Ana içeriğe geç

1.6.3. LDAP

Geliştiriciler için LDAP Entegrasyonu Rehberi#

Bu belge, Keysis'te LDAP entegrasyonunun nasıl çalıştığına dair geliştiricilere rehberlik etmeyi amaçlamaktadır.

Keysis LDAP ile Çalışırken Yapılacak Konfigürasyonlar

  • HVL LDAP Sunucu çalıştırılmalıdır.
  • Mail Notification uygulaması çalıştırılmalıdır.
  • auth -> ldap profili: instance profile en sona eklenecek.
  • authz -> ldap profili: instance profile en sona eklenecek.

Backend Parametreleri:

Şifre işlemleri için aşağıdaki parametrenin true yapılması gereklidir.

  • AUTHZ_LDAP_PASSWORD_CHANGE_ENABLED

Aşağıdaki parametreler ile bağlantı kurulacak ldap bilgileri ayarlanmaktadır. 

ldap:
  urls: ${LDAP_URLS:ldap://10.0.20.115:389}
  username: ${LDAP_USERNAME:cn=admin,dc=bit-javalt-dev,dc=hvlnet,dc=net}
  password: ${LDAP_PASSWORD:admin}
  base: ${LDAP_BASE:dc=bit-javalt-dev,dc=hvlnet,dc=net}
  base-environment:
    com.sun.jndi.ldap.connect.timeout: ${LDAP_TIMEOUT:10000}

config.json:

UI uygulaması için gerekli parametreler aşağıdakilerdir.

"ldap": {
  "enabled": true,
  "ldapPasswordChangeComponentRender": true,
  "ldapPasswordChangeEnabled": true
},
"application": {
  "keysis": {
    "createLdapUserWhileCreatingUser": true
  }
}

Keysis LDAP için Desteklenen Özellikler

  • LDAP Kullanıcı Bilgileri (Enrtiy) Crud:
    • LDAP sunucusunda kullanıcı bilgileri (DN, uid, sn, cn, mail, ...) CRUD işlemleri yapılabilir.
  • GRUP Bilgileri (Group) Crud:
    • LDAP sunucusunda grup bilgileri (DN, cn, gidNumber, ...) CRUD işlemleri yapılabilir.
  • Organization Unit Bilgileri (OU) Crud:
    • LDAP sunucusunda organizasyon birimi bilgileri (DN, ou, ...) CRUD işlemleri yapılabilir.

Kullanıcı Kaydı Sırasında LDAP Desteği

  1. Kullanıcı e-posta adresini girer.
  2. Gelen linke tıklar.
  3. Formu doldurur (Keysis'te kayıt oluşturulur).
  4. Kullanıcıya e-posta gönderilir (Şifre anlamsızdır, admin LDAP için şifre oluşturmalıdır).
  5. Bilgilendirme yapılacak mail adresine e-posta gönderilir.
  6. Admin kullanıcıyı LDAP ile eşleştirir.
  7. Admin şifre ataması yapar (hem backend hem de UI için parametre var).
  8. Tekrar kullanıcıya e-posta gönderilir.
  9. Kullanıcının base_authority var ise direk /resetpassword arayüzüne yönlendirilir.

Keysis Kullanıcı Bilgileri Arayüzünde LDAP Desteği

  • Kullanıcı arayüzünde kullanıcının şifresini değiştirirken LDAP şifresi de değiştirilebilir.
  • Yeni kullanıcı oluşturma aşamasında OU seçilerek eklenebilir.
  • **Kullanıcı adı ile LDAP sunucusunda DN sorgusu yapılır.
  • **Sorgu, authentication_username_field özelliğinden alınır.
  • **Username ile DN eşleşmesi yapılıyor.

  • **Username ile DN yok ise verilen OU altında oluşturuluyor.

  • KEYSIS tarafında aşağıdaki ortam değişkenleri setlendiğinde, LDAP/Kerberos üzerinden authentication gerçekleştirildiği zaman tanımlı kullanıcı yoksa otomatik olarak oluşturacak yetenek eklenmiştir:

      ldap-auto-registration:
        enabled: ${LDAP_AUTO_REGISTRATION_ENABLED:true}
        integration-code-field: ${LDAP_AUTO_REGISTRATION_INTEGRATION_CODE_FIELD:uidNumber}
        personal-identifier-field: ${LDAP_AUTO_REGISTRATION_PERSONAL_IDENTIFIER_FIELD:uid}
        user-detail-type-id: ${LDAP_AUTO_REGISTRATION_USER_DETAIL_TYPE_ID:1}
        profile-detail-id: ${LDAP_AUTO_REGISTRATION_PROFILE_DETAIL_ID:1}