Zde administrátor nastavuje propojení na Active Directory pro ověřování uživatelů aplikace. Využívá k tomu následující formulář:
...
Jednotlivé položky nastavení mají následující význam:
Zapnout propojení s Active Directory
Tímto přepínačem napojení aplikace na Active Directory aktivujeme. Následně je třeba vyplnit zbytek konfiguračního formuláře, připojení otestovat a nastavení uložit.
Název
Toto pole slouží k pojmenování tohoto připojení. Nemá zatím žádný vliv na funkci, ale pokud bude v budoucnu implementována možnost napojení na více AD zároveň bude sloužit k jejich odlišení.
Adresa
IP nebo DNS adresa serveru, na kterém běží AD služba. Je třeba, aby bylo povolené spojení ze serveru aplikace SOFiE na tento AD server.
SSL
Přepínač určuje, zda je připojení k AD šifrované pomocí SSL nebo nikoliv.
Uživatel
Uživatelské jméno pro přihlášení do AD serveru, které má oprávnění na čtení informací z AD stromu (zjišťování existence uživatelů, skupin, apod.).
Heslo
Heslo výše uvedeného uživatele pro přihlášení do AD.
Strom uživatelů
Cesta k uzlu v Active Directory stromu, pod kterým se nachází všichni uživatelé, kteří mají mít do aplikace přístup. Množinu těchto uživatelů lze dále omezit pomocí skupiny, viz následující položka nastavení.
Povolená skupina
Pokud chceme povolené uživatele z výše uvedené části stromu dále omezit, můžeme vyžadovat jejich členství ve vybrané AD skupině, uvedené zde. V takovém případě bude povoleno pouze přihlášení uživatelů, kteří jsou členy této skupiny, ostatních ne. Členství ve skupině se zjišťuje řetězově, takže ve skupině může být jiná skupina a v té skupině další… až na konci musí být uživatel.
Atribut uživatelského jména
Vybírá mezi režimem ověřování uživatelských jmen ve tvaru “User Principal Name (UPN)”, nebo “sAMAccountName“. Active Directory musí tento zvolený režim podporovat a uživatelé potom k přihlášení musí používat uživatelské jméno v příslušném tvaru. Podrobnosti k těmto formám uživatelských jmen by měl znát správce Active Directory.
Výchozí doména
Aby uživatelé nemuseli zadávat celé plně kvalifikované uživatelské jméno včetně domény, je zde vyplněná výchozí doména k uživatelskému jménu při přihlašování doplněna automaticky.
Ukládat otisky hesel
Pokud je funkce zapnuta, je po každém úspěšném přihlášení uživatele proti jeho účtu v Active Directory uložen otisk jeho hesla lokálně v databázi uživatelů aplikace SOFiE. To umožní nouzové přihlášení těchto uživatelů i v situaci, kdy nefunguje (spojení na) AD server a uživatele tak v AD nelze ověřovat. Otisk hesla je samozřejmě uložen ve formě k tomu určeného kryptografického hashe a heslo z něj nelze nikdy zpětně získat, pouze lze ověřit, že se shoduje.
Tlačítko otestovat na konci formuláře s nastavením provede test, zda je přihlášení do AD uvedeným uživatelem funkční. Pokud tedy tento test nefunguje, nebude pravděpodobně fungovat ani ověřování uživatelů v ADHere an administrator can setup an interconnection with the Active Directory for authentication of application users. The following form is used for configuration:
...
Meaning of each item in the form is as follows:
Enable connection to Active Directory
This switch activates the integration with the Active Directory. Then the rest of the form needs to be filled, the configuration tested and saved.
Title
This field is used to name the connection. It has no effect on the function, but should multiple AD connections be supported in the future, this will enable the administrator to differentiate between them.
Address
IP or DNS address of the server running the AD service. It is necessary to allow connections from the SOFiE server to this AD server.
SSL
This switch specifies whether to use SSL encryption for connections to the AD or not.
User
Username of the service account used to authenticate on the AD server and perform reads in the AD tree (check for users and groups existence, etc.).
Password
The password of the above mentioned account used for AD access.
User tree
The path to the node in the Active Directory tree, under which all the users, who should have access to the application are located. This set of users can be further filtered by specifying a group, see below.
Allowed group
If we need to further narrow the users from the above specified AD sub-tree, a membership in a specific AD group can be requested. In that case only users, who are members of this group will be able to login, others will not. The group membership may be nested, so a group may contain a group which may contain another group… until at the end there must be the user as a member.
Username attribute
Selects between authenticating usernames in form of “User Principal Name (UPN)” or “sAMAccountName“. The Active Directory must support the selected form of usernames and the users logging in must then use the appropriate format of usernames. The Active Directory administrator should know the details about these forms of usernames.
Default domain
If the default domain name is specified here, the users do not need to enter their fully qualified usernames including the domain when logging in and this default domain is added to their usernames automatically.
Store password hashes
If this is enabled, then after each successful login of a user authenticated in the Active Directory, the hash of his password is saved in the local database of SOFiE application users. This allow login for such users in case of emergency, when (connection to) AD server does not work and users cannot authenticate against it. The password hash is of course saved securely in form of a cryptographic hash designed for this purpose and cannot be used to retrieve the original password in any way, only for verification if it matches.
The Test button at the end of the settings form performs a test, if logon to AD using the entered credentials works. If the test fails, authentication of users during login will most likely also fail.