Synchronizace uživatelů s Active Directory (AD)
Uživatelé systémů Serie/M mohou být synchronizováni vůči Active Directory (AD). Zvláště v případě, kdy je využíváno přihlášení přebírané z Windows, při kterém není třeba zadávat jméno a heslo uživatele, je synchronizace s AD výhodná a doporučovaná.
Pro synchronizaci slouží aplikace MU_AD_synchro.exe. Synchronizace je jednosměrná směrem z AD do M/User, tzn. v AD se neprovádějí žádné změny. Parametry spouštění se nastavují v INI souboru Serie_m.ini nebo Parent.ini v sekci [M/USER AD].
Synchronizace se spouští ve tvaru
MU_AD_synchro.exe AD_Name AD_Password
Parametry aplikace jsou uživatelské jméno a heslo z AD. Lze využít libovolný účet z AD, doporučuje se vytvořit speciální účet, který nemá povoleno přihlašování.
Všichni uživatelé, kteří byli založeni pomocí MU_AD_Synchro, mají u sebe uložen příznak (atribut UserFromAD=True), který popisuje způsob jejich vytvoření. Uživatelé bez tohoto příznaku, tzn. "ručně" vytvoření, nebudou při synchronizaci bráni v potaz.
Obsah
Příklad nastavení parametrů v INI souboru
[M/USER AD] synchfirm=KADEL synchdepartment=IT ADgroupForSynch=MTBUsers ADserver=ADSERVERNAME deleteroles=false properties=givenName;mobile pop3name=previous pop3suffix=AD synchuserswithoutfirstname=false createMUSERgroups=false createMUSERtemplates=false deactivateUsers=FALSE synchByGUID=TRUE createOU=FALSE test=false debugmode=false Password=DontDelete DefaultPassword=DefPass123
Popis jednotlivých klíčů
ADServer
Název serveru (případně IP adresa), na kterém je AD spuštěné.
ADGroupForSynch
Skupina v AD, která se bude s M/User synchronizovat.
SynchFirm
Název firmy, ve které se budou uživatelé vytvářet (v aplikaci M/User).
SynchDepartment
Název oddělení, ve kterém se budou uživatelé standardně vytvářet (v závislosti na nastavení CreateOU).
CreateOU
Synchronizace uživatelů dle organizačních jednotek v AD, výchozí hodnota False
True - uživatelé se budou zakládat v M/User dle organizačních jednotek v AD, uživatelé, kteří nejsou zařazeni do žádné OU, budou založeni v oddělení zadaném svým jménem v SynchDepartment
False - uživatelé se budou zakládat nezávisle na organizačních jednotkách v AD do oddělení zadaného v SynchDepartment
ADouSynch
Bude se prohledávat pouze uvedená organizační jednotka a její podsložky.
Synchronizovat se budou uživatelé z této organizační jednotky, kteří mají přiřazenou skupinu ADGroupForSynch.
Tato položka není povinná a pokud není nastavena, tak se prohledává celý strom organizačních jednotek.
Pořadí v jakém mají být organizační jednotky uvedeny směrem od listů, tzn. že dle příkladu je SERVIS vnořen do KADEL: ADouSynch=OU=Servis,OU=KadeL
DeleteRoles
Parametr určující, zda budou při synchronizaci uživatele smazány v M/User role, které neexistují jako skupiny v AD
True - Role budou z M/User mazány
False - Role budou v M/User ponechány
Properties
Standardně se přenášejí základní vlastnosti uživatele jako např. jméno, příjmení, login, email, atd. V případě požadavku na přenos jiných vlastností se jejich seznam uvede v tomto parametru. Jednotlivé klíče jsou odděleny středníkem. Přenesené vlastnosti se uloží jako atributy uživatele.
POP3Name
Nastavení POP3 schránky pro uživatele, výchozí nastavení Login
Emtpy - uživatelům toto pole vymaže
Previous - nechá nastavenou předchozí hodnotu, tzn. POP3 jméno může být nastavováno z M/User, aniž by bylo při synchronizaci smazáno
Login - uživatelům se nastaví stejné POP3 jméno, jako mají login v AD
POP3Suffix
Tvar adresy, ze které se budou odesílat maily.
AD - mailová adresa bude načtena z AD
pro ostatní hodnoty bude e-mailová adresa vygenerována ve tvaru Login@POP3Suffix.cz
Password
Heslo do M/User, může nabývat hodnot Empty, FromParam, DontDelete
Empty - smazání hesla do M/User
FromParam - nastaví heslo do MTB podle třetího parametru, se kterým se volal MU_AD_Synchro.exe
DontDelete - novému uživateli nastaví heslo dle klíče DefaultPassword, stávajícímu uživateli heslo nemění
DefaultPassword
Výchozí heslo pro nově přidané uživatele z AD
Začíná-li zde uvedené heslo znakem '#', pak jde o zakryptované heslo!
Pro získání zakryptovaného hesla kontaktujte servisní oddělení firmy KadeL, které Vám jej vytvoří nástrojem StringEncryption.
SynchUsersWithoutFirstname
Synchronizace uživatelů bez zadaného křestního jména v AD, výchozí hodnota True
True - synchronizovat bez ohledu na to, zda je křestní jméno uživatele v AD zadané
False - nesychronizovat uživatele, kteří nemají v AD zadané křestní jméno.
Využívá se např. pro omezení synchronizace technických uživatelů uložených v AD.
CreateMUserGroups
Zakládání SKUPIN v M/User dle skupin v AD, výchozí hodnota True
True - z AD se budou přenášet skupiny a budou se podle nich zakládat skupiny v M/User
False - nesychronizovat skupiny AD do M/User
CreateMuserTemplates
Zakládání ROLÍ v M/User dle skupin v AD, výchozí hodnota True
True - z AD se budou přenášet skupiny a budou se podle nich zakládat role v M/User
False - nesychronizovat skupiny AD s rolemi v M/User
DeactivateUsers
Mazání / deaktivace uživatelů v M/User, výchozí hodnota True
True - uživatelé budou deaktivovaní v M/User, pokud již nejsou v AD
False - !!!uživatelé budou VYMAZANÍ z M/User, pokud již nejsou v AD!!!
SynchByGUID
Synchronizace dle GUID zadaného v AD, výchozí hodnota False
True - uživatelé jsou synchronizováni dle GUID zadaného v AD a GUID v M/User
False - uživatelé jsou synchronizovaní dle uživatelského jména
V případě, že nastavujete synchronizaci AD uživatelů společně s prvotní instalací celého systému, můžete zadat přímo hodnotu True. Pokud ale nasazujete synchronizaci AD uživatelů na již používaný M/User, je třeba ji nejprve spustit s parametrem False. Při této synchronizaci dojde k uložení uživatelských GUID z AD k již existujícím uživatelům v M/Useru. Teprve poté nastavte pravidelnou synchronizaci s parametrem True.
Test
Test připojení k AD, výchozí hodnota False
True - synchronizace s AD se neprovádí, pouze je vypsáno připojení k AD serveru pro ověření nastavení
False - synchronizase M/User s AD se provádí bez omezení
DontDelete
Název role v M/User, jejíž uživatelé nebudou mazáni, tj. pokud uživatel má nastavenu tuto roli, nebude nikdy smazán.
ErrorLevel
Nastavuje úroveň logování aplikace viz Logování. Pokud klíč není uveden, loguje se podle klíče uvedeném v sekci [SERIE M/...].
Logování
Úroveň logování se nastavuje v klíči Errorlevel
.
Errorlevel=4
nastaví logovaní informací o průběhu synchronizace.
Errorlevel=5
nastaví logovaní informací a podrobnosti (debugovací informace) o průběhu synchronizace.
Příklad spuštění MU_AD_synchro.exe
Spuštění synchronizace bez přenášení hesel pro pop3 účty:
MU_AD_synchro.exe ADjmeno ADheslo
Spuštění synchronizace s generováním hesel pro POP3 účty:
Heslo pro pop3 účet bude vytvořeno sloučením uživatelského jména a kombinací znaků popsaných níže.
Aby nebyla část vašeho hesla viditelná lze soubor s údaji zakryptovat pomocí níže uvedeného postupu:
- do souboru MU_AD_synchro.vbs zapsat jako třetí parametr část Vašeho hesla (bez části, která je stejná jako uživatelské jméno)
Např.: WshShell.Run "MU_AD_synchro.exe ADjmeno ADheslo 1234" (číslice 1234 nahraďte Vaší alternativou)
Pro uživatele "strych" a klíč "POP3Suffix=kadel" pak bude nastaven POP3 účet "strych@kadel.cz" a heslo "strych1234"
- spustit soubor Encrypt.bat ... dojde k vytvoření zakryptovaného souboru MU_AD_synchro.vbe
- pro bezpečnost smažte MU_AD_synchro.vbs