Wie werden Benutzer aus LDAP in KentixONE importiert?
Diese Anleitung zeigt Ihnen Schritt für Schritt, wie Sie KentixONE mit Ihrem LDAP/Active‑Directory verbinden, Benutzergruppen zuordnen und Benutzerattribute synchronisieren. Für Detailerklärungen zu allen Feldern finden Sie am Ende einen Link auf die vollständige Formularbeschreibung.
Voraussetzungen
- IP‑Adresse oder Hostname des LDAP‑Servers
- Sicherheitsmodus: unverschlüsselt (LDAP) oder verschlüsselt (LDAPS/SSL)
- Port des LDAP‑Dienstes (Standard: 389 bzw. 636 für LDAPS)
- Base‑DN (z. B.
DC=example,DC=local) - Bind‑DN eines LDAP‑Kontos mit Leserechten und zugehöriges Passwort
- Optional: LDAP‑Gruppen für die Zuweisung der KentixONE‑Rollen (Viewer/Manager/Administrator)
Schritt-für-Schritt-Anleitung
1. LDAP-Server einrichten
Öffnen Sie in KentixONE die Kommunikationseinstellungen und wählen Sie LDAP. Aktivieren Sie den Dienst und tragen Sie Server, Port, Verschlüsselung und Base‑DN ein.
Die Option „Soft Delete“ sperrt gelöschte LDAP‑Benutzer in KentixONE statt sie zu löschen. So bleiben Historien erhalten.
2. Authentifizierung hinterlegen
Geben Sie die Zugangsdaten des LDAP‑Kontos (Bind‑DN) mit Leserechten sowie das Passwort an.
3. Systemberechtigungen (Gruppen) zuordnen
Ordnen Sie Ihre LDAP‑Gruppen den KentixONE‑Rollen zu. Benutzer der jeweiligen LDAP‑Gruppe erhalten automatisch die entsprechende Berechtigung in KentixONE.
Es können bis zu drei Gruppen zugeordnet werden. Verschachtelte Gruppen werden nicht unterstützt.
4. Attribute abgleichen
Legen Sie fest, welche LDAP‑Attribute in welche KentixONE‑Felder übernommen werden (z. B. sAMAccountName → Benutzername, mail → E‑Mail, Telefonnummer usw.).
Nutzen Sie ein boolesches Attribut fürs Feld „User active“ oder mappen Sie z. B. userAccountControl, um Benutzer automatisch zu deaktivieren.
5. Synchronisation starten
Speichern Sie die Einstellungen und starten Sie die Synchronisation, um Benutzer zu importieren. Alternativ legen Sie ein Intervall für die automatische Synchronisation fest.
Wenn DoorLocks ohne Verbindung zum AccessManager arbeiten müssen (z. B. Notfallzugriff), achten Sie darauf, relevante Attribute wie PIN/RFID im Mapping zu berücksichtigen.
Tipps und Tricks
Eine vollständige Feldbeschreibung mit allen Optionen finden Sie im Formularartikel: LDAP-Konfiguration.
PIN und RFID
Daten für die Identifizierung von Benutzern im System. Werden diese bei der Anlage von Benutzern bereits in LDAP erfasst, können sie übernommen werden.
Die Gesamtlänge der PINs stellen Sie systemweit in „Sicherheit“ ein. Werden Rackhebel RA4 mit PINs für Zutritt und Schaltung der Alarmgruppen verwendet, beachten Sie: Dort stehen lediglich die Zahlen 1–4 zur Eingabe bereit. Erstellen Sie für Benutzer der Rackhebel deshalb nur PINs in diesem Zahlenbereich.
Notfallzutritt
Ermöglicht ausgewählten Benutzern den Zutritt, wenn der DoorLock keine Verbindung zum AccessManager aufbauen kann. Die Daten des Benutzers werden mit dieser Berechtigung lokal im DoorLock gespeichert. Verwenden Sie hierzu ein Attribut mit „0“ oder „1“ (Notfallzutritt aktiv).
- Der Notfallzutritt steht nicht sofort nach der Zuweisung an einen Benutzer zur Verfügung.
- Die Benutzerdaten für den Notfallzutritt werden bei Buchungen an DoorLocks übertragen. Um jeden Notfallbenutzer lokal im DoorLock zu speichern, ist deshalb die gleiche Anzahl von Zutrittsbuchungen nötig, wie Notfallbenutzer erstellt wurden.
Zutrittsprofile aus LDAP
Sind in KentixONE und in der LDAP-Struktur gleichnamige Profile vorhanden, können Zutrittsprofile mit den Benutzern übertragen werden. Diese Profile werden auf Benutzerebene von KentixONE verknüpft. Mehrere Zutrittsprofile können in LDAP als Aufzählung angelegt werden. Dabei gilt die Schreibweise: Profil1, Profil2, Profil3.
Gruppen werden in KentixONE für die Zutrittssteuerung importiert. Die Berechtigungen für den Zugriff auf das KentixONE-System können dort für die Gruppen konfiguriert werden.
Glossar
- LDAP: Netzwerkprotokoll zur Abfrage und Verwaltung von Verzeichnisdiensten (z.B. Active Directory).
- LDAPS: LDAP über SSL/TLS. Verschlüsselte Variante von LDAP, typischerweise Port 636.
- Base-DN: Einstiegspunkt (Distinguished Name) in der Verzeichnisstruktur, ab dem die Suche nach Objekten beginnt (z.B. DC=example,DC=local).
- DN: Distinguished Name; eindeutiger Pfad eines Objekts im LDAP-Verzeichnis.
- OU: Organizational Unit; logische Einheit/Ordner im Verzeichnisbaum, z.B. für Abteilungen.
- Bind-DN: Benutzerkennung, mit der sich KentixONE am LDAP-Server authentifiziert, um Abfragen durchzuführen.
- Attribut‑Mapping: Zuordnung von LDAP‑Attributen zu Feldern in KentixONE (z.B. mail → E‑Mail, sAMAccountName → Benutzername).
- User active: Boolesches Feld/Attribut, das steuert, ob ein Benutzer in KentixONE aktiv ist.
- userAccountControl: Active‑Directory‑Attribut, das Status‑Flags eines Kontos enthält (kann für Aktiv/Deaktiviert‑Logik genutzt werden).