Caching Principal Resolution Service

Installation und Konfiguration

Copyright ©

Mindbreeze GmbH, A-4020 Linz, .

Alle Rechte vorbehalten. Alle verwendeten Hard- und Softwarenamen sind Handelsnamen und/oder Marken der jeweiligen Hersteller.

Diese Unterlagen sind streng vertraulich. Durch die Übermittlung und Präsentation dieser Unterlagen alleine werden keine Rechte an unserer Software, an unseren Dienstleistungen und Dienstleistungsresultaten oder sonstigen geschützten Rechten begründet. Die Weitergabe, Veröffentlichung oder Vervielfältigung ist nicht gestattet.

Aus Gründen der einfacheren Lesbarkeit wird auf die geschlechtsspezifische Differenzierung, z.B. Benutzer/-innen, verzichtet. Entsprechende Begriffe gelten im Sinne der Gleichbehandlung grundsätzlich für beide Geschlechter.

Caching Principal Resolution Service (ActiveDirectory LDAP)Permanenter Link zu dieser Überschrift

  1. Fügen Sie ein „CachingLdapPrincipalResolution“ Service unter “Services” im “Indices” Karteireiter hinzu.

  1. LDAP Server Hostname soll nur dann konfiguriert werden, um die Konfiguration von „Preferred LDAP Server“ unter „LDAP Settings“ (im „Network“-Tab) zu überschrieben. Die benötigte Anmeldeinformation „LDAP Credential kann entweder direkt hier oder im „Network“-Tab unter „Endpoints“ ausgewählt werden.

  1. Die Location kann als dns://<domain> (z.B dns://mycompany.com) konfiguriert werden, um diese Anmeldeinformation für mehrere LDAP Server in einer DNS Domäne gleichzeitig zu verwenden. Es ist ebenfalls möglich, ein Credential direkt einem LDAP-Server zuzuweisen: ldap://<ldapserver hostname> (z.B. ldap://ldapserver.mycompany.com).

  1. Falls keine Anmeldeinformationen konfiguriert sind wird Kerberos verwendet. Dafür muss unter Linux zuerst eine gültige Keytab hochgeladen und für diesen Service unter „Setup Kerberos Authentication“ ausgewählt werden.

  1. Im Kerberos Authentisierungsfall wird das UPN (User Principal Name) Attribut des Benutzers aus dem LDAP-Verzeichnis als Schlüssel für die Suche im Cache verwendet. Falls eine andere Authentisierung verwendet wird, welche z.B. die E-Mail-Adresse des Benutzers sendet, sollten die entsprechenden LDAP Attribute in diesem Fall mail als Alias Name LDAP Attribute konfiguriert werden. Zusätzlich sollte im „Identity Alias Name Property Feld jener Eigenschaftsname eingetragen werden, der von der Authentisierung geliefert wird. Die Attribute „msDS-principalName“ und „userPrincipalName“ werden automatisch für alle Benutzer gespeichert, weil sie bei der Kerberos-Authentisierung vom ClientService verwendet werden. Deswegen sollen diese nicht als Benutzer-Aliasname konfiguriert werden. Falls nur eine Domäne konfiguriert ist, wird das Attribut: “samaccountname” ebenfalls automatisch hinzugefügt.

  1. Falls die ACLs während der Indizierung nicht normalisiert, d.h. nicht in das DN Format umgewandelt werden und sie z.B. dem „msDS-principalName Attribut einer Gruppe im ActiveDirectory entsprechen, dann sollte das „Group Alias Name LDAP Attribute“ ebenfalls konfiguriert werden.

  1. Falls die Benutzer unterschiedliche Aliasnamen in mehreren Domänen haben, können die Aliasnamen aus bestimmten Domänen mit „Deprioritize Alias Names From Domain“ depriorisiert werden. Dadurch werden die Principals in diesen Domänen nicht zu der Liste der Benutzer Principals hinzugefügt.
  2. Mit „Suppress ‚Everyone‘ Principal For Domain“ und „Suppress ‚Authenticated Users‘ Principal For Domain“ werden Benutzer nicht mehr als Mitglieder dieser Gruppen behandelt.

  1. Geben Sie den Verzeichnispfad für den Cache im „Database Directory Path“ Feld an und ändern Sie, wenn notwendig, die “Cache In Memory Items Size”, abhängig vom verfügbaren Speicherplatz der JVM. Im „Cache Update Interval“ Feld geben sie die Zeit (Minuten) an, die gewartet wird bevor der Cache aktualisiert wird. Beim ersten Starten des Service wird diese Zeit ignoriert. Beim nächsten Starten des Services wird diese Zeit berücksichtigt. Die Einstellungen „Health Check Interval“, „Health Check max. Retries On Failure“ und „Heath Check Request Timeout“ ermöglichen es, dass dieser Service neugestartet wird falls es z.B. dauerhafte Verbindungsprobleme gibt.
  2. Das Service wird am angegebenen “Webservice Port” aufgerufen.

  1. „Preserve Case for Principals Matching Pattern“ ermöglicht es, bestimmte (durch Regex Pattern definierte) Principals im originalen Format (nicht kleingeschrieben) beibehalten zu können. „Exclude Principals Pattern“ ermöglicht es, bestimmte Principals für alle Benutzer aus deren Principals Liste zu entfernen. „Suppress Anonymous Users Principals“ ermöglicht es z.B. den ‚Everyone‘ Principal für anonyme Benutzer zu unterdrücken, d.h. anonyme Benutzer können auch öffentliche Dokumente nicht finden. „Resolve non anonymous principal to all registered users“ bestimmt, ob „normale“ (nicht anonyme) Benutzer zur Gruppe gehören, die alle Benutzer enthält. “Include Principals Rule“ ermöglicht es, neue Principals für alle Benutzer (wenn diese Benutzer einer konfigurierten Regex Pattern entsprechen) hinzuzufügen. Falls die Gruppen eines Benutzers nicht im Cache gespeichert sind, wird durch auswählen von „Suppress LDAP Queries“ verhindert, dass LDAP Abfragen gemacht werden, um diese Gruppen zu finden.

  1. Zum Schluss wählen Sie in der Crawler Konfiguration unter Caching Principal Resolution Service diesen Service aus. Siehe Kapitel 5.

Caching Principal Resolution Service (Novell LDAP)Permanenter Link zu dieser Überschrift

  1. Fügen Sie ein „CachingNovellLdapPrincipalResolution“ Service unter “Services” im “Indices” Karteireiter hinzu.

  1. LDAP Server Hostname sollte nur dann konfiguriert werden um die Konfiguration „Preferred LDAP Server“ im „LDAP Settings“ im „Network“ Karteireiter zu überschrieben. Die benötigten Anmeldeinformationen „LDAP Credential kann entweder hier direkt ausgewählt oder in der „Network“ Karteireiter unter „Endpoints“ ausgewählt werden.

  1. Die Location für einen LDAP Server hat das Format: ldap://<ldapserver hostname> (z.B. ldap://ldapserver.mycompany.com).

  1. Der “Username” muss im DN Format angegeben und das „Domain“ Feld leer gelassen werden.

  1. Für weitere Konfigurationsparameter siehe: Caching Principal Resolution (ActiveDirectory LDAP).

Konfiguration der Datenquellen für das Caching Principal Resolution Service.Permanenter Link zu dieser Überschrift

Wählen Sie einen der konfigurierten Caching Principal Resolution Services in Data Source” aus. Z.B. kann Caching LDAP Principal Resolution für eine Dateisystemdatenquelle (im Screenshot FS Data Source”) ausgewählt werden.

Principal Resolution Service REST APIPermanenter Link zu dieser Überschrift

URL

Description

http://localhost:23900/control?action=updatecache

Aktualisiert alle Container.

http://localhost:23900/control?action=updatecache&container=<containerid>&isunifiedid=false

Aktualisiert nur <containerid>.

http://localhost:23900/control?action=updatecache&partition=<partition>

Aktualisiert nur eine Partition.

http://localhost:23900/control?action=updatecache&scope=full

Vollständige Aktualisierung wird durchgeführt

http://localhost:23900/control?action=cancelupdate

Bricht eine laufende Aktualisierung ab.

http://localhost:23900/control?action=checkconsistency&individualid=<userid>&isunifiedid=false

Überprüft ob gecachte Prinzipals mit <userid> mit den von der Quelle bereitgestellten Prinzipals übereinstimmen. Wenn „all“ anstelle von <userid> verwendet wird, wird die Überrpüfung für alle Benutzer durchgeführt.

http://localhost:23900/control?action=checkprincipals&individualid=<userid>&timeoutms=<milliseconds>

Gibt Prinzipals mit <userid> vom Cache zurück. <userid> sollte keine unified Id sein.

http://localhost:23900/control?action=checkprincipals&individualid=“somestring“&aliasnameattribute=<attribute>&aliasname=<aliasname>&timeoutms=<milliseconds>  

Gibt Prinzipals mit Aliasname zurück. <aliasnameattribute> sollte das konfigurierte ‚Service Request Identity Alias Name Property‘ sein.

http://localhost:23900/control?action=checkprincipals&individualid=“somestring“&isanonymous=true&timeoutms=<milliseconds>

Gibt Prinzipals anonymen Benutzern zurück

http://localhost:23900/control?action=export&path=c:\export

Exportiert alle Datenbanktabellen im CSV-Format.

http://localhost:23900/control?action=setcachemode&readonly=true

Setzt den Cache auf Lesemodus. Laufende Aktualisierungen werden abgebrochen. Keine weiteren Aktualisierungen werden gestartet.

http://localhost:23900/control?action=setcachemode&readonly=false

Setzt den Cache auf Lese- / Schreib-Modus. Aktualisierungen werden wie geplant gestartet. Die nächste Aktualisierung wird vom vorherigen Zustand aus fortgesetzt.

http://localhost:23900/control?action=reopencache&path=c:\newcache

Öffnet den Cache wieder in einem leeren Verzeichnis. Der Cache sollte nach dem Wiederöffnen aktualisiert werden.

http://localhost:23900/info?key=cachedir

Gibt das momentan verwendete Cache-Verzeichnis zurück.

http://localhost:23900/info?key=cachemode

Gibt den momentan verwendeten Modus zurück (read-only / read/write).

http://localhost:23900/control?action=updateprincipalmembership&container=<container>&individuals=<individuals>

<individuals> Liste von Individuen getrennt mit „;“ Zeichen z.B. user1;user2.

http://localhost:23900/control?action=printstacktraces

Gibt der aktuelle Zustand von allen Threads aus.

http://localhost:23900/control?action=reset&aliasnames=true&partition=<partition>

Setzt die Aliasnamen von einer Partition zurück.