Bei dieser Anmeldeart wird ein LDAP-Server zur Authentifizierung verwendet. Die Liste der URLs stellt eine Verbindung zur gleichen replizierten LDAP-Umgebung auf verschiedenen Servern dar. Die Liste wird von oben nach unten geprüft, wenn ein Server nicht erreichbar ist, z. B. aufgrund von Updates.

LDAP-Server werden automatisch im DNS der aktuellen Domäne mit den Schlüsseln _ldap._tcp.<domain> und _ldaps._tcp.<domain> gesucht, wenn die Liste leer gelassen wird.

Beispielhafte Anmelde-URLs sehen so aus: ldap://MyLdapServer:389/ oder ldaps://MyLdapServer:636/ (mit SSL).

Der Authentifizierungsanbieter unterstützt sowohl das Active Directory LDAP- als auch das OpenLDAP v3-Backend. Ein AD-Backend authentifiziert Benutzer automatisch, während OpenLDAP die folgenden Filter verwendet:

# OpenLDAP Suchfilter für Benutzer
(&(objectClass=person)(uid=<username>))

Benutzergruppen werden anhand der Attribute memberOf und primaryGroupId eines Benutzers ermittelt, d.h. die Gruppen eines Benutzers werden erst nach erfolgreicher Authentifizierung ermittelt. Die Suchanfrage für Benutzer, die zum Laden der verfügbaren Rollen verwendet wird, enthält auch einen Filter für AD:

# AD / OpenLDAP Suchfilter um Benutzergruppen zu bestimmen
(|(&(objectCategory=person)(sAMAccountName=<username>))(&(objectClass=person)(uid=<username>)))

Mit dieser Option können Sie das Verhalten bei der Überprüfung von LDAP-URLs anpassen. Wie bereits erwähnt, werden standardmäßig alle URLs nacheinander überprüft. Dies ist die Standardoption, wenn nur eine einzige Domäne bedient werden soll und zusätzliche URLs von Fallback-Servern verwendet werden.

• Redundante Konten für Failover: Die Server werden nacheinander überprüft. Wenn die Anmeldedaten für die erste LDAP-URL ungültig sind, schlägt die Anmeldung fehl. Nur wenn der Server nicht antwortet, wird der nächste Server überprüft.

• Separate Konten für mehrere Domänen: Die Server werden parallel überprüft. Wenn die Anmeldedaten auf einem dieser Server übereinstimmen, ist die Anmeldung erfolgreich. Dieser Modus belastet die LDAP-Server stärker und kann dazu führen, dass mehr Anmeldefehler in den Protokolldateien der LDAP- und i-net PDFC-Server erscheinen. Dieser Modus kann auch für Failover-Adressen verwendet werden, aber es ist wichtig zu beachten, dass diese ebenfalls parallel überprüft werden.

• Standardwert: Redundante Konten für Failover

Wenn diese Option aktiviert ist, findet bei der Verbindung zu LDAP-URLs keine SSL-Überprüfung statt. Diese Option kann verwendet werden, wenn das auf einer LDAP-URL verwendete Zertifikat von der Anwendungsseite aus nicht vertrauenswürdig ist und z. B. eine private Zertifizierungsstelle verwendet wird.

• Standardwert: false

Die Standard-Domäne wird in Windows-Umgebungen verwendet, um diesen dem Benutzernamen bei der Authentifizierung in der Form <WINDOWS DOMAIN NAME>\<Benutzername> voranzustellen. Es ermöglicht die Anmeldung von Benutzern gegenüber einer Windows-Domäne, ohne dem Benutzernamen diese Domäne voranstellen zu müssen.

Hinweis: Die Domäne ist i. d. R. als Windows-2000-Variante anzugeben. Den konkreten Wert kann man dem Active Directory in den Einstellungen eines Benutzers entnehmen.

• Standardwert: leer

Der Binding Benutzer und das Passwort können erforderlich sein, um nach Benutzereinträgen im AD / OpenLDAP zu suchen, die keine anonyme Bindung erlauben. Der Binding Benutzer muss in DN-Notation angegeben werden, z. B. cn=service,dc=mydomain,dc=local.

• Standardwert: leer (anonyme Authentifizierung)

Der Basis DN ist eine erweiterte Option und erlaubt es, einen Distinguished Name zu setzen, der als Suchbasis für Benutzer und Gruppen verwendet werden soll.

• Standardwert: leer (wird automatisch ermittelt)

Der Benutzer RDN ist eine erweiterte Option und erlaubt es, einen Distinguished Name relativ zum Basis-DN zu setzen, der als Suchbasis für Benutzer verwendet werden soll.

• Standardwert: leer (Basis DN wird verwendet)

Die Gruppen RDN ist eine erweiterte Option und erlaubt es, einen Distinguished Name relativ zum Base DN zu setzen, der als Suchbasis für Gruppen verwendet werden soll.

• Standardwert: leer (Basis DN wird verwendet)