In diesem Artikel beschreibe ich die Konfiguration der LDAP Authentifizierung des WebUI Login im Alcatel-Lucent Enterprise OmniVista 2500 Network Management System (OVE).

OmniVista 2500 NMS (OVE)

Es müssen folgende Konfigurationen vorgenommen werden:

  • LDAP Server definieren
  • Benutzergruppe im OV2500 und AD anlegen
  • Authentifizierung auf LDAP umstellen.

Lizenzabhängigkeit

Es ist keine zusätzliche Lizenz für diese Funktion notwendig.

LDAP Server definieren

Unter Security > Authentication Servers > LDAP erstellen wir ein zusätzlichen Eintrag.

Wir vergeben einen eindeutigen Server Namen, und tragen die entsprechenden Host Namen / IP-Address des Servers ein, zusätzlich kann auch ein zweiter Server als Backup definiert werden.

Das Password entspricht dem User über den wir das LDAP dann abfragen wollen, hier reicht auch ein lesender Zugriff. Der Admin Name ist der lesende Benutzer und die Search Base ist entsprechend anzugeben.

Schön validieren lässt sich ein Zugriff auf das LDAP – AD mit zum Beispiel dem Softerra LDAP Browser.

Erstellen des LDAP-Servers im OmniVista 2500
Erstellen des LDAP-Servers im OmniVista 2500

Benutzergruppe im OV2500 und AD anlegen

Im OmniVista 2500 unter Security > Users & User Groups > Group legen wir eine neue Benutzergruppe an. Diese wird mit dem gleichen Namen auch im AD angelegt. Nur AD-Benutzer die Mitglieder eine gleichlautenden AD-Gruppe sind, werden später Zugriff zum OV2500 erhalten.

Erstellen der Gruppe im OmniVista 2500
Erstellen der Gruppe im OmniVista 2500
Erstellen der Gruppe im AD, Mitglieder der Gruppe hinzufügen.
Erstellen der Gruppe im AD, Mitglieder der Gruppe hinzufügen.

Authentifizierung auf LDAP umstellen

Im OmniVista2500 stellen wir unter Security > Users & User Groups > Authentication Server den Authentication Server von local auf unseren AD-Dasal Server. Der OmniVista2500 unterstützt als Authentication Method aktuell nur SIMPLE.

Wechsel des Authentication Server von local auf den angelegten LDAP-Server.
Wechsel des Authentication Server von local auf den angelegten LDAP-Server.

Wir drücken auf die Schaltfläche Test LDAP Server Connection und werden dann dann vom OmniVista 2500 aufgefordert die Authentifizierung zu testen und geben unseren Testuser an, dieser ist Mitglied der vorher angelegten Gruppe.

Nach erfolgreicher Authentifizierung wird nochmals eine Bestätigungsseite angezeigt.

Wir drücken auf Apply und die Authentifizierung der WebUI User ist auf die LDAP Anbindung umgestellt.

LDAP Kommunikation in Wireshark

Login OK

Falsches Kennwort

Der Login ist nicht möglich.

Keine Gruppenmitgliedschaft

Wenn der Benutzer im AD nicht der gleichlautenden Gruppe im OV2500 angehört, wird er sich lediglich mit Leserechten (Default Gruppe) im OmniVista einloggen können.

Update 07.01.2025

Diesen Zugriff ohne Gruppenmitgliedschaft kann man weiter einschränken wenn die „Default“ Group eine angepasste Rolle erhält.

Erstellen der Rolle

Wir fügen der Default Group diese Rolle hinzu.

Danach ist zumindest nur noch ein deutlich eingeschränkte Ansicht für den Benutzer aktiv.
Ggf. ist es auch zusätzlich sinnvoll den Zugriff per Firewall nur bestimmten Benutzergruppen zu ermöglichen.

Vielen Dank an BennyD aus der ALE Spacewalkers Community für diesen Hinweis.

Active Directory AD Authentifizierung LDAP WebUI

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Related Posts

ALE OmniVista 8770
OmniVista 8770 RADIUS Authentifizierung

Instagram

© 2022 Dominik Gawin