Synchronizace uživatelů s Active Directory (AD): Porovnání verzí

Z enTeam
Skočit na navigaci Skočit na vyhledávání
m (naimportována 1 revize)
 
(Není zobrazena jedna mezilehlá verze od stejného uživatele.)
Řádek 1: Řádek 1:
Uživatelé systémů Serie/M mohou být synchronizováni vůči Active Directory (AD). Zvláště v případě, kdy je využíváno [[Způsoby přihlašování do M/User|přihlášení přebírané z Windows]], při kterém není třeba zadávat jméno a heslo uživatele, je synchronizace s AD výhodná a doporučovaná.
+
Uživatelé systému enTeam mohou být synchronizováni vůči Active Directory (AD). Zvláště v případě, kdy je využíváno [[Způsoby přihlašování do enTeam User|přihlášení přebírané z Windows]], při kterém není třeba zadávat jméno a heslo uživatele, je synchronizace s AD výhodná a doporučovaná.
  
Pro synchronizaci slouží aplikace MU_AD_synchro.exe. Synchronizace je jednosměrná směrem z AD do M/User, tzn. v AD se neprovádějí žádné změny.
+
Pro synchronizaci slouží aplikace MU_AD_synchro.exe. Synchronizace je jednosměrná směrem z AD do enTeam User, tzn. v AD se neprovádějí žádné změny.
 
Parametry spouštění se nastavují v INI souboru Serie_m.ini nebo Parent.ini v sekci [M/USER AD].
 
Parametry spouštění se nastavují v INI souboru Serie_m.ini nebo Parent.ini v sekci [M/USER AD].
  
Řádek 15: Řádek 15:
 
<pre>
 
<pre>
 
[M/USER AD]
 
[M/USER AD]
synchfirm=KADEL
+
synchfirm=Leviom
 
synchdepartment=IT
 
synchdepartment=IT
ADgroupForSynch=MTBUsers
+
ADgroupForSynch=enTreamUsers
 
ADserver=ADSERVERNAME
 
ADserver=ADSERVERNAME
 
deleteroles=false
 
deleteroles=false
Řádek 40: Řádek 40:
 
<pre>ADServer</pre> Název serveru (případně IP adresa), na kterém je AD spuštěné.
 
<pre>ADServer</pre> Název serveru (případně IP adresa), na kterém je AD spuštěné.
  
<pre>ADGroupForSynch</pre> Skupina v AD, která se bude s M/User synchronizovat.
+
<pre>ADGroupForSynch</pre> Skupina v AD, která se bude s enTeam User synchronizovat.
  
<pre>SynchFirm</pre> Název firmy, ve které se budou uživatelé vytvářet (v aplikaci M/User).
+
<pre>SynchFirm</pre> Název firmy, ve které se budou uživatelé vytvářet (v aplikaci enTeam User).
  
 
<pre>SynchDepartment</pre> Název oddělení, ve kterém se budou uživatelé standardně vytvářet (v závislosti na nastavení CreateOU).
 
<pre>SynchDepartment</pre> Název oddělení, ve kterém se budou uživatelé standardně vytvářet (v závislosti na nastavení CreateOU).
Řádek 48: Řádek 48:
 
<pre>CreateOU</pre>
 
<pre>CreateOU</pre>
 
Synchronizace uživatelů dle organizačních jednotek v AD, výchozí hodnota False<br>
 
Synchronizace uživatelů dle organizačních jednotek v AD, výchozí hodnota False<br>
True - uživatelé se budou zakládat v M/User dle organizačních jednotek v AD, uživatelé, kteří nejsou zařazeni do žádné OU, budou založeni v oddělení zadaném svým jménem v SynchDepartment<br>
+
True - uživatelé se budou zakládat v enTeam User dle organizačních jednotek v AD, uživatelé, kteří nejsou zařazeni do žádné OU, budou založeni v oddělení zadaném svým jménem v SynchDepartment<br>
 
False - uživatelé se budou zakládat nezávisle na organizačních jednotkách v AD do oddělení zadaného v SynchDepartment<br>
 
False - uživatelé se budou zakládat nezávisle na organizačních jednotkách v AD do oddělení zadaného v SynchDepartment<br>
  
Řádek 55: Řádek 55:
 
Synchronizovat se budou uživatelé z této organizační jednotky, kteří mají přiřazenou skupinu ADGroupForSynch.<br>
 
Synchronizovat se budou uživatelé z této organizační jednotky, kteří mají přiřazenou skupinu ADGroupForSynch.<br>
 
Tato položka není povinná a pokud není nastavena, tak se prohledává celý strom organizačních jednotek.<br>
 
Tato položka není povinná a pokud není nastavena, tak se prohledává celý strom organizačních jednotek.<br>
Pořadí v jakém mají být organizační jednotky uvedeny směrem od listů, tzn. že dle příkladu je SERVIS vnořen do KADEL: ADouSynch=OU=Servis,OU=KadeL<br>
+
Pořadí v jakém mají být organizační jednotky uvedeny směrem od listů, tzn. že dle příkladu je Helpdesk vnořen do Leviom: ADouSynch=OU=Helpdesk,OU=Leviom<br>
  
 
<pre>DeleteRoles</pre>
 
<pre>DeleteRoles</pre>
Parametr určující, zda budou při synchronizaci uživatele smazány v M/User role, které neexistují jako skupiny v AD<br>
+
Parametr určující, zda budou při synchronizaci uživatele smazány v enTeam User role, které neexistují jako skupiny v AD<br>
True - Role budou z M/User mazány<br>
+
True - Role budou z enTeam User mazány<br>
False - Role budou v M/User ponechány<br>
+
False - Role budou v enTeam User ponechány<br>
  
 
<pre>Properties</pre>  
 
<pre>Properties</pre>  
Řádek 68: Řádek 68:
 
Nastavení POP3 schránky pro uživatele, výchozí nastavení Login<br>
 
Nastavení POP3 schránky pro uživatele, výchozí nastavení Login<br>
 
Emtpy - uživatelům toto pole vymaže<br>
 
Emtpy - uživatelům toto pole vymaže<br>
Previous - nechá nastavenou předchozí hodnotu, tzn. POP3 jméno může být nastavováno z M/User, aniž by bylo při synchronizaci smazáno<br>
+
Previous - nechá nastavenou předchozí hodnotu, tzn. POP3 jméno může být nastavováno z enTeam User, aniž by bylo při synchronizaci smazáno<br>
 
Login - uživatelům se nastaví stejné POP3 jméno, jako mají login v AD<br>
 
Login - uživatelům se nastaví stejné POP3 jméno, jako mají login v AD<br>
  
Řádek 77: Řádek 77:
  
 
<pre>Password</pre>  
 
<pre>Password</pre>  
Heslo do M/User, může nabývat hodnot Empty, FromParam, DontDelete<br>
+
Heslo do enTeam User, může nabývat hodnot Empty, FromParam, DontDelete<br>
 
Empty - smazání hesla do M/User<br>
 
Empty - smazání hesla do M/User<br>
 
FromParam - nastaví heslo do MTB podle třetího parametru, se kterým se volal MU_AD_Synchro.exe<br>
 
FromParam - nastaví heslo do MTB podle třetího parametru, se kterým se volal MU_AD_Synchro.exe<br>
Řádek 85: Řádek 85:
 
Výchozí heslo pro nově přidané uživatele z AD<br>
 
Výchozí heslo pro nově přidané uživatele z AD<br>
 
Začíná-li zde uvedené heslo znakem '#', pak jde o zakryptované heslo! <br>
 
Začíná-li zde uvedené heslo znakem '#', pak jde o zakryptované heslo! <br>
Pro získání zakryptovaného hesla kontaktujte servisní oddělení firmy KadeL, které Vám jej vytvoří nástrojem StringEncryption.<br>
+
Pro získání zakryptovaného hesla kontaktujte firmu Leviom data.<br>
  
 
<pre>SynchUsersWithoutFirstname</pre>  
 
<pre>SynchUsersWithoutFirstname</pre>  
Řádek 94: Řádek 94:
  
 
<pre>CreateMUserGroups</pre>  
 
<pre>CreateMUserGroups</pre>  
Zakládání SKUPIN v M/User dle skupin v AD, výchozí hodnota True<br>
+
Zakládání '''SKUPIN''' v enTeam User dle skupin v AD, výchozí hodnota True<br>
True - z AD se budou přenášet skupiny a budou se podle nich zakládat skupiny v M/User<br>
+
True - z AD se budou přenášet skupiny a budou se podle nich zakládat skupiny v enTeam User<br>
False - nesychronizovat skupiny AD do M/User<br>
+
False - nesychronizovat skupiny AD do enTeam User<br>
  
 
<pre>CreateMuserTemplates</pre>  
 
<pre>CreateMuserTemplates</pre>  
Zakládání ROLÍ v M/User dle skupin v AD, výchozí hodnota True<br>
+
Zakládání '''ROLÍ''' v enTeam User dle skupin v AD, výchozí hodnota True<br>
True - z AD se budou přenášet skupiny a budou se podle nich zakládat role v M/User<br>
+
True - z AD se budou přenášet skupiny a budou se podle nich zakládat role v enTeam User<br>
False - nesychronizovat skupiny AD s rolemi v M/User<br>
+
False - nesychronizovat skupiny AD s rolemi v enTeam User<br>
  
 
<pre>DeactivateUsers</pre>  
 
<pre>DeactivateUsers</pre>  
Mazání / deaktivace uživatelů v M/User, výchozí hodnota True<br>
+
Mazání/deaktivace uživatelů v enTeam User, výchozí hodnota True<br>
True - uživatelé budou deaktivovaní v M/User, pokud již nejsou v AD<br>
+
True - uživatelé budou deaktivovaní v enTeam User, pokud již nejsou v AD<br>
False - !!!uživatelé budou VYMAZANÍ z M/User, pokud již nejsou v AD!!!<br>
+
False - !!!uživatelé budou '''VYMAZANÍ''' z enTeam User, pokud již nejsou v AD!!!<br>
  
 
<pre>SynchByGUID</pre>  
 
<pre>SynchByGUID</pre>  
 
Synchronizace dle GUID zadaného v AD, výchozí hodnota False<br>
 
Synchronizace dle GUID zadaného v AD, výchozí hodnota False<br>
True - uživatelé jsou synchronizováni dle GUID zadaného v AD a GUID v M/User<br>
+
True - uživatelé jsou synchronizováni dle GUID zadaného v AD a GUID v enTeam User<br>
 
False - uživatelé jsou synchronizovaní dle uživatelského jména<br>
 
False - uživatelé jsou synchronizovaní dle uživatelského jména<br>
V případě, že nastavujete synchronizaci AD uživatelů společně s prvotní instalací celého systému, můžete zadat přímo hodnotu True. Pokud ale nasazujete synchronizaci AD uživatelů na již používaný M/User, je třeba ji nejprve spustit s parametrem False. Při této synchronizaci dojde k uložení uživatelských GUID z AD k již existujícím uživatelům v M/Useru. Teprve poté nastavte pravidelnou synchronizaci s parametrem True.
+
V případě, že nastavujete synchronizaci AD uživatelů společně s prvotní instalací celého systému, můžete zadat přímo hodnotu True. Pokud ale nasazujete synchronizaci AD uživatelů na již používaný enTeam User, je třeba ji nejprve spustit s parametrem False. Při této synchronizaci dojde k uložení uživatelských GUID z AD k již existujícím uživatelům v enTeam User. Teprve poté nastavte pravidelnou synchronizaci s parametrem True.
  
 
<pre>Test</pre>  
 
<pre>Test</pre>  
 
Test připojení k AD, výchozí hodnota False <br>
 
Test připojení k AD, výchozí hodnota False <br>
 
True - synchronizace s AD se neprovádí, pouze je vypsáno připojení k AD serveru pro ověření nastavení<br>
 
True - synchronizace s AD se neprovádí, pouze je vypsáno připojení k AD serveru pro ověření nastavení<br>
False - synchronizase M/User s AD se provádí bez omezení<br>
+
False - synchronizace enTeam User s AD se provádí bez omezení<br>
  
 
<pre>DontDelete</pre>  
 
<pre>DontDelete</pre>  
Název role v M/User, jejíž uživatelé nebudou mazáni, tj. pokud uživatel má nastavenu tuto roli, nebude nikdy smazán.
+
Název role v enTeam User, jejíž uživatelé nebudou mazáni, tj. pokud uživatel má nastavenu tuto roli, nebude nikdy smazán.
  
 
<pre>ErrorLevel</pre>  
 
<pre>ErrorLevel</pre>  
Řádek 127: Řádek 127:
 
==Logování==
 
==Logování==
 
Úroveň logování se nastavuje v klíči <code>Errorlevel</code>.<br>
 
Úroveň logování se nastavuje v klíči <code>Errorlevel</code>.<br>
<code>Errorlevel=4</code> nastaví logovaní informací o průběhu synchronizace.<br>
+
<code>Errorlevel=4</code> nastaví logování informací o průběhu synchronizace.<br>
<code>Errorlevel=5</code> nastaví logovaní informací a podrobnosti (debugovací informace) o průběhu synchronizace.
+
<code>Errorlevel=5</code> nastaví logování informací a podrobnosti (ladící informace) o průběhu synchronizace.
  
 
==Příklad spuštění MU_AD_synchro.exe==
 
==Příklad spuštění MU_AD_synchro.exe==
Řádek 143: Řádek 143:
 
* do souboru MU_AD_synchro.vbs zapsat jako třetí parametr část Vašeho hesla (bez části, která je stejná jako uživatelské jméno)<br>
 
* do souboru MU_AD_synchro.vbs zapsat jako třetí parametr část Vašeho hesla (bez části, která je stejná jako uživatelské jméno)<br>
 
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Např.: WshShell.Run "<font style="font-family: 'Lucida Console', Monaco, monospace">MU_AD_synchro.exe ADjmeno ADheslo 1234</font>"  (číslice 1234 nahraďte Vaší alternativou)<br>
 
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Např.: WshShell.Run "<font style="font-family: 'Lucida Console', Monaco, monospace">MU_AD_synchro.exe ADjmeno ADheslo 1234</font>"  (číslice 1234 nahraďte Vaší alternativou)<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Pro uživatele "strych" a klíč "POP3Suffix=kadel" pak bude nastaven POP3 účet "strych@kadel.cz" a heslo "strych1234"  
+
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Pro uživatele "novak" a klíč "POP3Suffix=leviom" pak bude nastaven POP3 účet "novak@leviom.cz" a heslo "novak1234"  
 
* spustit soubor Encrypt.bat ... dojde k vytvoření zakryptovaného souboru MU_AD_synchro.vbe
 
* spustit soubor Encrypt.bat ... dojde k vytvoření zakryptovaného souboru MU_AD_synchro.vbe
 
* pro bezpečnost smažte MU_AD_synchro.vbs
 
* pro bezpečnost smažte MU_AD_synchro.vbs

Aktuální verze z 14. 8. 2020, 07:22

Uživatelé systému enTeam mohou být synchronizováni vůči Active Directory (AD). Zvláště v případě, kdy je využíváno přihlášení přebírané z Windows, při kterém není třeba zadávat jméno a heslo uživatele, je synchronizace s AD výhodná a doporučovaná.

Pro synchronizaci slouží aplikace MU_AD_synchro.exe. Synchronizace je jednosměrná směrem z AD do enTeam User, tzn. v AD se neprovádějí žádné změny. Parametry spouštění se nastavují v INI souboru Serie_m.ini nebo Parent.ini v sekci [M/USER AD].

Synchronizace se spouští ve tvaru

MU_AD_synchro.exe AD_Name AD_Password

Parametry aplikace jsou uživatelské jméno a heslo z AD. Lze využít libovolný účet z AD, doporučuje se vytvořit speciální účet, který nemá povoleno přihlašování.


Všichni uživatelé, kteří byli založeni pomocí MU_AD_Synchro, mají u sebe uložen příznak (atribut UserFromAD=True), který popisuje způsob jejich vytvoření. Uživatelé bez tohoto příznaku, tzn. "ručně" vytvoření, nebudou při synchronizaci bráni v potaz.


Příklad nastavení parametrů v INI souboru

[M/USER AD]
synchfirm=Leviom
synchdepartment=IT
ADgroupForSynch=enTreamUsers
ADserver=ADSERVERNAME
deleteroles=false
properties=givenName;mobile
pop3name=previous
pop3suffix=AD
synchuserswithoutfirstname=false 
createMUSERgroups=false
createMUSERtemplates=false
deactivateUsers=FALSE
synchByGUID=TRUE
createOU=FALSE
test=false
debugmode=false
Password=DontDelete
DefaultPassword=DefPass123


Popis jednotlivých klíčů

ADServer

Název serveru (případně IP adresa), na kterém je AD spuštěné.

ADGroupForSynch

Skupina v AD, která se bude s enTeam User synchronizovat.

SynchFirm

Název firmy, ve které se budou uživatelé vytvářet (v aplikaci enTeam User).

SynchDepartment

Název oddělení, ve kterém se budou uživatelé standardně vytvářet (v závislosti na nastavení CreateOU).

CreateOU

Synchronizace uživatelů dle organizačních jednotek v AD, výchozí hodnota False
True - uživatelé se budou zakládat v enTeam User dle organizačních jednotek v AD, uživatelé, kteří nejsou zařazeni do žádné OU, budou založeni v oddělení zadaném svým jménem v SynchDepartment
False - uživatelé se budou zakládat nezávisle na organizačních jednotkách v AD do oddělení zadaného v SynchDepartment

ADouSynch

Bude se prohledávat pouze uvedená organizační jednotka a její podsložky.
Synchronizovat se budou uživatelé z této organizační jednotky, kteří mají přiřazenou skupinu ADGroupForSynch.
Tato položka není povinná a pokud není nastavena, tak se prohledává celý strom organizačních jednotek.
Pořadí v jakém mají být organizační jednotky uvedeny směrem od listů, tzn. že dle příkladu je Helpdesk vnořen do Leviom: ADouSynch=OU=Helpdesk,OU=Leviom

DeleteRoles

Parametr určující, zda budou při synchronizaci uživatele smazány v enTeam User role, které neexistují jako skupiny v AD
True - Role budou z enTeam User mazány
False - Role budou v enTeam User ponechány

Properties

Standardně se přenášejí základní vlastnosti uživatele jako např. jméno, příjmení, login, email, atd. V případě požadavku na přenos jiných vlastností se jejich seznam uvede v tomto parametru. Jednotlivé klíče jsou odděleny středníkem. Přenesené vlastnosti se uloží jako atributy uživatele.

POP3Name

Nastavení POP3 schránky pro uživatele, výchozí nastavení Login
Emtpy - uživatelům toto pole vymaže
Previous - nechá nastavenou předchozí hodnotu, tzn. POP3 jméno může být nastavováno z enTeam User, aniž by bylo při synchronizaci smazáno
Login - uživatelům se nastaví stejné POP3 jméno, jako mají login v AD

POP3Suffix

Tvar adresy, ze které se budou odesílat maily.
AD - mailová adresa bude načtena z AD
pro ostatní hodnoty bude e-mailová adresa vygenerována ve tvaru Login@POP3Suffix.cz

Password

Heslo do enTeam User, může nabývat hodnot Empty, FromParam, DontDelete
Empty - smazání hesla do M/User
FromParam - nastaví heslo do MTB podle třetího parametru, se kterým se volal MU_AD_Synchro.exe
DontDelete - novému uživateli nastaví heslo dle klíče DefaultPassword, stávajícímu uživateli heslo nemění

DefaultPassword

Výchozí heslo pro nově přidané uživatele z AD
Začíná-li zde uvedené heslo znakem '#', pak jde o zakryptované heslo!
Pro získání zakryptovaného hesla kontaktujte firmu Leviom data.

SynchUsersWithoutFirstname

Synchronizace uživatelů bez zadaného křestního jména v AD, výchozí hodnota True
True - synchronizovat bez ohledu na to, zda je křestní jméno uživatele v AD zadané
False - nesychronizovat uživatele, kteří nemají v AD zadané křestní jméno.
Využívá se např. pro omezení synchronizace technických uživatelů uložených v AD.

CreateMUserGroups

Zakládání SKUPIN v enTeam User dle skupin v AD, výchozí hodnota True
True - z AD se budou přenášet skupiny a budou se podle nich zakládat skupiny v enTeam User
False - nesychronizovat skupiny AD do enTeam User

CreateMuserTemplates

Zakládání ROLÍ v enTeam User dle skupin v AD, výchozí hodnota True
True - z AD se budou přenášet skupiny a budou se podle nich zakládat role v enTeam User
False - nesychronizovat skupiny AD s rolemi v enTeam User

DeactivateUsers

Mazání/deaktivace uživatelů v enTeam User, výchozí hodnota True
True - uživatelé budou deaktivovaní v enTeam User, pokud již nejsou v AD
False - !!!uživatelé budou VYMAZANÍ z enTeam User, pokud již nejsou v AD!!!

SynchByGUID

Synchronizace dle GUID zadaného v AD, výchozí hodnota False
True - uživatelé jsou synchronizováni dle GUID zadaného v AD a GUID v enTeam User
False - uživatelé jsou synchronizovaní dle uživatelského jména
V případě, že nastavujete synchronizaci AD uživatelů společně s prvotní instalací celého systému, můžete zadat přímo hodnotu True. Pokud ale nasazujete synchronizaci AD uživatelů na již používaný enTeam User, je třeba ji nejprve spustit s parametrem False. Při této synchronizaci dojde k uložení uživatelských GUID z AD k již existujícím uživatelům v enTeam User. Teprve poté nastavte pravidelnou synchronizaci s parametrem True.

Test

Test připojení k AD, výchozí hodnota False
True - synchronizace s AD se neprovádí, pouze je vypsáno připojení k AD serveru pro ověření nastavení
False - synchronizace enTeam User s AD se provádí bez omezení

DontDelete

Název role v enTeam User, jejíž uživatelé nebudou mazáni, tj. pokud uživatel má nastavenu tuto roli, nebude nikdy smazán.

ErrorLevel

Nastavuje úroveň logování aplikace viz Logování. Pokud klíč není uveden, loguje se podle klíče uvedeném v sekci [SERIE M/...].

Logování

Úroveň logování se nastavuje v klíči Errorlevel.
Errorlevel=4 nastaví logování informací o průběhu synchronizace.
Errorlevel=5 nastaví logování informací a podrobnosti (ladící informace) o průběhu synchronizace.

Příklad spuštění MU_AD_synchro.exe

Spuštění synchronizace bez přenášení hesel pro pop3 účty:

MU_AD_synchro.exe ADjmeno ADheslo


Spuštění synchronizace s generováním hesel pro POP3 účty:

Heslo pro pop3 účet bude vytvořeno sloučením uživatelského jména a kombinací znaků popsaných níže.

Aby nebyla část vašeho hesla viditelná lze soubor s údaji zakryptovat pomocí níže uvedeného postupu:

  • do souboru MU_AD_synchro.vbs zapsat jako třetí parametr část Vašeho hesla (bez části, která je stejná jako uživatelské jméno)

      Např.: WshShell.Run "MU_AD_synchro.exe ADjmeno ADheslo 1234" (číslice 1234 nahraďte Vaší alternativou)
      Pro uživatele "novak" a klíč "POP3Suffix=leviom" pak bude nastaven POP3 účet "novak@leviom.cz" a heslo "novak1234"

  • spustit soubor Encrypt.bat ... dojde k vytvoření zakryptovaného souboru MU_AD_synchro.vbe
  • pro bezpečnost smažte MU_AD_synchro.vbs