Active Directory Integration

Hier finden Sie eine Anleitung wie Sie Benutzer aus einem Active Directory in den openthinclient-Manager einbinden.

Der Manager stellt dann die Benutzer und Benutzergruppen aus der Active Directory zur Verfügung um ihnen Anwendungen, Geräte, Hardwaretypen usw. zuordnen. Sie können sich dann mit dem Benutzernamen und Passwort aus dem Active Directory direkt am openthinclient-OS anmelden.

Wenn man sich auf einem ThinClient mit seinem Active Directory Account anmelden möchte darf der Client kein Autologon benutzen!
Inhalt


Notwendigkeit einer Active Directory Integration

In den meisten Fällen ist eine Anbindung an das Active Directory nicht  notwendig.

Typische Anwendungsfälle von openthinclient sind in diesen Artikeln beschrieben:

Ein sinvoller Einsatz der Active Directory Integration wären:

  • Nutzer müssen oft zwischen mehreren VDI-Anwendungen wechseln. Mit Single-Sign-On und Active Directory Integration müssen Nutzer sich nur einmal, nach dem Start des ThinClient, anmelden.
  • Nutzer wechseln frei zwischen verschiedenen Arbeitsplätzen und haben nutzerspezifische Anwendungen zugeordnet. Auch hier ist der Einsatz von Single-Sign-On zu empfehlen.

LDAPS

openthinclient unterstützt zur Zeit kein LDAPS und kann nur unverschlüsseltes LDAP (i.a. über Port 389).

Um openthinclient mit Active Directory zu nutzen, muss eventuell diese Gruppenrichtlinie angepasst werden:

 + Computerkonfiguration
+ Windows-Einstellungen
+ Sicherheitseinstellungen
+ Lokale Richtlinien
+ Sicherheitsoptionen
Domänencontroller: Signaturanforderungen für LDAP-Server

Konfiguration in Grundeinstellungen und Standorten

Verbindung zum Active Directory können sowohl in den Grundeinstellungen als auch in den Standorten erfolgen.

Wenn in den Grundeinstellungen eine Verbindung zum Active Directory eingestellt wurde, werden dessen Benutzer und Benutzergruppen im openthinclient-Manager angezeigt.

Konfiguration am Standort überschreibt entsprechende Konfiguration in den Grundeinstellungen. Benutzer und Gruppen aus einem Active Directory, dass nur über einen Standort verbunden wurde, werden nicht  im openthinclient-Manager angezeigt.

Falls Sie Probleme haben sich an den ThinClients anzumelden, können Sie versuchen die Active Directory Konfiguration aus den Grundeinstellungen in den Standorten zu wiederholen.


Verbindung zum Active Directory einrichten

1. Öffnen sie die Grundeinstellungen in der unterem linken Ecke (oder öffnen Sie alternativ einen Standort - siehe oben).

2. Tragen Sie unter "Sekundärer Verzeichnisserver" Ihre LDAP-Daten ein. (Details finden sich im Absatz "Ermitteln der LDAP-Informationen" unten.)

Führen Sie keine Änderungen unter "Primärer Verzeichnisserver" durch. Änderungen hier können dafür sorgen, dass openthinclient nicht mehr korrekt arbeitet.

3. Ändern Sie die "Benutzer- und Gruppenverwaltung"

Wählen Sie "sekundäres LDAP-Verzeichnis"

4. Überprüfen Sie Ihre Änderungen und bestätigen Sie mit "Speichern".

Nach der Übernahme Ihrer Änderungen sind im openthinclient-Manager unter "Benutzer" die Benutzer aus dem Active Directory zu sehen.



Ermitteln der LDAP-Informationen


Die benötigte LDAP-URL besteht aus drei Teilen:
  1. Protokoll-Prefix ldap://
  2. Serveradresse, z.B. office.openthinclient.local
  3. BaseDN, z.B. ou=office,dc=openthinclient,dc=local
    Die BaseDN muß den Benutzerbaum OU=Users beinhalten.
Beispiel
ldap://office.openthinclient.local/ou=office,dc=openthinclient,dc=local


Um die BaseDN (und den LDAP-Pfad eines Benutzers) zu ermitteln kann das Microsoft-Tool dsquery auf dem Domänen-Controller genutzt werden. Z.B:

C:\> dsquery user -name Schmidt*
"CN=Schmidt,OU=Users,OU=office,DC=openthinclient,DC=local"

Die Benutzerkennung (der read only prinicipal) kann entweder in der obigen Form oder als Benutzeranmeldename (z.B. ldapquery@openthinclient.local) übergeben werden.