Lucatbloggen har flyttat till: https://www.it.lu.se/system/lucat

Inga uppdateringar görs längre på denna sida.

Anslutning mot uw.lu.se

LDC har under införandet av nya Lucat förändrat möjligheterna för hur system kan ansluta mot domänen uw.lu.se och dess Active Directory katalog.

Tidigare har det varit praxis att peka ut en domänkontrollant direkt för att den vägen kunna hämta ut information om det inte varit möjligt att gå mot domänen på uw.lu.se namnet. För att reducera problem med singelberoenden på domänkontrollanter vid ovanstående scenario, vilket kunnat orsaka driftstörningar för externa system då underhåll behövt utföras i AD:t så har det skapats möjlighet att ansluta sig via en LDAP Gateway. Detta möjliggjordes i och med övergången till vår nya lastbalanserare.

Teknisk information för anslutning
Adresser: ldapgw.lu.se
-port 389 för protokollet start TLS
-port 636 för protokollet LDAPS

SearchBase
I AD:t har det skapats en struktur för var informationen placeras,  exempelvis konton tillhörande en anställd eller student. Det är viktigt att vara så exakt som möjligt när man använder sig av frågor mot denna struktur. Strukturen ser i grova drag ut som nedan.
Uw.lu.se
-Administration
—–Service Accounts
———-Lucat

-People
—–Employee
—–Student

Sökvägen till sa_kontot som används för att autentisera applikationen för utläsning av information från AD. Har ni inget sa_konto måste detta beställas via ServiceDesk på LDC.
Exempel : CN=sa_konto,OU=Lucat,OU=Service Accounts,OU=Administration,DC=uw,DC=lu,DC=se

Sökväg till mapp (OU) i strukturen. Beroende på var SearchBase pekar får man ut olika information och med olika svarstider.
Exempel 1: OU=People,DC=uw,DC=lu,DC=se
Exempel 2: OU=employee,OU=People,DC=uw,DC=lu,DC=se

Certificate
Eftersom trafiken som går genom ldapgw.lu.se skall vara krypterad så måste certifikat användas som en del i kommunikationen. Beroende på vilken port och vilket protokoll man väljer att ansluta sig via så är det olika certifikat som gäller.
LDAPS (636) Terena (Digicert) Certifikat
Start TLS (389) uw.lu.se PKI

Detta är uw.lu.se domänens egen PKI infrastruktur. Ligger inte klienten som ansluter via start TLS i domänen och har root certifikatet redan så måste detta hämtas och installeras på servern som ansluter över start TLS. Här hämtas certifikatet: http://uwca01.uw.lu.se/certsrv/

LDAP-frågor
Active Directory är i grunden en LDAP katalog fast med vissa förändringar gjorda av Microsoft. Detta betyder att de flesta LDAP frågor går att göra mot AD precis som mot en annan LDAP katalog om än med viss modifiering. Alla attribut heter inte likadant i olika LDAP kataloger.

Exempel:  Hitta alla LDC konto i OU employee
SearchBase ”OU=employee,OU=people,DC=uw,DC=lu,DC=se”
(objectcategory=person)(samaccountname=*LDC*)

Exempel: Konton vars namn startar på Jenny eller Lars bland studenter.
SearchBase ”OU=student,OU=people,DC=uw,DC=lu,DC=se”
(objectcategory=user)(|(givenname=Jenny*)(givenname=Lars*))

Exempel: Sökning bland alla konton som har status disabled.
SearchBase ”OU=people,DC=uw,DC=lu,DC=se”
(&(objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=2))

Begränsningar vid sökning
Microsoft har i LDAP policys infört en begränsning som regleras via värdet MaxPageSize. Detta värde är satt till 1000, vilket betyder att alla frågor som levererar svar på fler än 1000 poster kommer stanna på 1000 och inte ge fler svar. För att lösa ovanstående har Microsoft stöd för en funktion kallad Paging. Paging levererar resultat i omgångar med upp till 1000 svar i varje. Det är upp till applikationen att ha implementerat stöd för Paging i sin LDAP fråga.nFör att läsa ytterligare information i ämnet följ nedanstående länkar.
http://msdn.microsoft.com/en-us/library/ms808539.aspx
http://support2.microsoft.com/kb/315071