Please enable JavaScript to view this site.

Administrationshandbuch

Einen neuen Verzeichnisdienst legen Sie an, indem Sie in der Aktionsleiste auf Neu klicken. Wollen Sie ein bereits vorhandenes Verzeichnis bearbeiten, klicken Sie auf den gewünschten Namen. In beiden Fällen sehen Sie die Verzeichnisdienst bearbeiten-Maske.

LDAP-Verzeichnis anlegen & bearbeiten

LDAP-Verzeichnis anlegen & bearbeiten

Die folgenden Einstellungen können Sie vornehmen.

Name

Erklärung

Details

Bezeichnung

Geben Sie einen Namen für das Verzeichnis ein.

Verzeichnis-Typ

Die Art des Verzeichnisses. Zur Auswahl stehen: Active Directory, Microsoft Entra ID und Sonstiges LDAP. Active Directory ist bei der Neuanlage vorausgewählt.

Aktiv

Setzen Sie den Haken, um die Synchronisation zu aktivieren.

Für Active Directory und Sonstiges LDAP können folgende Einstellungen vorgenommen werden:

Name

Erklärung

Verbindungsdetails

Server 1 - 3

Hinterlegen Sie die Server-Adresse, unter der das LDAP-Verzeichnis aufgerufen werden kann.

SSL-Verbindung

Geben Sie an, ob die Authentifizierung über LDAP per SSL erfolgen soll. Die LDAPS Kommunikation läuft über Port 636. Um einen anderen Port zu verwenden, kann dieser an die Serveradresse in der Form Servername:Portnummer angehängt werden.

 

Bitte beachten Sie: Für den korrekten Aufbau einer SSL-Verbindung muss das Domain-Zertifikat auf den JobRouter- und Diensteservern als vertrauenswürdig hinterlegt werden. Befinden sich diese Server innerhalb Ihrer Domain, geschieht dies in der Regel automatisch über eine entsprechende Domain-Richtlinie. Bei Standalone-Servern (insbesondere Linux-Server) muss das Zertifikat manuell zu den vertrauenswürdigen Zertifikaten hinzugefügt werden. Eine genaue Vorgehensweise entnehmen Sie bitte der offiziellen Anleitung des entsprechenden Betriebssystems.

 

Bitte beachten Sie: Falls die Verbindung zu einem LDAPS Server fehlschlägt, kann es daran liegen, das das SSL-Zertifikat des Servers nicht validiert werden kann. Das passiert oft bei selbstsignierten Zertifikaten. In diesem Fall kann Folgendes helfen:

1.Neue Konfigurationsdatei erstellen: C:\OpenLDAP\sysconf\ldap.conf (Windows) bzw. /etc/openldap/ldap.conf (Linux)

2.Der Webseiten-Benutzer muss Lese-Rechte auf die Konfigurationsdatei haben

3.Folgende Zeile an den Anfang der Konfigurationsdatei stellen: TLS_REQCERT never

4.Im Anschluss ist ein Neustart vom Webserver erforderlich

Authentifizierung

Benutzername

Geben Sie einen Benutzernamen an, unter dem sich der Dienst JobServer am Verzeichnisdienst anmelden soll. Für Active Directory, falls der Dienst JobServer unter Windows ausgeführt wird,  ist Syntax „Domäne\Benutzername“ erlaubt, für alle andere Fälle muss LDAP-Syntax benutzt werden (z.B. „cn=Admin,ou=IT,o=COMPANY“).

 

Bitte beachten Sie: Besitzt der Benutzer, der in der Dienstverwaltung für den Dienst JobServer eingerichtet wurde, bereits diese Rechte, müssen Sie keinen Benutzernamen definieren (nur für Active Directory und falls der Dienst JobServer unter Windows ausgeführt wird).

Passwort

Tragen Sie das Passwort des Benutzers ein.

LDAP-Details

LDAP-Abfrage

Geben Sie einen Einstiegspunkt, ab welchen im Verzeichnis gesucht werden soll.

Bei Active Directory ist es normalerweise eine Domäne (z.B. „dc=company,dc=local“), bei anderen Verzeichnisdiensten ist es oft eine Organisation (z.B. „o=COMPANY“).

Externe Referenzen ignorieren

Aktivieren Sie die Checkbox, wenn ein Teil der Suchergebnisse auf einem externen Verzeichnis-Server liegt, auf welchen Sie über keine Zugriffsrechte verfügen. Hierbei werden während der Synchronisation die externen Referenzen bei der Ergebnissuche ignoriert.

Domain

Geben Sie den Namen Ihrer Domain ein.

Der Name wird automatisch in der Benutzerverwaltung unter Single Sign-On übernommen (Beispiel: company\mmuster)

Domain-Name in Benutzernamen einfügen

Aktivieren Sie die Checkbox, wenn Sie JobRouter mit mehreren Verzeichnissen synchronisieren, in denen mehrere Benutzer mit gleichen Benutzernamen vorhanden sein können. Dabei wird der Benutzername in JobRouter im Format „Domäne\Benutzername“ gespeichert..

Für Microsoft Entra ID gelten abweichend folgende Einstellungen:

Name

Erklärung

Details

OnPremises-SamAccountName als Benutzername benutzen

Benutzernamen im Active Directory sind i.d.R. in der Form username angelegt (siehe Attribut sAMAccountName). In Microsoft Entra ID ist es username@domain.name  (Entra ID Attribut userPrincipalName). Das verkompliziert die Migration eines bestehenden JobRouters von Active Directory auf Entra ID, da alle Benutzer bei der ersten Synchronisation mit Entra ID unter neuem Benutzernamen neu angelegt werden würden.

Wurde das lokale Active Directory bereits mit Entra ID synchronisiert und dabei der sAMAccountName in das Entra ID Attribut OnPremisesSamAccountName übertragen, besteht die Möglichkeit die gewohnten Benutzernamen in JobRouter weiter zu benutzen.

 

Ist diese Option aktiviert UND das OnPremisesSamAccountName-Attribut in Microsoft Entra ID gesetzt, wird der aus dem Active Directory bekannte sAMAccountName für die Synchonisierung verwendet.

 

Bitte beachten Sie: Der Zugriff auf das OnPremisesSamAccountName Attribut erfordert weitreichende Leseberechtigungen in Entra ID.

Authentifizierung

Mandant-Id

Geben Sie die Mandant-Id für Microsoft Entra ID ein.

Client-Id

Geben Sie die Client-Id für Microsoft Entra ID ein.

Client-Secret

Geben Sie das Client-Secret für Microsoft Entra ID ein.

Um auf Microsoft Entra ID zugreifen zu können, muss der JobServer-Dienst dort registriert und konfiguriert werden.

Benutzerattribute

LDAP-Verzeichnis Attribute anlegen & bearbeiten

LDAP-Verzeichnis Attribute anlegen & bearbeiten

Benutzerattribute

Mehrere Attribute

Hier werden die Verknüpfungen zwischen einzelnen Attributen des Verzeichnisdienstes und JobRouter-Datenbankfeldern definiert. Für verschiedene LDAP-Implementierungen können sie angepasst werden.

Bitte beachten Sie: für Microsoft Entra ID können die Attribute nicht angepasst werden.

Bitte beachten Sie: Änderungen der LDAP-Attribute sollten nur dann vorgenommen werden, wenn diese in der von Ihnen verwendeten LDAP-Implementierung von den vorgeschlagenen Standardwerten abweichen. Eine falsche Verknüpfung der Attribute, insbesondere username, supervisor, group_membership oder distinguished_name kann zu Störungen in der Synchronisation führen.

Bitte beachten Sie: Benötigen Sie zusätzliche Attribute, können Sie dies über die Benutzerdefinierten Felder in der JobRouter Konfiguration -> Allgemein -> Einstellungen -> Benutzerdefinierte Einstellungen vornehmen. Hier können Sie bis zu fünf weitere Felder hinzufügen.

Haben Sie alle Einstellungen vorgenommen, klicken Sie auf Sichern um diese zu speichern. Sie gelangen automatisch zurück zur Verwaltung der Verzeichnisdienste.