Verbinden des Geoportals mit einer Benutzerverzeichnisstruktur
Der Geoportal Server unterstützt die Benutzerverwaltung durch Integration mit verschiedenen LDAP-Anbietern. In den Anweisungen des Installationsbuchs wird Apache Directory Server als Beispiel für eine Verzeichnisintegration verwendet. Ihre Organisation verwendet möglicherweise verschiedene Verzeichnisserver-Software. In diesem Thema wird erläutert, was Sie tun müssen, um das Geoportal mit diesen verschiedenen Systemen zu verbinden. In diesem Abschnitt werden außerdem wichtige Verzeichniskonzepte und Schritte zur Fehlerbehebung beschrieben, falls bei der Verzeichnisintegration in Geoportal Probleme auftreten.
- Wichtige Konzepte bei Verzeichnisverbindungen
- Fehlerbehebung bei der Verbindung des Geoportals mit dem Verzeichnisserver
- Konfigurieren des Geoportals mit Windows Active Directory, Oracle Internet Directory oder IBM Tivoli Directory Server
Wichtige Konzepte bei Verzeichnisverbindungen
Unten werden wichtige Konzepte für die Konfiguration Ihrer Geoportal-LDAP-Authentifizierungs-Konfiguration mit Ihrem Verzeichnisserver erklärt.
- Software zum Durchsuchen des Verzeichnisses: JXplorer und Apache Directory Studio
JXplorer oder Apache Directory Studio sind kostenlos verfügbare Werkzeuge zum Durchsuchen eines Verzeichnisservers. Es handelt sich dabei nicht um Produkte von Esri und das Geoportal ist nicht auf sie angewiesen. Da jedoch ein Verzeichnisserver-Client für diese Schritte zur Fehlerbehebung benötigt wird, wird in den Anweisungen unten davon ausgegangen, dass Sie diese oder ein anderes Werkzeug zum Durchsuchen eines Verzeichnisservers installiert und konfiguriert haben. In den Beispielen unten wird auf JXplorer verwiesen.
- LDAP-Verzeichnisstruktur
Das LDAP-Verzeichnis enthält eine Baumstruktur mit der Bezeichnung Directory Information Tree (DIT). Der Baum kann zahlreiche Verzweigungen haben, wobei Benutzer und Gruppen als Unterverzweigungen definiert werden. Unten finden Sie eine einfache Struktur, bei der sich Benutzer in der Verzweigung "system\users" und Gruppen in der Verzweigung "system\groups" befinden. In den meisten Organisationen ist der DIT jedoch komplexer. Es gibt möglicherweise Gruppen für verschiedene Regionen, Berechtigungsebenen, Projektteams usw. Es wird daher zwingend empfohlen, dass sich die erstellte Gruppenstruktur direkt den vordefinierten Geoportal-Rollen zuordnen lässt. Wenn dies nicht möglich ist, sollten Sie sich mit Ihrem LDAP-Systemadministrator besprechen, um die bestmögliche Zuordnung Ihrer vorhandenen Gruppen zu den Geoportal-Rollen zu finden.
- Definierte Namen
Jeder Benutzer oder jede Gruppe im DIT verfügt über einen eindeutigen Identifikator: den definierten Namen (DN). Der DN des Benutzers gptadmin im Screenshot oben lautet beispielsweise cn=gptadmin,ou=users,ou=system. Ein DN besteht aus einem eindeutigen Identifikator (dem cn-Teil) und dem Pfad, der dem Geoportal die Navigation zu diesem Benutzer oder dieser Gruppe innerhalb der DIT-Struktur ermöglicht (die Verzweigungen des DIT, die die ou-Teile sind). Sie können Ihre Software zum Durchsuchen von Verzeichnissen verwenden, um den DN für einen Benutzer oder eine Gruppe in den DIT zu kopieren und die Datei gpt.xml mit den richtigen Werten zu füllen. Stellen Sie mit Hilfe der Software zum Durchsuchen von Verzeichnissen eine Verbindung zu Ihrem LDAP her und markieren Sie anschließend den Benutzer oder die Gruppe, deren DN Sie benötigen, mit Ihrer Maus. Wenn Sie JXplorer verwenden, können Sie mit der rechten Maustaste klicken und die Option DN kopieren auswählen. Anschließend können Sie diesen Wert in Ihre gpt.xml-Datei einfügen.
Fehlerbehebung bei der Verbindung des Geoportals mit dem Verzeichnisserver
Hinweis:
In diesem Artikel wird ein Verständnis der LDAP-Konzepte, die oben in Wichtige Konzepte bei Verzeichnisverbindungen erläutert werden, vorausgesetzt.
Wenn bei der Weitergabe der LDAP-Informationen in das Geoportal Probleme auftreten, hat dies in den meisten Fällen einen der folgenden Gründe. Die Schritte für die Fehlerbehebung dieser Probleme werden unten beschrieben.
Fehlerbehebung bei falschen definierten Namen
In diesem Fall sind die definierten Namen (DN) von einem oder mehreren Parametern in den Abschnitten <roles>, <users> oder <groups> der gpt.xml-Datei falsch. Im Folgenden werden die Schritte zur Behebung erklärt:
- Öffnen Sie die Datei gpt.xml.
- Suchen Sie den Abschnitt <ldapAdapter>.
- Überprüfen Sie die folgenden Werte und verifizieren Sie, dass jedem Parameter ein korrekter DN zugeordnet ist. Sie können den genauen DN eines Benutzers oder einer Gruppe abrufen, indem Sie sich über die Software zum Durchsuchen von Verzeichnissen mit dem Verzeichnisbaum verbinden und den DN kopieren. Die Beispiele unten werden der Beispiel-Verzeichnisstruktur im Abschnitt Wichtige Konzepte bei Verzeichnisverbindungen oben zugeordnet.
gpt.xml-Parameter description Beispiel ldapConnectionProperties\ldapServiceAccount\catalogAdminDN
Das ist der DN eines Mitglieds der Geoportal-Administratorgruppe.
cn=gptadmin,ou=users,ou=system
roles\role\ groupDN
Es gibt drei dieser Einstellungen, die auf die DNs der drei Rollengruppen im Geoportal verweisen: Registrierte Geoportal-Benutzer, Publishers und Administratoren.
cn=gpt_registeredUsers,ou=groups,ou=system
users\newUserDNPattern
Dies ist der DN-Pfad, der angibt, wo ein Benutzereintrag eingefügt werden soll, wenn ein neuer Benutzer auf der Registrierungsseite des Geoportals erstellt wird.
cn={0},ou=users,ou=system
users\searchDIT
Dies ist der DN-Pfad, der angibt, wie durch den DIT navigiert werden muss, um Benutzer zu suchen.
ou=users,ou=system
groups\searchDIT
Dies ist der DN-Pfad, der angibt, wie durch den DIT navigiert werden muss, um die Rollengruppen des Geoportals zu suchen.
ou=groups,ou=system
Vorsicht:
Wenn Sie einen dieser Werte in Ihrer gpt.xml-Datei ändern, müssen Sie die Datei speichern und Ihre Geoportal-Webanwendung neu starten, damit die Änderungen wirksam werden.
Fehlerbehebung bei Problemen mit dem searchDIT
Wenn das Geoportal nicht auf die Verzweigung users des LDAP Directory Information Tree (DIT) zugreifen kann, können die Benutzer, die der Gruppe zugeordnet sind, nicht lokalisiert werden. Entscheidend ist, dass die searchDIT-Parameter die richtigen Werte haben. Das Geoportal kann möglicherweise Ihre Gruppe finden, es muss allerdings auch in der Lage sein, die Benutzer, die diesen Gruppen zugewiesen sind, zu finden. Im Folgenden werden die Schritte zur Behebung erklärt:
- Öffnen Sie Ihre Software zum Durchsuchen von Verzeichnissen, stellen Sie eine Verbindung mit Ihrer LDAP-Konfiguration her und notieren Sie sich den Ort Ihrer Benutzer im DIT.
- Notieren Sie sich anschließend den Ort der Geoportal-Gruppen.
- Überprüfen Sie nochmals die Parameter des searchDIT für die Abschnitte <users> und <groups> in der Datei gpt.xml. Stellen Sie sicher, dass Sie die Navigationsschritte im DIT korrekt angegeben haben, um sowohl Benutzer- als auch Gruppenverzweigungen zu erhalten.
Beheben von Problemen mit dem <ldapServiceAccount>-Parameter
Die Datei gpt.xml hat einen Abschnitt mit der Bezeichnung <ldapConnectionProperties>. Innerhalb dieses Abschnitts gibt es den Parameter <ldapServiceAccount>, in dem zwei Benutzer definiert sind. Bei den beiden Benutzern handelt sich um securityPrincipal und catalogAdminDN. Die beiden Benutzer haben verschiedene Funktionen und müssen nicht ein und derselbe Benutzer sein.
- Der Benutzer securityPrincipal dient der Verbindung mit dem LDAP-System und muss nicht – und ist gewöhnlich auch kein – Benutzer der Geoportal-Administratorgruppe sein.
- Der Benutzer catalogAdminDN ist ein Benutzer für die Administration des Geoportal-Katalogs und muss der Geoportal-Administratorgruppe angehören.
Konfigurieren des Geoportals mit Windows Active Directory, Oracle Internet Directory oder IBM Tivoli Directory Server
Standardmäßig ist die Geoportal gpt.xml-Benutzerverzeichnisintegration für Apache Directory Server konfiguriert. Dieser Abschnitt liefert Anweisungen für die Konfiguration des Geoportals zur Integration mit Windows Active Directory, Oracle Internet Directory oder IBM Tivoli Directory Server. Verwenden Sie diese Schritte und Beispiele als Ausgangspunkt, die Konfiguration Ihres Unternehmens weicht wahrscheinlich von den Beispielen ab. Die Schritte werden im Folgenden beschrieben.
Hinweis:
Im Folgenden finden Sie Beispiel-Screenshots der beschriebenen Konfigurationen. In diesem Beispielen sind die definierten Namen (DN) Platzhalter, die die LDAP-Struktur einer Musterorganisation darstellen. Elemente, die möglicherweise geändert werden müssen, um die entsprechende Verzeichnisserver-Software zu unterstützten, werden gelb hervorgehoben.
- Navigieren Sie zum Ordner \\geoportal\WEB-INF\classes\gpt\config, und öffnen Sie die Datei gpt.xml in einem Texteditor, wie z. B. Editor.
- Führen Sie in der Datei gpt.xml einen Bildlauf nach unten zu dem Abschnitt durch, in dem die LDAP-Verbindungsinformationen definiert sind. Diese beginnen mit dem Tag <ldapAdapter>.
- Konfigurieren Sie den LDAP-Definitionsteil wie im Geoportal-Installationshandbuch angegeben, und fügen Sie die Einträge für die LDAP-Verbindungen, -Rollen, -Benutzer und -Gruppen hinzu. Speichern Sie die Datei.
- Wenn Sie Windows Active Directory als Verzeichnisserver-Software haben, gehen Sie wie folgt vor. Wenn nicht, fahren Sie mit Schritt 5 oder 6 fort.
- Ersetzen Sie cn mit sAMAccountName im displayNameAttribute des <users>-Tag.
- Ändern Sie im Attribut usernameSearchPattern (&(objectclass=person)(cn={0})) in (&(objectclass=person)(sAMAccountName={0})).
- Suchen Sie im Element <userAttributeMap> <attribute> den Schlüssel für username. Ändern Sie den ldapName von uid in sAMAccountName.
- Ändern Sie im <groups>-Element memberAttribute uniquemember in member.
- Ändern Sie im memberSearchPattern (&(objectclass=groupOfUniqueNames)(uniquemember={0})) in (&(objectclass=group)(member:1.2.840.113556.1.4.1941:={0})).
- Beispiel für die Konfigurationsdatei:
- Fahren Sie mit Schritt 7 fort.
- Wenn Sie Oracle Internet Directory als Verzeichnisserver-Software haben, gehen Sie wie folgt vor. Wenn nicht, fahren Sie mit Schritt 6 fort.
- Ersetzen Sie cn mit uid im displayNameAttribute des <users>-Tag.
- Ändern Sie im Attribut usernameSearchPattern (&(objectclass=person)(cn={0})) in (&(objectclass=person)(uid={0})).
- Suchen Sie im Element <userAttributeMap> <attribute> den Schlüssel für username. Überprüfen Sie, dass der ldapName uid ist.
- Suchen Sie im <groups>-Element das Attribut DynamicMemberOfGroupsAttribute, und geben Sie controlid=2.16.840.1.113894.1.8.3 ein.
- Beispiel für die Konfigurationsdatei:
- Fahren Sie mit Schritt 7 fort.
- Wenn Sie IBM Trivoli als Verzeichnisserver-Software haben, gehen Sie wie folgt vor.
- Geben Sie im <groups>-Tag dynamicMemberOfGroupsAttribute ibm-allgroups ein.
- Geben Sie im dynamicMembersAttribute ibm-allmembers ein.
- Ändern Sie im memberAttribute uniquemember in member.
- Ändern Sie im memberSearchPattern &(objectclass=groupOfNames)(uniquemember={0})) in (&(objectclass=groupOfNames)(member={0})).
- Beispiel für die Konfigurationsdatei:
- Fahren Sie mit Schritt 7 fort.
- Speichern Sie die Datei gpt.xml, und starten Sie die Geoportal-Webanwendung neu, damit die Änderungen wirksam werden.