Konfiguration

Allgemein

Im Reiter Allgemein werden die Grundeinstellungen für die Server Extension angegeben.

Host

• Der Domainname oder die IP-Adresse des Geräts, auf dem der LDAP-Server läuft.

Port

• Normalerweise 389 für unsichere Verbindungen und 636 für Verbindungen, die TLS verwenden.

Verwende TLS

• Es wird dringend empfohlen, TLS zu verwenden, insbesondere bei Verwendung des Authentifizierungsmechanismus „Simple“.

Allen Zertifikaten trauen

• Wenn deaktiviert, wird das Zertifikat des LDAP-Servers mit dem Zertifikatsspeicher des Geräts verglichen, auf dem der TwinCAT HMI Server läuft. Wenn aktiviert, wird das Serverzertifikat nicht überprüft. Es sollte nur zu Testzwecken verwendet werden. Auch bei der Verwendung von selbstsignierten Zertifikaten wird empfohlen, diese Einstellung zu deaktivieren und das selbstsignierte Zertifikat des Zertifikatspeichers hinzuzufügen.

Basis-DN

• Der Distinguished Name des LDAP-Eintrags, in dem nach Benutzern gesucht werden kann. Normalerweise besteht dieser nur aus Domainkomponenten, z. B. „DC=Beckhoff,DC=com“. Für weitere Informationen, siehe Distinguished Names.

Synchronisierungsintervall

• Die Benutzergruppen und der Sperrstatus aktiver Benutzer werden periodisch mit dem LDAP-Verzeichnis-Server synchronisiert. Die Gruppenzugehörigkeiten werden angepasst und Sitzungen von gesperrten Benutzern werden beendet. Ein Intervall von PT0S bedeutet, dass die Synchronisation nur während des Anmeldevorgangs erfolgt.

Timeout (Erweiterte Einstellungen)

• Netzwerk-Timeout für die Verbindung zum LDAP-Server

Folge Referals (Erweiterte Einstellungen)

• Gibt an, ob die vom LDAP-Server zurückgegebenen Verweise automatisch befolgt werden sollen. LDAP-Server können Verweise auf andere LDAP-Server zurückgeben, die möglicherweise weitere Suchergebnisse enthalten.

Attribut-Werte unter Berücksichtigung der Groß-/Kleinschreibung vergleichen (Erweiterte Einstellungen)

• Normalerweise wird bei LDAP-Attributen und DNs nicht zwischen Groß- und Kleinschreibung unterschieden. Es gibt jedoch einige wenige Fälle, in denen es sinnvoll sein kann, die Groß-/Kleinschreibung zu berücksichtigen.

LDAP-Authentifizierung

Je nach Konfiguration des LDAP-Servers sind die Benutzerprofile möglicherweise nicht öffentlich. In diesen Fällen ist es erforderlich, ein administratives Benutzerkonto zu konfigurieren, das für die Verzeichnissuche verwendet wird.

Authentifizierungsmechanismus für den Bind-Nutzer

• Wenn die Benutzerprofile vollständig öffentlich sind, benötigen Sie keinen Bindungsbenutzer und Sie können „Keine“ wählen. Wenn die Informationen öffentlich sind, aber eine anonyme Bindung erforderlich ist, um Suchanfragen auszuführen, können Sie „Anonym“ wählen. Wenn die Benutzerprofile nicht öffentlich sind, sollten Sie TLS aktivieren und den „Simple“-Authentifizierungsmechanismus verwenden, oder Sie können gleichermaßen den „Digest-MD5“-Mechanismus verwenden. Die Einstellung „Kerberos-Credentials-File“ wird ebenfalls unterstützt. Wenn Sie diese Einstellung wählen, wird das Benutzerkonto verwendet, das derzeit auf dem Gerät angemeldet ist, auf dem der TwinCAT HMI Server läuft.

DN des Bind-Nutzers

• Normalerweise der vollständige Distinguished Name (DN) des administrativen Benutzers. Wenn der LDAP-Server die direkte Bindung mit einem eindeutigen Namensattribut, wie dem „userPrincipalName“ erlaubt, können Sie dieses Attribut auch hier verwenden. Für weitere Informationen, siehe Distinguished Names.

Passwort des Bind-Nutzers

• Das Passwort des administrativen Benutzers.

HMI-Authentifizierung

Authentifizierungsmechanismus

• In der Regel möchte der Anwender TLS aktivieren und den „einfachen“ Authentifizierungsmechanismus verwenden. Der „Digest-MD5“-Mechanismus verhindert, dass das einfache Passwort über das Netzwerk gesendet wird, basiert aber auf kryptografischen Algorithmen, die nicht mehr als sicher gelten.

Nutzer-Filter

• Der Benutzerfilter wird in Suchanfragen verwendet, um das Benutzerprofil anhand der Eingaben im Anmeldeformular zu finden. „{input}“ ist ein Platzhalter, der durch die Eingaben des Benutzers im Anmeldeformular ersetzt wird. „{username_attribute}“ ist ein Platzhalter, der durch das konfigurierte Attribut ‚username‘ ersetzt wird, siehe Format-Spezifikation.
  Die empfohlenen Einstellungen sind wie folgt:
  Microsoft Active Directory:
  (&({username_attribute}={input})(objectCategory=person)(objectClass=user))
  OpenLDAP:
  (&({username_attribute}={input})(objectClass=person))' or '(&({username_attribute}={input})(objectClass=inetOrgPerson))

Nutzernamen-Attribut

• LDAP-Attribut, das im USER_FILTER verwendet wird. Microsoft Active Directory-Server verwenden in der Regel den „userPrincipalName“, während OpenLDAP-Server in der Regel das Attribut „uid“ verwenden. Nützliche Dokumentation der von Microsoft Active Directory unterstützten Benennungsattribute, siehe naming-properties.

Ignoriere die Domain während der Anmeldung

• Ignoriert alles nach dem Ersten @ im Benutzernamen, der vom Benutzer eingegeben wurde. Wenn Sie z. B. „userPrincipalName“ auf ActiveDirectory verwenden, müssen Sie diese Einstellung deaktivieren, da der userPrincipalName ein @ enthält.

Ergänze die Domain während der Anmeldung

• Wenn zum Beispiel „email“ oder „userPrincipalName“ für die Anmeldung verwendet wird, kann diese Einstellung verwendet werden, um das Domainsuffix automatisch hinzuzufügen, sodass es bei der Anmeldung nicht angegeben werden muss. Die Erweiterung prüft die Groß- und Kleinschreibung, um festzustellen, ob das Domainsuffix bereits vorhanden ist.

Nutze LDAP-Suchanfrage für ListUsers

• Je nach Größe des Verzeichnisses kann die Suche zu lange dauern oder zu viele Ergebnisse liefern. Wenn diese Einstellung deaktiviert ist, werden die Benutzernamen aus der TcHmiSrv-Konfiguration gesammelt. Es wird empfohlen, diese Einstellung aus Leistungsgründen zu deaktivieren.

Gruppen-Mappings

Gruppen-Mappings

• Damit der LDAP-Benutzer sich an dem HMI anmelden kann, muss die LDAP-Gruppe zu einer TwinCAT HMI-Gruppe zugeordnet werden. Standardmäßig werden die SystemUser-Rechte eingeräumt, welche in der Regel nicht gelöscht werden sollten.

Bestimmte Benutzer blockieren

• Standardmäßig können sich alle LDAP-Benutzer am HMI anmelden und werden auf der Grundlage der Gruppen den HMI-Benutzergruppen zugewiesen. Wenn Sie die Authentifizierung für bestimmte Benutzer gänzlich verhindern möchten, können Sie Benutzer auf der Grundlage von LDAP-Attributen mit Hilfe der Black- oder Whitelist sperren.

Sichtbare Attribute

• Die Namen der LDAP-Attribute, die Benutzer aus dem LDAP-Verzeichniseintrag abfragen können, der mit ihrem Konto verknüpft ist (z. B. Benutzerbild, Raum, Telefonnummer).

Cache für automatisch hinzugefügte Nutzergruppen (Erweiterte Einstellungen)

• Dieser Cache wird benötigt, um Nutzergruppen, die basierend auf Gruppen-Mappings konfiguriert werden, wieder korrekt entfernen zu können.