Synchronizace uživatelů s Active Directory (AD)

Z enTeam
Verze z 30. 10. 2017, 14:10, kterou vytvořil en>Kadel (Popis jednotlivých klíčů)
(rozdíl) ← Starší verze | zobrazit aktuální verzi (rozdíl) | Novější verze → (rozdíl)
Skočit na navigaci Skočit na vyhledávání

Uživatelé systémů Serie/M mohou být synchronizováni vůči Active Directory (AD). Zvláště v případě, kdy je využíváno přihlášení přebírané z Windows, při kterém není třeba zadávat jméno a heslo uživatele, je synchronizace s AD výhodná a doporučovaná.

Pro synchronizaci slouží aplikace MU_AD_synchro.exe. Synchronizace je jednosměrná směrem z AD do M/User, tzn. v AD se neprovádějí žádné změny. Parametry spouštění se nastavují v INI souboru Serie_m.ini nebo Parent.ini v sekci [M/USER AD].

Synchronizace se spouští ve tvaru

MU_AD_synchro.exe AD_Name AD_Password

Parametry aplikace jsou uživatelské jméno a heslo z AD. Lze využít libovolný účet z AD, doporučuje se vytvořit speciální účet, který nemá povoleno přihlašování.


Všichni uživatelé, kteří byli založeni pomocí MU_AD_Synchro, mají u sebe uložen příznak (atribut UserFromAD=True), který popisuje způsob jejich vytvoření. Uživatelé bez tohoto příznaku, tzn. "ručně" vytvoření, nebudou při synchronizaci bráni v potaz.


Příklad nastavení parametrů v INI souboru

[M/USER AD]
synchfirm=KADEL
synchdepartment=IT
ADgroupForSynch=MTBUsers
ADserver=ADSERVERNAME
deleteroles=false
properties=givenName;mobile
pop3name=previous
pop3suffix=AD
synchuserswithoutfirstname=false 
createMUSERgroups=false
createMUSERtemplates=false
deactivateUsers=FALSE
synchByGUID=TRUE
createOU=FALSE
test=false
debugmode=false
Password=DontDelete
DefaultPassword=DefPass123


Popis jednotlivých klíčů

ADServer

Název serveru (případně IP adresa), na kterém je AD spuštěné.

ADGroupForSynch

Skupina v AD, která se bude s M/User synchronizovat.

SynchFirm

Název firmy, ve které se budou uživatelé vytvářet (v aplikaci M/User).

SynchDepartment

Název oddělení, ve kterém se budou uživatelé standardně vytvářet (v závislosti na nastavení CreateOU).

CreateOU

Synchronizace uživatelů dle organizačních jednotek v AD, výchozí hodnota False
True - uživatelé se budou zakládat v M/User dle organizačních jednotek v AD, uživatelé, kteří nejsou zařazeni do žádné OU, budou založeni v oddělení zadaném svým jménem v SynchDepartment
False - uživatelé se budou zakládat nezávisle na organizačních jednotkách v AD do oddělení zadaného v SynchDepartment

ADouSynch

Bude se prohledávat pouze uvedená organizační jednotka a její podsložky.
Synchronizovat se budou uživatelé z této organizační jednotky, kteří mají přiřazenou skupinu ADGroupForSynch.
Tato položka není povinná a pokud není nastavena, tak se prohledává celý strom organizačních jednotek.
Pořadí v jakém mají být organizační jednotky uvedeny směrem od listů, tzn. že dle příkladu je SERVIS vnořen do KADEL: ADouSynch=OU=Servis,OU=KadeL

DeleteRoles

Parametr určující, zda budou při synchronizaci uživatele smazány v M/User role, které neexistují jako skupiny v AD
True - Role budou z M/User mazány
False - Role budou v M/User ponechány

Properties

Standardně se přenášejí základní vlastnosti uživatele jako např. jméno, příjmení, login, email, atd. V případě požadavku na přenos jiných vlastností se jejich seznam uvede v tomto parametru. Jednotlivé klíče jsou odděleny středníkem. Přenesené vlastnosti se uloží jako atributy uživatele.

POP3Name

Nastavení POP3 schránky pro uživatele, výchozí nastavení Login
Emtpy - uživatelům toto pole vymaže
Previous - nechá nastavenou předchozí hodnotu, tzn. POP3 jméno může být nastavováno z M/User, aniž by bylo při synchronizaci smazáno
Login - uživatelům se nastaví stejné POP3 jméno, jako mají login v AD

POP3Suffix

Tvar adresy, ze které se budou odesílat maily.
AD - mailová adresa bude načtena z AD
pro ostatní hodnoty bude e-mailová adresa vygenerována ve tvaru Login@POP3Suffix.cz

Password

Heslo do M/User, může nabývat hodnot Empty, FromParam, DontDelete
Empty - smazání hesla do M/User
FromParam - nastaví heslo do MTB podle třetího parametru, se kterým se volal MU_AD_Synchro.exe
DontDelete - novému uživateli nastaví heslo dle klíče DefaultPassword, stávajícímu uživateli heslo nemění

DefaultPassword

Výchozí heslo pro nově přidané uživatele z AD
Začíná-li zde uvedené heslo znakem '#', pak jde o zakryptované heslo!
Pro získání zakryptovaného hesla kontaktujte servisní oddělení firmy KadeL, které Vám jej vytvoří nástrojem StringEncryption.

SynchUsersWithoutFirstname

Synchronizace uživatelů bez zadaného křestního jména v AD, výchozí hodnota True
True - synchronizovat bez ohledu na to, zda je křestní jméno uživatele v AD zadané
False - nesychronizovat uživatele, kteří nemají v AD zadané křestní jméno.
Využívá se např. pro omezení synchronizace technických uživatelů uložených v AD.

CreateMUserGroups

Zakládání SKUPIN v M/User dle skupin v AD, výchozí hodnota True
True - z AD se budou přenášet skupiny a budou se podle nich zakládat skupiny v M/User
False - nesychronizovat skupiny AD do M/User

CreateMuserTemplates

Zakládání ROLÍ v M/User dle skupin v AD, výchozí hodnota True
True - z AD se budou přenášet skupiny a budou se podle nich zakládat role v M/User
False - nesychronizovat skupiny AD s rolemi v M/User

DeactivateUsers

Mazání / deaktivace uživatelů v M/User, výchozí hodnota True
True - uživatelé budou deaktivovaní v M/User, pokud již nejsou v AD
False - !!!uživatelé budou VYMAZANÍ z M/User, pokud již nejsou v AD!!!

SynchByGUID

Synchronizace dle GUID zadaného v AD, výchozí hodnota False
True - uživatelé jsou synchronizováni dle GUID zadaného v AD a GUID v M/User
False - uživatelé jsou synchronizovaní dle uživatelského jména
V případě, že nastavujete synchronizaci AD uživatelů společně s prvotní instalací celého systému, můžete zadat přímo hodnotu True. Pokud ale nasazujete synchronizaci AD uživatelů na již používaný M/User, je třeba ji nejprve spustit s parametrem False. Při této synchronizaci dojde k uložení uživatelských GUID z AD k již existujícím uživatelům v M/Useru. Teprve poté nastavte pravidelnou synchronizaci s parametrem True.

Test

Test připojení k AD, výchozí hodnota False
True - synchronizace s AD se neprovádí, pouze je vypsáno připojení k AD serveru pro ověření nastavení
False - synchronizase M/User s AD se provádí bez omezení

DontDelete

Název role v M/User, jejíž uživatelé nebudou mazáni, tj. pokud uživatel má nastavenu tuto roli, nebude nikdy smazán.

ErrorLevel

Nastavuje úroveň logování aplikace viz Logování. Pokud klíč není uveden, loguje se podle klíče uvedeném v sekci [SERIE M/...].

Logování

Úroveň logování se nastavuje v klíči Errorlevel.
Errorlevel=4 nastaví logovaní informací o průběhu synchronizace.
Errorlevel=5 nastaví logovaní informací a podrobnosti (debugovací informace) o průběhu synchronizace.

Příklad spuštění MU_AD_synchro.exe

Spuštění synchronizace bez přenášení hesel pro pop3 účty:

MU_AD_synchro.exe ADjmeno ADheslo


Spuštění synchronizace s generováním hesel pro POP3 účty:

Heslo pro pop3 účet bude vytvořeno sloučením uživatelského jména a kombinací znaků popsaných níže.

Aby nebyla část vašeho hesla viditelná lze soubor s údaji zakryptovat pomocí níže uvedeného postupu:

  • do souboru MU_AD_synchro.vbs zapsat jako třetí parametr část Vašeho hesla (bez části, která je stejná jako uživatelské jméno)

      Např.: WshShell.Run "MU_AD_synchro.exe ADjmeno ADheslo 1234" (číslice 1234 nahraďte Vaší alternativou)
      Pro uživatele "strych" a klíč "POP3Suffix=kadel" pak bude nastaven POP3 účet "strych@kadel.cz" a heslo "strych1234"

  • spustit soubor Encrypt.bat ... dojde k vytvoření zakryptovaného souboru MU_AD_synchro.vbe
  • pro bezpečnost smažte MU_AD_synchro.vbs