird.
Sollten die Gruppennamen der angebundenen LDAP-Server nicht ausgegeben werden, schalten Sie bitte die Protokollierung mit
CM -single % ::usermanager::type::handler::client::activateDebugging [level]
also beispielsweise mit
% ::usermanager::live::ldap::client::activateDebugging % ::usermanager::editorial::ldap::client::activateDebugging
ein und überprüfen Sie das Protokoll, nachdem Sie die Befehle nochmals ausgeführt haben.
Wenn die Verbindung nicht zustande kommt, prüfen Sie bitte die
Servernamen, die Namensauflösung, die Ports und andere für die
Netzwerkverbindung relevanten Parameter. Entsprechen die zurückgegebenen
Benutzer und Gruppen oder deren Zugehörigkeit zu Gruppen oder deren
Zugriffsrechte nicht den Erwartungen, prüfen Sie bitte, ob in der
Connectoren-Konfigurationsdatei, die in userManagement.xml
angegeben wurde, die LDAP-Parameter mit der tatsächlichen Konfiguration
übereinstimmen (siehe auch den folgenden Abschnitt).
Hinweise zur LDAP-Konfiguration
Ein LDAP-User-Login (DN = "distinguished name") kann beispielsweise folgendermaßen beschrieben werden:
uid="larry",ou=people,o=company.com
In der CMS-Systemkonfiguration wird dies mit uid
für
userIdColName
und ou=people,o=company.com
für
userSearchBase
angegeben. Gruppen haben das folgende
Format:
cn="admins",cn=groups,o=company.com
groupIdColName
ist also das erste
cn
, und groupSearchBase
ist
groups
. Die Mitglieder einer Gruppe werden
durch das Attribut uniqueMember
mit
jeweils einem Benutzer-DN definiert.
uniqueMember
kann mehrfach vorkommen. Ab
Version 6.5.0 kann das Attribut für die
Gruppenzugehörigkeit von Benutzern in der
LDAP-Konfigurationsdatei (z.B. um_ldap.xml
)
unter dem Eintrag groupToUserRelationAttribute
geändert werden.
Einige Benutzer- und Gruppen-Parameter im Content Manager haben
Entsprechungen im LDAP, die stattdessen angesprochen werden, wenn man sie
abfragt (beispielsweise cn
im LDAP entspricht
realName
im Content Manager). Der Wert des Parameters
users
wird mit Hilfe von uniqueMember
ermittelt. Dies geschieht in der Schnittstelle des Content Managers zum
Benutzermanager (siehe Das
Benutzer-Manager-Interface). Dort und in der LDAP-Server-Konfiguration
lassen sich Rechte und ihre Überprüfung leicht implementieren (unter
Verwendung zusätzlicher Attribute). In der gelieferten Fassung der
Interface-Datei gibt es keine Gruppen und nur den Benutzer
root
, der Superuser-Status und damit alle Rechte hat.
Für das Redaktionssystem wird der Connector internal
, für
das Live-System none
verwendet. internal
bewirkt,
dass der interne Benutzermanager des Content Managers verwendet wird,
während none
keine Benutzerdaten kennt und dementsprechend
nichts zurückgibt. none
darf nicht für das Redaktionssystem
verwendet werden.