Synchronizace uživatelů s Active Directory (AD): Porovnání verzí
m (naimportována 1 revize) |
|||
(Není zobrazena jedna mezilehlá verze od stejného uživatele.) | |||
Řádek 1: | Řádek 1: | ||
− | Uživatelé | + | Uživatelé systému enTeam mohou být synchronizováni vůči Active Directory (AD). Zvláště v případě, kdy je využíváno [[Způsoby přihlašování do enTeam User|přihlášení přebírané z Windows]], při kterém není třeba zadávat jméno a heslo uživatele, je synchronizace s AD výhodná a doporučovaná. |
− | Pro synchronizaci slouží aplikace MU_AD_synchro.exe. Synchronizace je jednosměrná směrem z AD do | + | Pro synchronizaci slouží aplikace MU_AD_synchro.exe. Synchronizace je jednosměrná směrem z AD do enTeam User, tzn. v AD se neprovádějí žádné změny. |
Parametry spouštění se nastavují v INI souboru Serie_m.ini nebo Parent.ini v sekci [M/USER AD]. | Parametry spouštění se nastavují v INI souboru Serie_m.ini nebo Parent.ini v sekci [M/USER AD]. | ||
Řádek 15: | Řádek 15: | ||
<pre> | <pre> | ||
[M/USER AD] | [M/USER AD] | ||
− | synchfirm= | + | synchfirm=Leviom |
synchdepartment=IT | synchdepartment=IT | ||
− | ADgroupForSynch= | + | ADgroupForSynch=enTreamUsers |
ADserver=ADSERVERNAME | ADserver=ADSERVERNAME | ||
deleteroles=false | deleteroles=false | ||
Řádek 40: | Řádek 40: | ||
<pre>ADServer</pre> Název serveru (případně IP adresa), na kterém je AD spuštěné. | <pre>ADServer</pre> Název serveru (případně IP adresa), na kterém je AD spuštěné. | ||
− | <pre>ADGroupForSynch</pre> Skupina v AD, která se bude s | + | <pre>ADGroupForSynch</pre> Skupina v AD, která se bude s enTeam User synchronizovat. |
− | <pre>SynchFirm</pre> Název firmy, ve které se budou uživatelé vytvářet (v aplikaci | + | <pre>SynchFirm</pre> Název firmy, ve které se budou uživatelé vytvářet (v aplikaci enTeam User). |
<pre>SynchDepartment</pre> Název oddělení, ve kterém se budou uživatelé standardně vytvářet (v závislosti na nastavení CreateOU). | <pre>SynchDepartment</pre> Název oddělení, ve kterém se budou uživatelé standardně vytvářet (v závislosti na nastavení CreateOU). | ||
Řádek 48: | Řádek 48: | ||
<pre>CreateOU</pre> | <pre>CreateOU</pre> | ||
Synchronizace uživatelů dle organizačních jednotek v AD, výchozí hodnota False<br> | Synchronizace uživatelů dle organizačních jednotek v AD, výchozí hodnota False<br> | ||
− | True - uživatelé se budou zakládat v | + | True - uživatelé se budou zakládat v enTeam User dle organizačních jednotek v AD, uživatelé, kteří nejsou zařazeni do žádné OU, budou založeni v oddělení zadaném svým jménem v SynchDepartment<br> |
False - uživatelé se budou zakládat nezávisle na organizačních jednotkách v AD do oddělení zadaného v SynchDepartment<br> | False - uživatelé se budou zakládat nezávisle na organizačních jednotkách v AD do oddělení zadaného v SynchDepartment<br> | ||
Řádek 55: | Řádek 55: | ||
Synchronizovat se budou uživatelé z této organizační jednotky, kteří mají přiřazenou skupinu ADGroupForSynch.<br> | Synchronizovat se budou uživatelé z této organizační jednotky, kteří mají přiřazenou skupinu ADGroupForSynch.<br> | ||
Tato položka není povinná a pokud není nastavena, tak se prohledává celý strom organizačních jednotek.<br> | Tato položka není povinná a pokud není nastavena, tak se prohledává celý strom organizačních jednotek.<br> | ||
− | Pořadí v jakém mají být organizační jednotky uvedeny směrem od listů, tzn. že dle příkladu je | + | Pořadí v jakém mají být organizační jednotky uvedeny směrem od listů, tzn. že dle příkladu je Helpdesk vnořen do Leviom: ADouSynch=OU=Helpdesk,OU=Leviom<br> |
<pre>DeleteRoles</pre> | <pre>DeleteRoles</pre> | ||
− | Parametr určující, zda budou při synchronizaci uživatele smazány v | + | Parametr určující, zda budou při synchronizaci uživatele smazány v enTeam User role, které neexistují jako skupiny v AD<br> |
− | True - Role budou z | + | True - Role budou z enTeam User mazány<br> |
− | False - Role budou v | + | False - Role budou v enTeam User ponechány<br> |
<pre>Properties</pre> | <pre>Properties</pre> | ||
Řádek 68: | Řádek 68: | ||
Nastavení POP3 schránky pro uživatele, výchozí nastavení Login<br> | Nastavení POP3 schránky pro uživatele, výchozí nastavení Login<br> | ||
Emtpy - uživatelům toto pole vymaže<br> | Emtpy - uživatelům toto pole vymaže<br> | ||
− | Previous - nechá nastavenou předchozí hodnotu, tzn. POP3 jméno může být nastavováno z | + | Previous - nechá nastavenou předchozí hodnotu, tzn. POP3 jméno může být nastavováno z enTeam User, aniž by bylo při synchronizaci smazáno<br> |
Login - uživatelům se nastaví stejné POP3 jméno, jako mají login v AD<br> | Login - uživatelům se nastaví stejné POP3 jméno, jako mají login v AD<br> | ||
Řádek 77: | Řádek 77: | ||
<pre>Password</pre> | <pre>Password</pre> | ||
− | Heslo do | + | Heslo do enTeam User, může nabývat hodnot Empty, FromParam, DontDelete<br> |
Empty - smazání hesla do M/User<br> | Empty - smazání hesla do M/User<br> | ||
FromParam - nastaví heslo do MTB podle třetího parametru, se kterým se volal MU_AD_Synchro.exe<br> | FromParam - nastaví heslo do MTB podle třetího parametru, se kterým se volal MU_AD_Synchro.exe<br> | ||
Řádek 85: | Řádek 85: | ||
Výchozí heslo pro nově přidané uživatele z AD<br> | Výchozí heslo pro nově přidané uživatele z AD<br> | ||
Začíná-li zde uvedené heslo znakem '#', pak jde o zakryptované heslo! <br> | Začíná-li zde uvedené heslo znakem '#', pak jde o zakryptované heslo! <br> | ||
− | Pro získání zakryptovaného hesla kontaktujte | + | Pro získání zakryptovaného hesla kontaktujte firmu Leviom data.<br> |
<pre>SynchUsersWithoutFirstname</pre> | <pre>SynchUsersWithoutFirstname</pre> | ||
Řádek 94: | Řádek 94: | ||
<pre>CreateMUserGroups</pre> | <pre>CreateMUserGroups</pre> | ||
− | Zakládání SKUPIN v | + | Zakládání '''SKUPIN''' v enTeam User dle skupin v AD, výchozí hodnota True<br> |
− | True - z AD se budou přenášet skupiny a budou se podle nich zakládat skupiny v | + | True - z AD se budou přenášet skupiny a budou se podle nich zakládat skupiny v enTeam User<br> |
− | False - nesychronizovat skupiny AD do | + | False - nesychronizovat skupiny AD do enTeam User<br> |
<pre>CreateMuserTemplates</pre> | <pre>CreateMuserTemplates</pre> | ||
− | Zakládání ROLÍ v | + | Zakládání '''ROLÍ''' v enTeam User dle skupin v AD, výchozí hodnota True<br> |
− | True - z AD se budou přenášet skupiny a budou se podle nich zakládat role v | + | True - z AD se budou přenášet skupiny a budou se podle nich zakládat role v enTeam User<br> |
− | False - nesychronizovat skupiny AD s rolemi v | + | False - nesychronizovat skupiny AD s rolemi v enTeam User<br> |
<pre>DeactivateUsers</pre> | <pre>DeactivateUsers</pre> | ||
− | Mazání / deaktivace uživatelů v | + | Mazání/deaktivace uživatelů v enTeam User, výchozí hodnota True<br> |
− | True - uživatelé budou deaktivovaní v | + | True - uživatelé budou deaktivovaní v enTeam User, pokud již nejsou v AD<br> |
− | False - !!!uživatelé budou VYMAZANÍ z | + | False - !!!uživatelé budou '''VYMAZANÍ''' z enTeam User, pokud již nejsou v AD!!!<br> |
<pre>SynchByGUID</pre> | <pre>SynchByGUID</pre> | ||
Synchronizace dle GUID zadaného v AD, výchozí hodnota False<br> | Synchronizace dle GUID zadaného v AD, výchozí hodnota False<br> | ||
− | True - uživatelé jsou synchronizováni dle GUID zadaného v AD a GUID v | + | True - uživatelé jsou synchronizováni dle GUID zadaného v AD a GUID v enTeam User<br> |
False - uživatelé jsou synchronizovaní dle uživatelského jména<br> | False - uživatelé jsou synchronizovaní dle uživatelského jména<br> | ||
− | V případě, že nastavujete synchronizaci AD uživatelů společně s prvotní instalací celého systému, můžete zadat přímo hodnotu True. Pokud ale nasazujete synchronizaci AD uživatelů na již používaný | + | V případě, že nastavujete synchronizaci AD uživatelů společně s prvotní instalací celého systému, můžete zadat přímo hodnotu True. Pokud ale nasazujete synchronizaci AD uživatelů na již používaný enTeam User, je třeba ji nejprve spustit s parametrem False. Při této synchronizaci dojde k uložení uživatelských GUID z AD k již existujícím uživatelům v enTeam User. Teprve poté nastavte pravidelnou synchronizaci s parametrem True. |
<pre>Test</pre> | <pre>Test</pre> | ||
Test připojení k AD, výchozí hodnota False <br> | Test připojení k AD, výchozí hodnota False <br> | ||
True - synchronizace s AD se neprovádí, pouze je vypsáno připojení k AD serveru pro ověření nastavení<br> | True - synchronizace s AD se neprovádí, pouze je vypsáno připojení k AD serveru pro ověření nastavení<br> | ||
− | False - | + | False - synchronizace enTeam User s AD se provádí bez omezení<br> |
<pre>DontDelete</pre> | <pre>DontDelete</pre> | ||
− | Název role v | + | Název role v enTeam User, jejíž uživatelé nebudou mazáni, tj. pokud uživatel má nastavenu tuto roli, nebude nikdy smazán. |
<pre>ErrorLevel</pre> | <pre>ErrorLevel</pre> | ||
Řádek 127: | Řádek 127: | ||
==Logování== | ==Logování== | ||
Úroveň logování se nastavuje v klíči <code>Errorlevel</code>.<br> | Úroveň logování se nastavuje v klíči <code>Errorlevel</code>.<br> | ||
− | <code>Errorlevel=4</code> nastaví | + | <code>Errorlevel=4</code> nastaví logování informací o průběhu synchronizace.<br> |
− | <code>Errorlevel=5</code> nastaví | + | <code>Errorlevel=5</code> nastaví logování informací a podrobnosti (ladící informace) o průběhu synchronizace. |
==Příklad spuštění MU_AD_synchro.exe== | ==Příklad spuštění MU_AD_synchro.exe== | ||
Řádek 143: | Řádek 143: | ||
* do souboru MU_AD_synchro.vbs zapsat jako třetí parametr část Vašeho hesla (bez části, která je stejná jako uživatelské jméno)<br> | * do souboru MU_AD_synchro.vbs zapsat jako třetí parametr část Vašeho hesla (bez části, která je stejná jako uživatelské jméno)<br> | ||
Např.: WshShell.Run "<font style="font-family: 'Lucida Console', Monaco, monospace">MU_AD_synchro.exe ADjmeno ADheslo 1234</font>" (číslice 1234 nahraďte Vaší alternativou)<br> | Např.: WshShell.Run "<font style="font-family: 'Lucida Console', Monaco, monospace">MU_AD_synchro.exe ADjmeno ADheslo 1234</font>" (číslice 1234 nahraďte Vaší alternativou)<br> | ||
− | Pro uživatele " | + | Pro uživatele "novak" a klíč "POP3Suffix=leviom" pak bude nastaven POP3 účet "novak@leviom.cz" a heslo "novak1234" |
* spustit soubor Encrypt.bat ... dojde k vytvoření zakryptovaného souboru MU_AD_synchro.vbe | * spustit soubor Encrypt.bat ... dojde k vytvoření zakryptovaného souboru MU_AD_synchro.vbe | ||
* pro bezpečnost smažte MU_AD_synchro.vbs | * pro bezpečnost smažte MU_AD_synchro.vbs |
Aktuální verze z 14. 8. 2020, 07:22
Uživatelé systému enTeam mohou být synchronizováni vůči Active Directory (AD). Zvláště v případě, kdy je využíváno přihlášení přebírané z Windows, při kterém není třeba zadávat jméno a heslo uživatele, je synchronizace s AD výhodná a doporučovaná.
Pro synchronizaci slouží aplikace MU_AD_synchro.exe. Synchronizace je jednosměrná směrem z AD do enTeam User, tzn. v AD se neprovádějí žádné změny. Parametry spouštění se nastavují v INI souboru Serie_m.ini nebo Parent.ini v sekci [M/USER AD].
Synchronizace se spouští ve tvaru
MU_AD_synchro.exe AD_Name AD_Password
Parametry aplikace jsou uživatelské jméno a heslo z AD. Lze využít libovolný účet z AD, doporučuje se vytvořit speciální účet, který nemá povoleno přihlašování.
Všichni uživatelé, kteří byli založeni pomocí MU_AD_Synchro, mají u sebe uložen příznak (atribut UserFromAD=True), který popisuje způsob jejich vytvoření. Uživatelé bez tohoto příznaku, tzn. "ručně" vytvoření, nebudou při synchronizaci bráni v potaz.
Obsah
Příklad nastavení parametrů v INI souboru
[M/USER AD] synchfirm=Leviom synchdepartment=IT ADgroupForSynch=enTreamUsers ADserver=ADSERVERNAME deleteroles=false properties=givenName;mobile pop3name=previous pop3suffix=AD synchuserswithoutfirstname=false createMUSERgroups=false createMUSERtemplates=false deactivateUsers=FALSE synchByGUID=TRUE createOU=FALSE test=false debugmode=false Password=DontDelete DefaultPassword=DefPass123
Popis jednotlivých klíčů
ADServer
Název serveru (případně IP adresa), na kterém je AD spuštěné.
ADGroupForSynch
Skupina v AD, která se bude s enTeam User synchronizovat.
SynchFirm
Název firmy, ve které se budou uživatelé vytvářet (v aplikaci enTeam User).
SynchDepartment
Název oddělení, ve kterém se budou uživatelé standardně vytvářet (v závislosti na nastavení CreateOU).
CreateOU
Synchronizace uživatelů dle organizačních jednotek v AD, výchozí hodnota False
True - uživatelé se budou zakládat v enTeam User dle organizačních jednotek v AD, uživatelé, kteří nejsou zařazeni do žádné OU, budou založeni v oddělení zadaném svým jménem v SynchDepartment
False - uživatelé se budou zakládat nezávisle na organizačních jednotkách v AD do oddělení zadaného v SynchDepartment
ADouSynch
Bude se prohledávat pouze uvedená organizační jednotka a její podsložky.
Synchronizovat se budou uživatelé z této organizační jednotky, kteří mají přiřazenou skupinu ADGroupForSynch.
Tato položka není povinná a pokud není nastavena, tak se prohledává celý strom organizačních jednotek.
Pořadí v jakém mají být organizační jednotky uvedeny směrem od listů, tzn. že dle příkladu je Helpdesk vnořen do Leviom: ADouSynch=OU=Helpdesk,OU=Leviom
DeleteRoles
Parametr určující, zda budou při synchronizaci uživatele smazány v enTeam User role, které neexistují jako skupiny v AD
True - Role budou z enTeam User mazány
False - Role budou v enTeam User ponechány
Properties
Standardně se přenášejí základní vlastnosti uživatele jako např. jméno, příjmení, login, email, atd. V případě požadavku na přenos jiných vlastností se jejich seznam uvede v tomto parametru. Jednotlivé klíče jsou odděleny středníkem. Přenesené vlastnosti se uloží jako atributy uživatele.
POP3Name
Nastavení POP3 schránky pro uživatele, výchozí nastavení Login
Emtpy - uživatelům toto pole vymaže
Previous - nechá nastavenou předchozí hodnotu, tzn. POP3 jméno může být nastavováno z enTeam User, aniž by bylo při synchronizaci smazáno
Login - uživatelům se nastaví stejné POP3 jméno, jako mají login v AD
POP3Suffix
Tvar adresy, ze které se budou odesílat maily.
AD - mailová adresa bude načtena z AD
pro ostatní hodnoty bude e-mailová adresa vygenerována ve tvaru Login@POP3Suffix.cz
Password
Heslo do enTeam User, může nabývat hodnot Empty, FromParam, DontDelete
Empty - smazání hesla do M/User
FromParam - nastaví heslo do MTB podle třetího parametru, se kterým se volal MU_AD_Synchro.exe
DontDelete - novému uživateli nastaví heslo dle klíče DefaultPassword, stávajícímu uživateli heslo nemění
DefaultPassword
Výchozí heslo pro nově přidané uživatele z AD
Začíná-li zde uvedené heslo znakem '#', pak jde o zakryptované heslo!
Pro získání zakryptovaného hesla kontaktujte firmu Leviom data.
SynchUsersWithoutFirstname
Synchronizace uživatelů bez zadaného křestního jména v AD, výchozí hodnota True
True - synchronizovat bez ohledu na to, zda je křestní jméno uživatele v AD zadané
False - nesychronizovat uživatele, kteří nemají v AD zadané křestní jméno.
Využívá se např. pro omezení synchronizace technických uživatelů uložených v AD.
CreateMUserGroups
Zakládání SKUPIN v enTeam User dle skupin v AD, výchozí hodnota True
True - z AD se budou přenášet skupiny a budou se podle nich zakládat skupiny v enTeam User
False - nesychronizovat skupiny AD do enTeam User
CreateMuserTemplates
Zakládání ROLÍ v enTeam User dle skupin v AD, výchozí hodnota True
True - z AD se budou přenášet skupiny a budou se podle nich zakládat role v enTeam User
False - nesychronizovat skupiny AD s rolemi v enTeam User
DeactivateUsers
Mazání/deaktivace uživatelů v enTeam User, výchozí hodnota True
True - uživatelé budou deaktivovaní v enTeam User, pokud již nejsou v AD
False - !!!uživatelé budou VYMAZANÍ z enTeam User, pokud již nejsou v AD!!!
SynchByGUID
Synchronizace dle GUID zadaného v AD, výchozí hodnota False
True - uživatelé jsou synchronizováni dle GUID zadaného v AD a GUID v enTeam User
False - uživatelé jsou synchronizovaní dle uživatelského jména
V případě, že nastavujete synchronizaci AD uživatelů společně s prvotní instalací celého systému, můžete zadat přímo hodnotu True. Pokud ale nasazujete synchronizaci AD uživatelů na již používaný enTeam User, je třeba ji nejprve spustit s parametrem False. Při této synchronizaci dojde k uložení uživatelských GUID z AD k již existujícím uživatelům v enTeam User. Teprve poté nastavte pravidelnou synchronizaci s parametrem True.
Test
Test připojení k AD, výchozí hodnota False
True - synchronizace s AD se neprovádí, pouze je vypsáno připojení k AD serveru pro ověření nastavení
False - synchronizace enTeam User s AD se provádí bez omezení
DontDelete
Název role v enTeam User, jejíž uživatelé nebudou mazáni, tj. pokud uživatel má nastavenu tuto roli, nebude nikdy smazán.
ErrorLevel
Nastavuje úroveň logování aplikace viz Logování. Pokud klíč není uveden, loguje se podle klíče uvedeném v sekci [SERIE M/...].
Logování
Úroveň logování se nastavuje v klíči Errorlevel
.
Errorlevel=4
nastaví logování informací o průběhu synchronizace.
Errorlevel=5
nastaví logování informací a podrobnosti (ladící informace) o průběhu synchronizace.
Příklad spuštění MU_AD_synchro.exe
Spuštění synchronizace bez přenášení hesel pro pop3 účty:
MU_AD_synchro.exe ADjmeno ADheslo
Spuštění synchronizace s generováním hesel pro POP3 účty:
Heslo pro pop3 účet bude vytvořeno sloučením uživatelského jména a kombinací znaků popsaných níže.
Aby nebyla část vašeho hesla viditelná lze soubor s údaji zakryptovat pomocí níže uvedeného postupu:
- do souboru MU_AD_synchro.vbs zapsat jako třetí parametr část Vašeho hesla (bez části, která je stejná jako uživatelské jméno)
Např.: WshShell.Run "MU_AD_synchro.exe ADjmeno ADheslo 1234" (číslice 1234 nahraďte Vaší alternativou)
Pro uživatele "novak" a klíč "POP3Suffix=leviom" pak bude nastaven POP3 účet "novak@leviom.cz" a heslo "novak1234"
- spustit soubor Encrypt.bat ... dojde k vytvoření zakryptovaného souboru MU_AD_synchro.vbe
- pro bezpečnost smažte MU_AD_synchro.vbs