---

miniOrange LDAP Gateway ermöglicht die Anmeldung bei miniOrange und mehreren anderen Anwendungen mit Anmeldeinformationen, die in Active Directory, OpenLDAP und anderen LDAP-Servern gespeichert sind, wenn der LDAP-Server nicht öffentlich zugänglich ist. Das LDAP Gateway wird in der DMZ-Zone des Intranets installiert. Dieses Modul fungiert auch als Synchronisierungsagent und sorgt dafür, dass Ihr Identitätsanbieter mit den LDAP-Serverobjekten synchronisiert bleibt. Darüber hinaus können Sie mit dem Gateway-Modul zahlreiche LDAP-Server konfigurieren und jeden einzelnen LDAP-Server angeben, der für die Authentifizierung erforderlich ist.

Warum LDAP-Gateway?

• LDAP mit nicht öffentlicher IP - Dies kann sehr nützlich sein, wenn Sie Single Sign-On anstreben, Ihr LDAP aber innerhalb Ihres Intranets mit einer nicht öffentlichen IP existiert. Sie können Ihre Site trotzdem authentifizieren (die sich irgendwo außerhalb Ihres Netzwerks befinden kann) und mithilfe dieses zweiteiligen Plugins (Plugin + Gateway) können Sie sich gegenüber Ihrem LDAP authentifizieren und Single Sign-On erreichen.
• Sichere Anrufe mit HTTPS – Alle Remote-Anrufe erfolgen über einen verschlüsselten Kanal.
• Richten Sie die LDAP-Konfiguration einmal ein und greifen Sie von mehreren Sites aus zu. Sie müssen Ihre LDAP-Konfiguration nur einmal einrichten und können dann von mehreren Sites aus darauf zugreifen, was die Benutzerfreundlichkeit erhöht.
• Ihr LDAP bleibt sicher, da es sich hinter Ihrer Firewall befindet.

Voraussetzungen:

• HARDWARE- UND SOFTWAREANFORDERUNGEN FÜR LDAP-GATEWAY-SERVER
• miniOrange LDAP-Gateway-Server – Dies ist der Server, auf dem das miniOrange LDAP-Gateway installiert wird.

Spezifikationen	miniOrange Gateway Server (Mindestanforderungen)
CPU-Kern	2 Kern
RAM	4 GB
HDD	30 GB
OS	Windows Server 2008+ oder Linux Server
Java-Umgebung	Java SE Development Kit v17



• JAVA-Setup (JAVA 17)
• Für Windows Maschine: Laden Sie JAVA 17 herunter
• Für Linux Maschine: Laden Sie OpenJDK 17 herunter
• Für Debian, Ubuntu usw. verwenden Sie sudo apt-get installiere openjdk-17-jre
• Für Fedora, Oracle Linux, Red Hat Enterprise Linux usw. verwenden Sie su -c "yum installiere java-17-openjdk
• Einrichten von Umgebungsvariablen
• JAVA_HOMELegen Sie hier das JDK-Verzeichnis fest. Beispiel: C:\Program Files\Java\jdk-17
• PORT-KONFIGURATION
• miniOrange LDAP Gateway Server
1. TCP-Port 8080/443 – HTTP/S – sollte von der miniOrange Cloud aus erreichbar sein (52.55.147.107, 52.86.38.163, 54.165.245.227)
2. Ausgehender Zugriff auf login.xecurify.com auf TCP 443 sollte erlaubt sein
• Der Active Directory-Domänencontroller – TCP-Port 389/636 – sollte vom miniOrange LDAP-Gateway-Server aus zugänglich sein.

Folgen Sie der unten stehenden Schritt-für-Schritt-Anleitung zur Einrichtung des miniOrange LDAP Gateway

1. Laden Sie miniOrange Gateway herunter

Sie können die folgende Tabelle überprüfen, um miniOrange Gateway auf Ihr Betriebssystem herunterzuladen:

2. Port für die Ausführung des miniOrange Gateway konfigurieren (optional)

• Um miniOrange LDAP Gateway auf einem anderen Port als 8080 auszuführen, navigieren Sie zu /conf und bearbeiten server.xml
• Suchen nach " Anschlussport="8080" Protokoll="HTTP/1.1" "



• Ändern Sie den Port von 8080 an den gewünschten Port. zB: 80

• Greifen Sie von Ihrem Browser aus über die URL " auf das Gateway zu. /miniorangegateway". Ersetzen Sie " " durch Ihren Hostnamen oder Ihre Server-IP.

3. SSL für LDAP-Gateway einrichten (optional)

HINWEIS: Dieser Schritt ist für den Chrome-Browser obligatorisch. Chrome führt die Webanwendung nicht über HTTP aus. Für alle anderen Browser ist dies optional.

• Hier klicken um die Schritte zu befolgen, wenn Sie über CA-Zertifikate verfügen.
• Befolgen Sie die folgenden Schritte, wenn Sie keine CA-Zertifikate haben.
  1. Keystore generieren:
     • Navigieren Sie zu der %JAVA_HOME%\bin Verzeichnis im Datei-Explorer. Erstellen Sie darin ein Verzeichnis „Certs“.
     
     
     
     • Navigieren Sie zu der %JAVA_HOME%\bin Verzeichnis in der Kommandozeile ( im Administratormodus ) und führen Sie den Befehl aus:
       keytool -genkey -alias -keyalg RSA -keystore \bin\certs\keystore.jks
     
     
     
     • Dadurch wird ein Schlüsselspeicher im in (a) erstellten Ordner „Certs“ erstellt.
     
     
     
  2. Connector konfigurieren:
     Dies ist erforderlich, um Tomcat für die Ausführung auf Port 443 (SSL-Port) zu konfigurieren.
     
     • Navigieren Sie zu der \conf und editieren Sie die server.xml Datei.
     
     
     
     • Hinzufügen Stecker Element unter Die folgende Konfiguration muss in den Stecker Element:
       <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https"
       secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile=" "
       keystorePass="KEYSTORE_PASSWORT" />
     
     
     
  
  
  3. Weisen Sie Tomcat den Servernamen zu:
     • Bearbeiten Sie die Datei %windows%\system32\drivers\etc\hosts und fügen Sie die folgende Zeile hinzu:
       127.0.0.1
     
     
     
     • Navigieren Sie zu der \conf und editieren Sie die server.xml Datei.
     • Suchen Sie nach den und ersetzen Sie localhost durch den neuen Hostnamen des Servers.
     
     
     
     • Suchen Sie nach den Element und ersetzen Name=lokaler Host mit Name = des Servers.
     
     
     
     • Starten Sie Tomcat neu, indem Sie start.bat für \Behälter. Navigieren Sie zur folgenden Adresse:
       https://<newhostname:port>/miniorangegateway.

4. miniOrange Gateway starten

• Navigieren /Behälter und starten Sie den Server mit den folgenden Befehlen im Terminal:
  1. Für Windows Maschinennutzung: catalina.bat starten
  2. Für Linux Maschine: sh catalina.sh starten

• Greifen Sie von Ihrem Browser aus über die URL " auf das Gateway zu. /miniorangegateway". Ersetzen Sie " " durch Ihren Hostnamen oder Ihre Server-IP.
  zB: localhost:8080/miniorangegateway.
  
  HINWEIS: Wenn Sie in Schritt 2 einen anderen Port konfiguriert haben, können Sie diesen anstelle von 8080 verwenden. Wenn Sie Tomcat beispielsweise so konfiguriert haben, dass es auf 8081 läuft, lautet die URL beispielsweise: localhost:8081/miniorangegateway.

  
  

5. Melden Sie sich bei miniOrange Gateway an

• Beim Zugriff auf die Gateway-Anwendung in Ihrem Browser werden Sie zur Administrator-Anmeldeseite weitergeleitet.



• Geben Sie die Anmeldedaten Ihres miniOrange Cloud-Administratorkontos ein. [Die Daten, die Sie für die Anmeldung bei login.xecurify.com verwenden].
• Nach erfolgreicher Anmeldung sollten Sie weitergeleitet werden zu LDAP-Konfigurationen anzeigen

6. LDAP-Gateway mit Verzeichnis verbinden

• Klicken Sie auf Registerkarte „LDAP-Verbindung“.
• Dies sollte die Liste zeigen von LDAP-Konfigurationen.
• Wähle aus LDAP-Konfiguration hinzufügen um mit der Konfiguration Ihrer LDAP-Informationen zu beginnen.



• Konfigurieren Sie die miniOrange Gateway durch Hinzufügen des folgenden LDAP-Konfiguration Details.






Feld	Beschreibung.
Konfigurationskennung	Jeder beliebige Name, der diesen Konfigurationssatz angibt.
LDAP-Server-URL	Geben Sie den Hostnamen für den LDAP-Server an zB: ldap://myldapserver.domain:389
Konto-DN binden	Dies wird verwendet, um die Verbindung mit dem LDAP-Server herzustellen. Geben Sie es auf folgende Arten an: Benutzername@Domänenname oder Distinguished Name(DN)-Format
Kontopasswort binden	Passwort für das Bind-Konto im LDAP-Server
Suchbasen	Geben Sie den Distinguished Name des Suchbasis Objekt zB: cn=Benutzer, dc=Domäne, dc=com
Suchfilter	Mit Suchfiltern können Sie Suchkriterien definieren und so effizientere und effektivere Suchvorgänge durchführen. Wenn Du Benutzer im Einzelgruppenfilter or Benutzer im Mehrfachgruppenfilter, ersetze dasGruppen-DN> im Suchfilter mit dem Distinguished Name der Gruppe, in der Ihre Benutzer vorhanden sind.
Domain Name	Durch Semikolon getrennte Domänenliste. zB: miniorange.com
Vornamensattribut	LDAP-Attribut für den Vornamen. zB: Vorname
Nachname-Attribut	LDAP-Attribut für den Nachnamen. zB: sn
E-Mail-Attribut	LDAP-Attribut für den Vornamen. zB: Mail
Benutzernamensattribut	LDAP-Attribut für den Vornamen. zB: sAMAccountName
Telefonattribut	LDAP-Attribut für den Vornamen. zB: Telefonnummer
Benutzergruppenattribut	LDAP-Attribut für den Gruppennamen. zB: Mitglied von
Suchbasen für Gruppen	Geben Sie den Distinguished Name des Suchbasen Objekte für Ihre Gruppen zB: cn=Benutzer, dc=Domäne, dc=com
Gruppennamenattribut	Attribut einer Sicherheitsgruppe zum Erstellen von Gruppen in miniOrange zB: samaccountname
LDAP-Attributliste	Durch Semikolon getrennte Liste von Attributen. zB: cn;mail;vorname
Zuordnung der IdP-Benutzerprofilfelder	Idp-Benutzerprofilfelder, die während der Synchronisierung verwendet werden
Konfiguration für Synchronisierung aktivieren	Diese Option aktiviert/deaktiviert die Registrierung der aktuellen Verbindung im Scheduler

• Klicken Sie auf die Gespeichert .
• Um die aktuelle LDAP-Verbindung zu testen, müssen Sie zurück zu LDAP-Verbindungen

7. Testen der Verbindung und der Attributzuordnung

• Um die Attributzuordnung zu testen, klicken Sie auf Auswählen und klicken Sie auf Testen Sie die Attributzuordnung aus dem Dropdown.



• Geben Sie die Benutzername und klicken auf Test.



• Wenn der Test erfolgreich ist, sollten die Attribute des Benutzers angezeigt werden.
• Um die LDAP-Konfiguration zu testen, klicken Sie auf Auswählen und klicken Sie auf Verbindung testen bilden die Dropdown-Liste.



• Geben Sie die Benutzername mit einem Passwort und klicken Sie auf Test.



• Klicken Sie auf die Schaltfläche „Bind-Kontoanmeldeinformationen testen“, um Ihre LDAP-Bind-Anmeldeinformationen für die LDAP-Verbindung zu überprüfen.
• Bei erfolgreicher Verbindung mit dem LDAP-Server wird eine Erfolgsmeldung angezeigt.

8. Verbinden Sie miniOrange Cloud mit Gateway

• Melden Sie sich über das miniOrange-Dashboard an Admin-Konsole.
• Klicken Sie im Menü auf der linken Seite auf Identitätsanbieter >> Identitätsanbieter hinzufügen.



• Wähle aus LDAP-Konfiguration vor Ort speichern .
• Klicken Sie auf die miniOrange Gateway herunterladen Link in der oberen rechten Ecke.
• Geben Sie LDAP ein Display Name mit einem Identifizieren Namen.
• Auswählen Verzeichnistyp as Active Directory.
• Konfigurieren Sie die LDAP-Server-URL (auch Gateway-URL genannt). Wählen Sie das entsprechende Protokoll entweder HTTP oder HTTPS aus der Dropdown-Liste und konfigurieren Sie die öffentliche URL des bereitgestellten Gateways.
  Zum Beispiel localhost:8080/miniorangegateway.



• Klicken Sie auf Gespeichert oder gehen Sie zum Anmeldeoptionen Tab.
• Sie können beim Einrichten von AD auch folgende Optionen konfigurieren. Aktivieren Aktivieren Sie LDAP um Benutzer von AD/LDAP zu authentifizieren. Klicken Sie auf die Schaltfläche Weiter, um den Benutzerspeicher hinzuzufügen.




Hier ist die Liste der Attribute und was sie bewirken, wenn wir sie aktivieren. Sie können sie entsprechend aktivieren/deaktivieren.

Attribut	Beschreibung
Aktivieren Sie LDAP	Alle Benutzerauthentifizierungen werden mit LDAP-Anmeldeinformationen durchgeführt, wenn Sie es aktivieren
Fallback-Authentifizierung	Wenn die LDAP-Anmeldeinformationen fehlschlagen, wird der Benutzer über miniOrange authentifiziert.
Administratoranmeldung aktivieren	Wenn Sie dies aktivieren, wird Ihr miniOrange Administrator-Login über Ihren LDAP-Server authentifiziert.
Benutzern IdP anzeigen	Wenn Sie diese Option aktivieren, ist dieser IdP für Benutzer sichtbar
Benutzer in miniOrange synchronisieren	Benutzer werden in miniOrange nach der Authentifizierung mit LDAP erstellt

• Klicken Sie auf Nächster oder gehen Sie zum Attribute Tab.
• Weitere Informationen zum Konfigurieren des Verzeichnisses in der miniOrange Cloud finden Sie unter werden auf dieser Seite erläutert.

Attributzuordnung aus AD

• Standardmäßig sind Benutzername, Vorname, Nachname und E-Mail konfiguriert. Scrollen Sie nach unten und klicken Sie auf Konfigurationen speichernUm zusätzliche Attribute aus Active Directory abzurufen, aktivieren Sie Konfigurierte Attribute sendenGeben Sie links den Namen ein, den Sie für die Anwendungen freigeben möchten. Geben Sie rechts den Attributnamen aus Active Directory ein. Wenn Sie beispielsweise ein Firmenattribut aus Active Directory abrufen und als Organisation an konfigurierte Anwendungen senden möchten, geben Sie Folgendes ein:

  An SP gesendeter Attributname = Organisation
  Attributname vom IDP = Unternehmen

Benutzerimport und Provisionierung aus AD

• Wenn Sie die Bereitstellung einrichten möchten, hier klicken für detaillierte Informationen. Wir werden diesen Schritt vorerst überspringen.

9. Testen Sie die Verbindung von der Cloud zum AD

• Melden Sie sich über das miniOrange-Dashboard an Admin-Konsole.
• Klicken Sie im Menü auf der linken Seite auf Benutzerspeicher.
• Eine Liste aller konfigurierten Benutzer-Stores wird angezeigt. Klicken Sie auf den Link „Auswählen“ der Konfiguration, die wir in Schritt 7.
• Wählen Sie Test-Connection aus dem Dropdown-Menü



• Ein Popup wird angezeigt. Geben Sie einen gültigen Benutzernamen und ein gültiges Passwort ein und klicken Sie auf Test.




• Bei erfolgreicher Verbindung mit dem LDAP-Server wird eine Erfolgsmeldung angezeigt.

10. Einrichten einer einmaligen/geplanten Synchronisierung zwischen Verzeichnis und miniOrange

Anmerkungen: Dieser Schritt ist optional. Befolgen Sie die folgenden Schritte, wenn Sie die Benutzersynchronisierung zwischen Ihrem Verzeichnis und dem miniOrange Cloud-Dienst über LDAP Gateway einrichten möchten. Wir unterstützen sowohl die geplante als auch die einmalige Synchronisierung.

Wenn die Serverzeit beispielsweise 13:00 Uhr ist, sollte jederzeit vor 13:00 Uhr eine sofortige Synchronisierung eingeleitet werden.

• Klicken Sie im linken Bereich auf „Zeitpläne“.
• Konfigurieren Sie die folgenden Details:

Feld	Beschreibung.
Gruppensynchronisierung aktivieren	Gruppensynchronisierung aktivieren/deaktivieren.
Benutzersynchronisierung aktivieren	Benutzersynchronisierung aktivieren/deaktivieren
Synchronisierung der Benutzergruppenmitgliedschaft aktivieren	Synchronisierung der Benutzergruppenmitgliedschaft aktivieren/deaktivieren
Synchronisierung zum Löschen von Benutzern aktivieren	Aktivieren/Deaktivieren zum Löschen der Benutzersynchronisierung.
Ausschlussliste konfigurieren	Klicken Sie auf Wählen Sie Benutzer , um Benutzer auszuwählen, die vom Löschen ausgeschlossen sind.
Benutzer als in miniOrange registriert markieren	Aktivieren/Deaktivieren der Markierung des Benutzers als bei miniOrange registriert.
Startzeit (hh:mm)	Startzeit für die geplante Synchronisierung, z. B.: 01 in Stunden und 01 in Minuten.
Synchronisierungsintervall (in Stunden)	Zeitintervall zwischen periodischen Synchronisierungen.






• Klicken Sie auf Gespeichert
• Die Benutzer aus verschiedenen LDAP-Konfigurationen werden synchronisiert, je nachdem, ob "Konfiguration für Synchronisierung aktivieren" aktiviert
  
• Wenn Sie aktivieren Synchronisierung zum Löschen von Benutzern aktivieren, klicke auf Wählen Sie Benutzer und wählen Sie die Benutzer aus, die vom Löschen ausgeschlossen sind.



• Wählen Sie nun das LDAP-Synchronisierung aktivieren Tab.



• Auswählen Einmalige Synchronisierung ausführen um die Synchronisierung sofort durchzuführen.
• Auswählen Geplante Synchronisierung aktivieren um die Synchronisierung zur geplanten Zeit zu starten.
• Sie können die Synchronisierung nach dem Start deaktivieren, indem Sie auf Geplante Synchronisierung deaktivieren.

11. Schritte zum Einrichten einer sicheren LDAP-Verbindung (LDAPS) mit LDAP-Verzeichnis.

HINWEIS: Stellen Sie sicher, dass Tomcat mit Administratorrechten ausgeführt wird.

• Navigieren Sie zu der Einrichten der LDAPS-Option bilden den linken Bereich.
• Geben Sie die erforderlichen Details ein:
• Gastgeber: Hostname Ihres LDAP-Domänencontrollers.
• Hafen: Sicherer LDAP-Port. zB: 636
• Alias: Alias, mit dem Sie das eingehende Zertifikat in Ihrem Java TrustStore speichern möchten.
• Passwort: changeit (Passwort Ihres Java TrustStore).
• Klicken Sie auf Zertifikat abrufen. Beim erfolgreichen Abrufen des Zertifikats sollte eine Erfolgsmeldung angezeigt werden.



• Starten Sie den Tomcat-Server neu.

12. Schritte zum Bereitstellen von Tomcat als Windows/Linux-Dienst

• Für Windows
• Für Linux

• Installieren Sie Tomcat mit einem Windows Installer als Windows-Dienst.
• Navigieren Sie zum von uns bereitgestellten Tomcat-Paket und kopieren Sie den Ordner „miniorangegateway“ im Verzeichnis „webapps“ in den neu installierten Tomcat als Dienstordner „webapps“.



• Jetzt können Sie zum Windows-Dienstefenster navigieren und den Tomcat-Dienst starten.

• Erstellen und öffnen Sie die Unit-Datei, indem Sie diesen Befehl ausführen:
sudo vi /etc/systemd/system/tomcat.service
• Fügen Sie das folgende Skript ein. Möglicherweise möchten Sie auch die Speicherzuordnungseinstellungen ändern, die in CATALINA_OPTS:
# Systemd unit file for tomcat [Unit] Description=Apache Tomcat Web Application Container After=syslog.target network.target [Service] Type=forking Environment=JAVA_HOME= <Location of your JRE> eg: /usr/lib/jvm/jre Environment=CATALINA_PID=<Location of your PID file> eg:/opt/miniorangegateway-1.x.x/temp/tomcat.pid Environment=CATALINA_HOME=<Location of your miniOrange Tomcat Directory> eg: /opt/miniorangegateway-1.x.x Environment=CATALINA_BASE=<Location of your miniOrange Tomcat Directory> eg: /opt/miniorangegateway-1.x.x Environment='CATALINA_OPTS=-Xms512M -Xmx1024M -server -XX:+UseParallelGC' Environment='JAVA_OPTS=-Djava.awt.headless=true -Djava.security.egd=file:/dev/./urandom' ExecStart=/opt/tomcat/bin/startup.sh ExecStop=/bin/kill -15 $MAINPID User=tomcat Group=tomcat UMask=0007 RestartSec=10 Restart=always [Install] WantedBy=multi-user.target


• Gespeichert und beenden. Dieses Skript weist den Server an, den Tomcat-Dienst als Tomcat-Benutzer mit den angegebenen Einstellungen auszuführen.
• Laden Sie nun Systemd neu, um die Tomcat-Unit-Datei zu laden:
sudo systemctl daemon-reload

• Nun können Sie den Tomcat-Dienst mit diesem starten. systemctl Befehl:
sudo systemctl start tomcat

• Überprüfen Sie, ob der Dienst erfolgreich gestartet wurde, indem Sie Folgendes eingeben:
sudo systemctl status tomcat

• Wenn Sie den Tomcat-Dienst aktivieren möchten, damit er beim Serverstart gestartet wird, führen Sie diesen Befehl aus:
sudo systemctl enable tomcat

13. Schritte zum Upgrade des miniOrange Gateway

• Laden Sie die neueste Version von miniOrange Gateway herunter.
• Stoppen der miniOrange Gateway Server.
• Navigieren Sie zu Ihrem aktuellen Tomcat-Installationsverzeichnis und erstellen Sie eine Sicherungskopie Ihrer aktuellen miniorangegateway Verzeichnis vorhanden in \webapps.



• Ersetzen Sie nun die Miniorangegateway-Ordner in England, Tomcat-Stammverzeichnis an. Nach der Installation können Sie HEIC-Dateien mit der Miniorangegateway-Ordner im heruntergeladenen Paket vorhanden.
• Kopieren Sie nun die \miniorangegateway\WEB-INF\classes\application.properties Datei vom Backup-Miniorangegateway zum neu bereitgestellten Miniorangegateway im selben Pfad \miniorangegateway\WEB-INF\Klassen\.
• Start der Tomcat-Server.

Häufig gestellte Fragen – Version 1.4.0