Edjet LMS Server 6.4

Připojení Active Directory (AD)

Superadmin info

Konektor Active Directory synchronizuje uživatelské účty mezi podnikovou adresářovou službou a systémem Edjet LMS pomocí protokolu LDAP.

Podporované edice AD:

  • vlastní lokální adresář Active Directory (dostupný přes síť nebo internet, aby se k němu mohl LMS připojit)

Služba AZURE AD v cloudu není podporována, protože protokol LDAP v cloudu nefunguje.

Metoda synchronizace

Po spuštění synchronizace AD se data shromáždí a synchronizují ze serveru Active Directory do databáze Edjet LMS. Komunikace se serverem AD probíhá vždy v režimu pouze pro čtení.

Veškeré změny provedené na uživatelských účtech na straně systému LMS se nepromítnou na server AD a při příští synchronizaci budou přepsány.

Přihlášení uživatele

Když se uživatel pokusí přihlásit do systému Edjet LMS, aplikace se pokusí ověřit uživatele proti nakonfigurovanému serveru AD. Když je aktivní ověřování AD, není pro koncového uživatele nic viditelné.

Pro přihlášení uživatele se používá vlastnost "userPrincipalName" (preferovaná) nebo "SAMAccountName".

Pokud server AD není přístupný nebo je odpověď neplatná, proces přihlášení se nezdaří.

Operace s uživatelskými účty

Vytvořit uživatele

Nový uživatel se vytvoří automaticky, pokud ještě není v databázi Edjet LMS.

Akce se spustí, když:

  • uživatel se úspěšně přihlásí pomocí libovolné přihlašovací stránky Edjet LMS
  • a když je spuštěna automatická synchronizace (prostřednictvím plánovače CRON/úkolů nebo ručně z příkazového řádku)

Aktualizace uživatele

Uživatel je automaticky aktualizován, pokud je v databázi AD i Edjet LMS.

Shoda se hledá podle vlastnosti "login" (uživatelské jméno), která je jedinečná.

Akce se spustí, když:

  • uživatel se úspěšně přihlásí pomocí libovolné přihlašovací stránky Edjet LMS
  • a když je spuštěna automatická synchronizace (prostřednictvím plánovače CRON/úkolů nebo ručně z příkazového řádku)

Odstranit uživatele

Uživatel je automaticky odstraněn z databáze Edjet LMS, pokud již není k dispozici (v závislosti na nastavení synchronizace), s výjimkou účtu "Superadmin", který nelze odstranit.

Akce se spustí, když:

  • je spuštěna automatická synchronizace (prostřednictvím plánovače CRON/úkolů nebo ručně z příkazového řádku)

Aby se v databázi Edjet LMS čistá nehromadily staré účty, musí být server AD správně nastaven tak, aby se všechny změny nastavení serveru AD propagovaly do databáze Edjet LMS.

Podporované typy uživatelů a rolí

Edjet LMS podporuje synchronizaci obou typů uživatelů (admin, user).

Podporovány jsou také všechny role (Student, Admin, Trainer) s výjimkou role Superadmin, kterou nelze synchronizovat z bezpečnostních důvodů.

Nastavení konektoru AD

Veškerá nastavení a možnosti konektoru AD lze spravovat na panelu správce.

Nastavení ověřování a synchronizace služby AD:

  1. Přihlaste se do administrace Edjet LMS.
  2. V menu klikněte na settings Nastavení a poté nasettings_applications Systém
  3. Klikněte na kartu Active Directory.
  4. Změňte možnost ldap_auth na Ano.
  5. Zadejte nastavení a údaje služby AD.
    Viz nastavení a možnosti níže.
  6. Na panelu nástrojů klikněte na save Uložit.

Nastavení a možnosti

Nastavení Možnosti a popis
ldap_auth

Povolení nebo zakázání služby AD pro ověřování a synchronizaci.

  • 0 = Ne (zakázáno) - výchozí nastavení
  • 1 = Ano (povoleno ověřování i synchronizace) - odkazy "Zaregistrovat se" a "Ztracené heslo" jsou skryty v uživatelském rozhraní přihlašovací stránky.
  • 2 = Auth (povoleno pouze auth) - není implementováno
  • 3 = Synchronizace (povolena pouze synchronizace) - není implementováno

Datový typ: celé číslo

ldap_base_dn

Základní DN (rozlišující název) služby Active Directory. Je-li jich více, oddělte je dvojtečkou.

Příklad: dc=example,dc=com

Typ dat: řetězec

ldap_domains

Řadiče domény. Je-li jich více, oddělte je středníkem.

Příklad: corp.example.com;dc.example.com

Typ dat: řetězec

ldap_port

Port, na kterém server AD naslouchá.

Výchozí nastavení: 389

Datový typ: celé číslo

ldap_use_ssl

Zabezpečte připojení mezi projektem a serverem AD pomocí protokolu SSL. Pokud tuto možnost povolíte, měli byste nastavit také číslo portu.

Výchozí hodnota: false

Typ dat: boolean

ldap_use_tls

Zabezpečte připojení mezi projektem a serverem AD pomocí protokolu TLS. Pokud tuto možnost povolíte, měli byste nastavit také číslo portu.

Výchozí hodnota: false

Typ dat: boolean

ldap_username

Uživatelské jméno účtu AD s oprávněním alespoň ke čtení uživatelů a skupin v AD.

Příklad: Administrator

Výchozí hodnota: prázdný

Typ dat: řetězec

ldap_password

Heslo účtu AD (zadané v poli "ldap_username"). Nenechávejte je prázdné.

Výchozí hodnota: prázdný

Typ dat: řetězec

ldap_acc_prefix

Předpona účtu bude předřazena všem uživatelským jménům v procesu ověřování AD.

Příklad: NETBIOSDomain\

Výchozí hodnota: prázdný

Typ dat: řetězec

ldap_acc_suffix

Přípona účtu bude připojena ke všem uživatelským jménům v procesu ověřování AD.

Příklad: @corp.example.com

Výchozí hodnota: prázdný

Typ dat: řetězec

ldap_sync_roles

Seznam skupin AD, které odpovídají uživatelským rolím v Edjet LMS.

Při prvním vytvoření uživatele bude jeho role odpovídat tomu, co je zde uvedeno. Uživatel bude vytvořen na základě první shody zleva doprava, takže nejprve vložte silnější skupiny (např. role správce).

Pokud není role Edjet LMS nalezena, použije se ID role=3 (student).

ID role=1 (superadmin) nelze z bezpečnostních důvodů nastavit.

U rolí služby Active Directory se rozlišují velká a malá písmena.

Oddělte více rolí středníkem.

Formát: <AdGroup>=<EdjetLMSRoleId>

Příklad: Administrátoři=21;Školitelé=4

Výchozí nastavení: Administrátoři=21;Školitelé=4;Studenti=3

Typ dat: řetězec

ldap_sync_groups

Uživatelé jsou autorizováni a synchronizováni pouze v případě, že jsou členy určitých skupin AD.

Pokud si přejete získat všechny uživatele z AD (bez ohledu na to, v jaké skupině se nacházejí), ponechte tuto možnost prázdnou.

Oddělte více skupin středníkem.

U skupin služby Active Directory se rozlišují velká a malá písmena.

Příklad: Prodej;Kancelář;Administrátoři

Výchozí nastavení: Administrátoři;Školitelé;Studenti

Typ dat: řetězec

ldap_cmn_fields

Užitečné pro pole, která se v systému AD nevyskytují. Pokud jsou však tato pole ve službě AD, budou touto hodnotou přepsána.

Formát: <EdjetLMSField>=<hodnota>

Oddělte více polí středníkem.

Příklad: lang=cs-CZ

Výchozí hodnota: prázdný

Typ dat: řetězec

ldap_sync_fields

Seznam polí systému Edjet LMS (sloupců databáze) uživatelského účtu, která mají být při synchronizaci přepsána daty z AD.

Nastavení také mapuje odpovídající pole LMS na pole AD.

Formát: <EdjetLMSField>=<AdField>

Oddělte více polí středníkem.

Přihlášení musí být v systému Edjet LMS jedinečné, proto zvolte odpovídající jedinečné políčko AD.

Příklad: login=userprincipalname;email=mail;surname=sn;name=givenname

Výchozí: login=userprincipalname;email=mail;prefix=personaltitle;surname=sn;name=givenname;company=company;job_title=title;street=streetaddress;city=city;zip=postalcode;region=state;state=country;tel1=mobile;tel2=telephonenumber;tel3=facsimiletelephonenumber;content=description

Typ dat: řetězec

Periodická synchronizace

Synchronizaci všech uživatelských účtů doporučujeme spustit pomocí CLI s využitím plánovače úloh.

Příklad:

php /var/www/html/components/ldap_sync.php cli

Tuto úlohu můžete přidat do denní periody pomocí karty CRON (Linux) nebo Plánovače úloh (Windows Server).

Chcete-li skript ladit, předejte také parametr "errout" a zobrazte chybový výstup:

php /var/www/html/components/ldap_sync.php cli errout

Režim HTTP

Místo CLI můžete použít také režim HTTP.

Generuje požadavek HTTP na název domény zadaný jako parametr, např. "localhost" nebo "corp.example.com".

php /var/www/html/components/ldap_sync.php corp.example.com

Chcete-li skript ladit, předejte také parametr "errout" a zobrazte chybový výstup:

php /var/www/html/components/ldap_sync.php corp.example.com errout

Řešení problémů s připojením AD

Problém: Uživatelé jsou synchronizováni z adresáře AD do systému LMS, ale nemohou se přihlásit

Zkontrolujte doménu v "ldap_username" a zkuste ji přesunout do "ldap_acc_suffix". Ujistěte se také, že "ldap_acc_suffix" začíná znakem "@".

Připojení externích služeb