x

Fő fejezetek

  1. LimeSurvey Cloud vs LimeSurvey CE
  2. LimeSurvey Cloud – Rövid útmutató
  3. LimeSurvey CE - Telepítés
  4. Hogyan készítsünk jó felmérést (Útmutató)
  5. Elkezdeni
  6. LimeSurvey konfiguráció
  7. Bevezetés – Felmérések
  8. A felmérés beállításainak megtekintése
  9. A felmérés menü megtekintése
  10. A felmérés szerkezetének megtekintése
  11. Bevezetés – Kérdések
  12. Bevezetés – Kérdéscsoportok
  13. Bevezetés - Felmérések - Menedzsment
  14. A felmérés eszköztárának beállításai
  15. Többnyelvű felmérés
  16. Gyors útmutató – ExpressionScript
  17. Speciális funkciók
  18. Általános GYIK
  19. Hibaelhárítás
  20. Megoldások
  21. Engedély
  22. Verzióváltoztatási napló
  23. Bővítmények – Speciális
 Actions

LDAP beállítások

From LimeSurvey Manual

Revision as of 17:20, 9 October 2023 by Maren.fritz (talk | contribs) (Created page with "Korlátozhatja azonban, hogy ezek közül a „felhasználójelöltek” közül melyik kerüljön kiválasztásra a tagi UID-kből számított automatikus felhasználói szű...")
Other languages:
  Figyelem : Ez a funkció lehetővé teszi a LimeSurvey felmérés rendszergazdái számára, hogy tokeneket importáljanak LDAP-n keresztül. Ha LDAP-hitelesítésre van szüksége, kérjük, olvassa el a AuthLDAP plugin.


Általános

A funkció használatához engedélyeznie kell az LDAP támogatást a config.php fájlban, és be kell állítania az LDAP paramétereket a config/ldap.php fájlban.

Template:Figyelmeztetés

LDAP engedélyezése a config.php-ben

  • $enableLdap: Ha LDAP függvényeket szeretne használni a LimeSurvey-ben, ezt a paramétert igazra kell állítani (alapértelmezés szerint false):
'config'=>array(
 'debug'=>0,
 'debugsql'=>0,
 'enableLdap'=>true,
 )

LDAP szerverek meghatározása

Először adja meg az LDAP kiszolgáló csatlakozási beállításait az "application/config/ldap.php" fájlban. Minden szerverhez a következő opciók állnak rendelkezésre:

  • $serverId: Ezt az LDAP-kiszolgálót azonosító egész szám. A lekérdezésdefiníciókban arra használják, hogy egy szervert egy adott lekérdezéshez rendeljenek;
  • '$ldap_server [ $serverId] [ 'szerver']: Az LDAP-szerver IP-címe vagy DNS-neve. Ha SSL-védett kapcsolatokat használ (LDAP vagy LDAP+Start-TLS), ennek a névnek meg kell egyeznie a szerver tanúsítvány CN-jével (vagy SubjectAlternativeName);
  • '$ldap_server [ $serverId] [ 'protoversion']: Lehet 'ldapv2' vagy 'ldapv3' a szerver által támogatott protokolltól függően. Az 'ldapv3' a preferált protokoll. Ha azonban titkosított kapcsolatokat szeretne használni, vegye figyelembe, hogy az LDAP-ok 'ldapv2' módban támogatottak, míg a Start-TLS az 'ldapv3';
  • '$ldap_server titkosítási módszere [ $serverId] [ 'titkosítás']: Meghatározza a használt titkosítási módszert. Az 'ldaps' az 'ldav2' szervereknél, a 'start-tls' az 'ldapv3' szervereknél támogatott. A 'none' kulcsszót a tiszta szövegű LDAP-kommunikációhoz használják;
    • Ne feledje, hogy 'ldaps' vagy 'start-tls' titkosítás esetén a webszervernek képesnek kell lennie az LDAP-szerver tanúsítványának ellenőrzésére. Ezért meg kell határoznia a tanúsító hatóságot az openldap könyvtárban (ez általában az /etc/openldap/ldap.conf fájlban történik linux alatt).
  • '$ldap_server [ $serverId] [ 'referrals']: Ez egy logikai paraméter, amely meghatározza, hogy a hivatkozásokat követni kell-e vagy sem (hamis értéket használjon az ActiveDirectoryhoz);
  • $ldap_server [ $serverId] [ 'encoding']: Ez egy opcionális paraméter, amely megadja az LDAP-könyvtár által a karakterláncok tárolására használt kódolást. Ezt a paramétert általában nem kell beállítani, mivel az alapértelmezett feltételezett kódolás, az 'utf-8', az LDAP-címtárak szabványos kódolása. Ha azonban Active Directoryt használ, és problémái vannak az ékezetes karakterláncok importálásával, próbálja meg beállítani ezt a paramétert az Ön területén használt kódolásra (például 'cp850' Nyugat-Európa esetében). A támogatott kódolások teljes listájának megtekintéséhez tekintse meg a „Fájl karakterkészlete” legördülő listát a Token importálása CSV-fájlból GUI-ban.

Ezután meg kell határoznia, hogy milyen hitelesítés szükséges a címtárhoz való hozzáféréshez. Ha az "anonim" hozzáférés engedélyezett, NE állítsa be a következő két paramétert, ellenkező esetben állítsa be őket megfelelően:

  • '$ldap_server [ $serverId] [ 'binddn']: A könyvtár olvasására jogosult 'LDAP' felhasználó DN-je;
  • '$ldap_server [ $serverId] [ 'bindpw']: Jelszó a fenti LDAP felhasználóhoz.

Ha más LDAP-kiszolgálókat is meg kell határoznia, adja hozzá a következő sort a szerverazonosító növeléséhez és új paraméterek meghatározásához:

  • $serverId++.

== Lekérdezések meghatározása a config/ldap.php== fájlban

Figyelem: ha ezen paraméterek egyikében egy ldap attribútumnév szükséges, csak kisbetűs neveket használjon: például displayname és NOT displayName.

Kérjük, tekintse meg a config/ldap.php fájlt, amely konfigurációs mintákat tartalmaz.

Egyszerű lekérdezések

Kezdjük az egyszerű lekérdezésekkel. Ezek a lekérdezések csak saját attribútumuk és helyük alapján szűrik az LDAP bejegyzéseket. Általában elegendőek az ActiveDirectory lekérdezéséhez.

  • $query_id: az LDAP lekérdezés azonosítója;
  • $ldap_queries [ $query_id] [ 'ldapServerId']: Egy adott szerverhez köti a lekérdezést;
  • '$ldap_queries [ $query_id] [ 'name']: A lekérdezést leíró karakterlánc. Megjelenik a grafikus felhasználói felületen;
  • $ldap_queries [ $query_id] [ 'userbase']: Root DN a felhasználói keresésekhez;
  • '$ldap_queries [ $query_id] [ 'userfilter']: Ez egy szűrő, amely a potenciális felhasználók bejegyzéseinek kiválasztására szolgál. Zárójelek közé kell tenni;
  • '$ldap_queries [ $query_id] [ 'userscope']: a felhasználók LDAP keresésének hatóköre ('base', 'one' vagy 'sub');
  • '$ldap_queries [ $query_id] [ 'firstname_attr']: Ldap attribútum, amely a token bejegyzés Firstname mezőjére lesz leképezve;
  • $ldap_queries [ $query_id] [ 'lastname_attr']: Ldap attribútum, amely a token bejegyzés Vezetéknév mezőjére lesz leképezve;
  • '$ldap_queries [ $query_id] [ 'email_attr']: Ldap attribútum, amely a token bejegyzés e-mail cím mezőjére lesz leképezve.

Opcionálisan további információkat is lekérhet a következő könyvtárból:

  • $ldap_queries [ $query_id] [ 'token_attr']: Ldap attribútum, amely a token kódra lesz leképezve;
  • $ldap_queries [ $query_id] [ 'language']: Ldap attribútum, amely a felhasználói nyelvi kódra lesz leképezve;
  • '$ldap_queries [ $query_id] [ 'attr1']: Ldap attribútum, amely az attribútum_1 mezőre lesz leképezve;
  • '$ldap_queries [ $query_id] [ 'attr2']: Ldap attribútum, amely az attribútum_2 mezőre lesz leképezve.

Kombinált csoportlekérdezések DN-tagokkal

Nézzük meg, hogyan határozhatunk meg egy bonyolultabb lekérdezést.

A következő lekérdezések az első LDAP-keresést használják, amely az LDAP-csoportokat vizsgálja. Az LDAP-csoport egy olyan LDAP-bejegyzés, amely hivatkozásokat tartalmaz a felhasználók bejegyzéseire a következő formában:

  • felhasználói azonosítók (például posixGroups do) ==> Lásd a következő részt
  • Vagy felhasználói DN-ek (például groupofnames és groupofuniquenames do) ==> lásd alább

Itt a felhasználói DN-eket tartalmazó csoportokkal foglalkozunk:

  • define $query_id, $ldap_queries [ $query_id] [ 'ldapServerId'], $ldap_queries [ $query_id] [ 'név'] a fentebb leírtak szerint.

Ezután adja meg a csoportszűrő paramétereit:

  • '$ldap_queries [ $query_id] [ 'groupbase']: A gyökér DN, amelyből a csoportbejegyzések keresését el szeretné kezdeni;
  • '$ldap_queries [ $query_id] [ 'groupfilter']: Az LDAP szűrő, amely kiválasztja a lehetséges csoportbejegyzéseket;
  • '$ldap_queries [ $query_id] [ 'groupscope']: A csoportok LDAP-keresésének hatóköre ('on', 'base' vagy 'sub');
  • '$ldap_queries [ $query_id] [ 'groupmemberattr']: Az LDAP attribútum neve a csoportbejegyzésben, amely hivatkozásokat fog tartalmazni a felhasználók bejegyzéseire;
  • $ldap_queries [ $query_id] [ 'groupmemberisdn']:' TRUE.

Ezen a ponton minden be van állítva, hogy az első LDAP-keresés megtalálja a kiválasztott csoportoknak megfelelő felhasználókat. Korlátozhatja azonban, hogy ezek közül a "felhasználójelöltek" közül melyik kerüljön kiválasztásra, ha egy másik szűrőt alkalmaz rájuk. Ez természetesen nem kötelező:

  • '$ldap_queries [ $query_id] [ 'userbase']: A felhasználói LDAP-keresés alap DN-je (csak az ennek az alapnak megfelelő felhasználójelölt) lesz kiválasztva;
  • '$ldap_queries [ $query_id] [ 'userscope']: A felhasználói LDAP keresés hatóköre (csak a felhasználói bázis+hatókörnek megfelelő felhasználójelölt) lesz kiválasztva;
  • '$ldap_queries [ $query_id] [ 'userfilter']: Ez egy szűrő, amely minden felhasználójelölt bejegyzésre vonatkozik (az attribútumaira), hogy újabb kijelölést adjon hozzá.

Kombinált csoportlekérdezések UID-tagokkal

Lássuk most, hogyan definiálhatunk kombinált csoportlekérdezést, ha a csoporttagok felhasználói UID-k és nem felhasználói DN-ek.

Ami a DN-tagokat tartalmazó csoportlekérdezéseket illeti, ezek a lekérdezések az első LDAP-keresést használják, amely megkeresi az LDAP-csoportok bejegyzéseit, és lekéri a tagokat. Ezeket a tagértékeket ezután a rendszer egy felhasználói keresési szűrőben használja a megfelelő bejegyzések keresésére. Így egy másik paramétert kell konfigurálni a felhasználói attribútum meghatározásához a felhasználó bejegyzésében, amelynek meg kell egyeznie a csoportokban található tag UID-vel.

Tekintsük át a szükséges paramétereket:

  • define $query_id, $ldap_queries [ $query_id] [ 'ldapServerId'], $ldap_queries [ $query_id] [ 'név'] a fentebb leírtak szerint

Ezután adja meg a csoportszűrő paramétereit:

  • '$ldap_queries [ $query_id] [ 'groupbase']: A gyökér DN, amelyből a csoportbejegyzések keresését el szeretné kezdeni;
  • '$ldap_queries [ $query_id] [ 'groupfilter']: Az LDAP szűrő, amely kiválasztja a lehetséges csoportbejegyzéseket;
  • '$ldap_queries [ $query_id] [ 'groupscope']: A csoportok LDAP-keresésének hatóköre ('on', 'base' vagy 'sub');
  • '$ldap_queries [ $query_id] [ 'groupmemberattr']: Az LDAP attribútum neve a csoportbejegyzésben, amely hivatkozásokat fog tartalmazni a felhasználók bejegyzéseire;
  • $ldap_queries [ $query_id] [ 'groupmemberisdn']:' HAMIS;
  • $ldap_queries [ $query_id] [ 'useridattr']:' a felhasználói attribútum neve, amelynek meg kell egyeznie a csoporttagokban található UID-vel.

Ezen a ponton minden úgy van beállítva, hogy az első LDAP-keresés megtalálja a kiválasztott csoportoknak megfelelő felhasználói UID-ket, és egy felhasználói keresési szűrő automatikusan kitöltésre kerül.

Korlátozhatja azonban, hogy ezek közül a „felhasználójelöltek” közül melyik kerüljön kiválasztásra a tagi UID-kből számított automatikus felhasználói szűrő kitöltésével. Ez természetesen nem kötelező:

  • '$ldap_queries [ $query_id] [ 'userbase']: A felhasználói LDAP-keresés alap DN-je (csak az ennek az alapnak megfelelő felhasználójelölt) lesz kiválasztva;
  • '$ldap_queries [ $query_id] [ 'userscope']: A felhasználói LDAP keresés hatóköre (csak a felhasználói bázis+hatókörnek megfelelő felhasználójelölt) lesz kiválasztva;
  • '$ldap_queries [ $query_id] [ 'userfilter']: Ez egy szűrő, amely minden felhasználójelölt bejegyzésre vonatkozik (az attribútumaira), hogy újabb kijelölést adjon hozzá.

What about Active Directory?

Active Directory (AD) is a Microsoft registry that can be queried by using the LDAP protocol.

It is then possible to use its content for LimeSurvey token queries, but this requires knowledge on how AD is organized.

  • The LDAP root base is dc=my_windows_domain_name,dc=dns_suffix2,dc=dns_suffix1

==> For instance, if your company owns the DNS domain 'my-company.com' and your Windows domain is 'employees', then your root base is dc=employees,dc=my-company,dc=com

  • Users and users-groups are stored below the cn=Users,dc=my_windows_domain_name,dc=dns_suffix2,dc=dns_suffix1 (please note this is not ou=users);
  • Active Directory Groups:
    • Groups objects contain DN of members in their 'member' attribute;
    • Group memberships are also stored in the memberOf attribute of each user entry. This attribute contains DNs of groups the user belongs to;
    • some groups are in CN=Builtin,dc=my_windows_domain_name,dc=dns_suffix2,dc=dns_suffix1:
      • For instance: cn=Administrator,CN=Builtin,dc=my_windows_domain_name,dc=dns_suffix2,dc=dns_suffix1;

In some cases it is not as easy to query an active directory so here is a sample configuration for getting some infomations of an active directory: 

//Connection to the active directory Server:
$serverId=0;
$ldap_server[$serverId]['server'] = "10.10.10.10";
$ldap_server[$serverId]['port'] = "389";
$ldap_server[$serverId]['protoversion'] = "ldapv2";
$ldap_server[$serverId]['encrypt'] = "none"; // Most AD LDAP servers will not have encryption set by default
$ldap_server[$serverId]['referrals'] = false;
$ldap_server[$serverId]['binddn'] = "domain\\user";
$ldap_server[$serverId]['bindpw'] = "userpassword";
//$ldap_server[$serverId]['binddn'] = "CN=user,OU=user_group,DC=xxx,DC=yyy"; this one will not work with active directory, that´s why you need to use "domain\\user"
//Here is a sample query for getting all active users of an active directory:
$query_id=0;
$ldap_queries[$query_id]['ldapServerId'] = 0;
$ldap_queries[$query_id]['name'] = 'Staff with an enabled account';
$ldap_queries[$query_id]['userbase'] = 'OU=USER_GROUP,DC=xxx,DC=yyy';
$ldap_queries[$query_id]['userfilter'] = '(&(objectClass=user)(!(userAccountControl=514)))';
//(!(userAccountControl=514)) you are not able to ask active directory for an active user but you are able to ask for a non inactive user
$ldap_queries[$query_id]['userscope'] = 'sub';
$ldap_queries[$query_id]['firstname_attr'] = 'givenname';
$ldap_queries[$query_id]['lastname_attr'] = 'sn';
$ldap_queries[$query_id]['email_attr'] = 'mail';
$ldap_queries[$query_id]['token_attr'] = ''; // Leave empty for Auto Token generation by phpsv
$ldap_queries[$query_id]['language'] = '';
$ldap_queries[$query_id]['attr1'] = '';
$ldap_queries[$query_id]['attr2'] = '';
//Group filtering was not possible in active directory, you need to add the memberOf attribute of an user. Here is a sample query for getting all active users that are member of the group "samplegroup" in active directory:
$query_id++;
$ldap_queries[$query_id]['ldapServerId'] = 0;
$ldap_queries[$query_id]['name'] = 'All members of samplegroup';
$ldap_queries[$query_id]['userbase'] = 'OU=USER_GROUP,DC=xxx,DC=yyy';
$ldap_queries[$query_id]['userfilter'] = '(&(objectClass=user)(memberOf=CN=samplegroup,OU=Group Global,OU=USER_GROUP,DC=xxx,DC=yyy)(!(userAccountControl=514)))';
$ldap_queries[$query_id]['userscope'] = 'sub';
$ldap_queries[$query_id]['firstname_attr'] = 'givenname';
$ldap_queries[$query_id]['lastname_attr'] = 'sn';
$ldap_queries[$query_id]['email_attr'] = 'mail';
$ldap_queries[$query_id]['token_attr'] = ''; // Leave empty for Auto Token generation by phpsv
$ldap_queries[$query_id]['language'] = '';
$ldap_queries[$query_id]['attr1'] = '';
$ldap_queries[$query_id]['attr2'] = '';

Another example User query: 

$ldap_queries[$query_id]['userfilter'] = '(&('''objectCategory=Person''')(objectClass='''user''')(!('''userAccountControl=514''')))'; // AD doesn't recognise enabled accounts in the normal way, so instead, we check users are not disabled
  • As suggested in the config file, consider adding (!(email=*)) to your user filters to ignore users with no email address.

Example group query: 

$ldap_queries[$query_id]['groupfilter'] = '(&(objectClass='''group''')(cn=Domain Admins))'; // AD doesn't use the standard attribute name for groups, so use this example instead.

Find more information about the Active Directory LDAP structure on Active Directory Architecture and Active Directory Technical Specification.

Retrieved from "http://www.limesurvey.org/manual/index.php?title=LDAP_settings/hu&oldid=260224"