Synchronizace uživatelů s Active Directory (AD)

Z enTeam
Verze z 14. 8. 2020, 07:22, kterou vytvořil EnTeamAdmin (diskuse | příspěvky)
(rozdíl) ← Starší verze | zobrazit aktuální verzi (rozdíl) | Novější verze → (rozdíl)
Skočit na navigaci Skočit na vyhledávání

Uživatelé systému enTeam mohou být synchronizováni vůči Active Directory (AD). Zvláště v případě, kdy je využíváno přihlášení přebírané z Windows, při kterém není třeba zadávat jméno a heslo uživatele, je synchronizace s AD výhodná a doporučovaná.

Pro synchronizaci slouží aplikace MU_AD_synchro.exe. Synchronizace je jednosměrná směrem z AD do enTeam User, tzn. v AD se neprovádějí žádné změny. Parametry spouštění se nastavují v INI souboru Serie_m.ini nebo Parent.ini v sekci [M/USER AD].

Synchronizace se spouští ve tvaru

MU_AD_synchro.exe AD_Name AD_Password

Parametry aplikace jsou uživatelské jméno a heslo z AD. Lze využít libovolný účet z AD, doporučuje se vytvořit speciální účet, který nemá povoleno přihlašování.


Všichni uživatelé, kteří byli založeni pomocí MU_AD_Synchro, mají u sebe uložen příznak (atribut UserFromAD=True), který popisuje způsob jejich vytvoření. Uživatelé bez tohoto příznaku, tzn. "ručně" vytvoření, nebudou při synchronizaci bráni v potaz.


Příklad nastavení parametrů v INI souboru

[M/USER AD]
synchfirm=Leviom
synchdepartment=IT
ADgroupForSynch=enTreamUsers
ADserver=ADSERVERNAME
deleteroles=false
properties=givenName;mobile
pop3name=previous
pop3suffix=AD
synchuserswithoutfirstname=false 
createMUSERgroups=false
createMUSERtemplates=false
deactivateUsers=FALSE
synchByGUID=TRUE
createOU=FALSE
test=false
debugmode=false
Password=DontDelete
DefaultPassword=DefPass123


Popis jednotlivých klíčů

ADServer

Název serveru (případně IP adresa), na kterém je AD spuštěné.

ADGroupForSynch

Skupina v AD, která se bude s enTeam User synchronizovat.

SynchFirm

Název firmy, ve které se budou uživatelé vytvářet (v aplikaci enTeam User).

SynchDepartment

Název oddělení, ve kterém se budou uživatelé standardně vytvářet (v závislosti na nastavení CreateOU).

CreateOU

Synchronizace uživatelů dle organizačních jednotek v AD, výchozí hodnota False
True - uživatelé se budou zakládat v enTeam User dle organizačních jednotek v AD, uživatelé, kteří nejsou zařazeni do žádné OU, budou založeni v oddělení zadaném svým jménem v SynchDepartment
False - uživatelé se budou zakládat nezávisle na organizačních jednotkách v AD do oddělení zadaného v SynchDepartment

ADouSynch

Bude se prohledávat pouze uvedená organizační jednotka a její podsložky.
Synchronizovat se budou uživatelé z této organizační jednotky, kteří mají přiřazenou skupinu ADGroupForSynch.
Tato položka není povinná a pokud není nastavena, tak se prohledává celý strom organizačních jednotek.
Pořadí v jakém mají být organizační jednotky uvedeny směrem od listů, tzn. že dle příkladu je Helpdesk vnořen do Leviom: ADouSynch=OU=Helpdesk,OU=Leviom

DeleteRoles

Parametr určující, zda budou při synchronizaci uživatele smazány v enTeam User role, které neexistují jako skupiny v AD
True - Role budou z enTeam User mazány
False - Role budou v enTeam User ponechány

Properties

Standardně se přenášejí základní vlastnosti uživatele jako např. jméno, příjmení, login, email, atd. V případě požadavku na přenos jiných vlastností se jejich seznam uvede v tomto parametru. Jednotlivé klíče jsou odděleny středníkem. Přenesené vlastnosti se uloží jako atributy uživatele.

POP3Name

Nastavení POP3 schránky pro uživatele, výchozí nastavení Login
Emtpy - uživatelům toto pole vymaže
Previous - nechá nastavenou předchozí hodnotu, tzn. POP3 jméno může být nastavováno z enTeam User, aniž by bylo při synchronizaci smazáno
Login - uživatelům se nastaví stejné POP3 jméno, jako mají login v AD

POP3Suffix

Tvar adresy, ze které se budou odesílat maily.
AD - mailová adresa bude načtena z AD
pro ostatní hodnoty bude e-mailová adresa vygenerována ve tvaru Login@POP3Suffix.cz

Password

Heslo do enTeam User, může nabývat hodnot Empty, FromParam, DontDelete
Empty - smazání hesla do M/User
FromParam - nastaví heslo do MTB podle třetího parametru, se kterým se volal MU_AD_Synchro.exe
DontDelete - novému uživateli nastaví heslo dle klíče DefaultPassword, stávajícímu uživateli heslo nemění

DefaultPassword

Výchozí heslo pro nově přidané uživatele z AD
Začíná-li zde uvedené heslo znakem '#', pak jde o zakryptované heslo!
Pro získání zakryptovaného hesla kontaktujte firmu Leviom data.

SynchUsersWithoutFirstname

Synchronizace uživatelů bez zadaného křestního jména v AD, výchozí hodnota True
True - synchronizovat bez ohledu na to, zda je křestní jméno uživatele v AD zadané
False - nesychronizovat uživatele, kteří nemají v AD zadané křestní jméno.
Využívá se např. pro omezení synchronizace technických uživatelů uložených v AD.

CreateMUserGroups

Zakládání SKUPIN v enTeam User dle skupin v AD, výchozí hodnota True
True - z AD se budou přenášet skupiny a budou se podle nich zakládat skupiny v enTeam User
False - nesychronizovat skupiny AD do enTeam User

CreateMuserTemplates

Zakládání ROLÍ v enTeam User dle skupin v AD, výchozí hodnota True
True - z AD se budou přenášet skupiny a budou se podle nich zakládat role v enTeam User
False - nesychronizovat skupiny AD s rolemi v enTeam User

DeactivateUsers

Mazání/deaktivace uživatelů v enTeam User, výchozí hodnota True
True - uživatelé budou deaktivovaní v enTeam User, pokud již nejsou v AD
False - !!!uživatelé budou VYMAZANÍ z enTeam User, pokud již nejsou v AD!!!

SynchByGUID

Synchronizace dle GUID zadaného v AD, výchozí hodnota False
True - uživatelé jsou synchronizováni dle GUID zadaného v AD a GUID v enTeam User
False - uživatelé jsou synchronizovaní dle uživatelského jména
V případě, že nastavujete synchronizaci AD uživatelů společně s prvotní instalací celého systému, můžete zadat přímo hodnotu True. Pokud ale nasazujete synchronizaci AD uživatelů na již používaný enTeam User, je třeba ji nejprve spustit s parametrem False. Při této synchronizaci dojde k uložení uživatelských GUID z AD k již existujícím uživatelům v enTeam User. Teprve poté nastavte pravidelnou synchronizaci s parametrem True.

Test

Test připojení k AD, výchozí hodnota False
True - synchronizace s AD se neprovádí, pouze je vypsáno připojení k AD serveru pro ověření nastavení
False - synchronizace enTeam User s AD se provádí bez omezení

DontDelete

Název role v enTeam User, jejíž uživatelé nebudou mazáni, tj. pokud uživatel má nastavenu tuto roli, nebude nikdy smazán.

ErrorLevel

Nastavuje úroveň logování aplikace viz Logování. Pokud klíč není uveden, loguje se podle klíče uvedeném v sekci [SERIE M/...].

Logování

Úroveň logování se nastavuje v klíči Errorlevel.
Errorlevel=4 nastaví logování informací o průběhu synchronizace.
Errorlevel=5 nastaví logování informací a podrobnosti (ladící informace) o průběhu synchronizace.

Příklad spuštění MU_AD_synchro.exe

Spuštění synchronizace bez přenášení hesel pro pop3 účty:

MU_AD_synchro.exe ADjmeno ADheslo


Spuštění synchronizace s generováním hesel pro POP3 účty:

Heslo pro pop3 účet bude vytvořeno sloučením uživatelského jména a kombinací znaků popsaných níže.

Aby nebyla část vašeho hesla viditelná lze soubor s údaji zakryptovat pomocí níže uvedeného postupu:

  • do souboru MU_AD_synchro.vbs zapsat jako třetí parametr část Vašeho hesla (bez části, která je stejná jako uživatelské jméno)

      Např.: WshShell.Run "MU_AD_synchro.exe ADjmeno ADheslo 1234" (číslice 1234 nahraďte Vaší alternativou)
      Pro uživatele "novak" a klíč "POP3Suffix=leviom" pak bude nastaven POP3 účet "novak@leviom.cz" a heslo "novak1234"

  • spustit soubor Encrypt.bat ... dojde k vytvoření zakryptovaného souboru MU_AD_synchro.vbe
  • pro bezpečnost smažte MU_AD_synchro.vbs