LDAP Authentication einrichten

LDAP Authentication integriert RAMP mit Unternehmensverzeichnissen wie Active Directory oder OpenLDAP. Benutzer authentifizieren sich mit ihren Verzeichnis-Anmeldedaten, und RAMP kann das Verzeichnis nach Benutzern und Gruppen durchsuchen.

Funktionen

• Authentifizierung gegen LDAP/Active Directory
• Automatische Benutzerbereitstellung bei der ersten Anmeldung
• Verzeichnissuche nach Benutzern und Gruppen
• Unterstützung für SSL/TLS (LDAPS)
• Funktioniert unter Windows, Linux und Docker

Anwendungsfälle

• Integration von Unternehmensverzeichnissen
• Zentrale Benutzerverwaltung
• Active Directory ohne Windows Auth/IIS
• OpenLDAP-Umgebungen

Voraussetzungen

• LDAP-Server (Active Directory oder OpenLDAP)
• LDAP-Server-Hostname/-IP und Port (389 für LDAP, 636 für LDAPS)
• Dienstkonto für LDAP-Bind-Operationen
• Netzwerkzugriff von RAMP zum LDAP-Server

---

Schritt 1: LDAP-Informationen sammeln

Sie benötigen die folgenden Informationen von Ihrem LDAP-Administrator:

Einstellung	Beispiel (Active Directory)	Beispiel (OpenLDAP)
LDAP-Server	ldap://dc.contoso.com:389	ldap://ldap.company.com:389
Suchbasis	DC=contoso,DC=com	dc=company,dc=com
Dienstkonto-DN	CN=ramp-service,OU=Service Accounts,DC=contoso,DC=com	cn=ramp-bind,ou=services,dc=company,dc=com
Dienstkonto-Passwort	(vom AD-Admin)	(vom LDAP-Admin)
Benutzerfilter	(&(objectClass=user)(objectCategory=person))	(objectClass=inetOrgPerson)
Gruppenfilter	(objectClass=group)	(objectClass=groupOfNames)

---

Schritt 2: RAMP-Backend konfigurieren

Bearbeiten Sie appsettings.json:

{
  "Authentication": {
    "Providers": {
      "LDAP": {
        "Enabled": true,
        "Server": "ldap://dc.contoso.com:389",
        "SearchBase": "DC=contoso,DC=com",
        "BindDn": "CN=ramp-service,OU=Service Accounts,DC=contoso,DC=com",
        "BindPassword": "ServiceAccountPassword123!",
        "UseSsl": false,
        "UserSearchFilter": "(&(objectClass=user)(objectCategory=person)(sAMAccountName={0}))",
        "GroupSearchFilter": "(objectClass=group)",
        "AttributeMappings": {
          "Username": "sAMAccountName",
          "Email": "mail",
          "FirstName": "givenName",
          "LastName": "sn",
          "DisplayName": "displayName"
        },
        "EnableDirectorySearch": true,
        "AutoProvisionUsers": true
      }
    }
  },
  "Bootstrap": {
    "Administrators": [
      {
        "IdentityProvider": "LDAP",
        "Username": "admin",
        "Email": "admin@contoso.com"
      }
    ]
  }
}

Konfigurationsreferenz

Einstellung	Erforderlich	Beschreibung
Enabled	Ja	Auf true setzen, um LDAP-Authentifizierung zu aktivieren
Server	Ja	LDAP-Server-URL (Format: ldap://host:port oder ldaps://host:port)
SearchBase	Ja	Basis-DN für alle LDAP-Suchen
BindDn	Ja	Distinguished Name des Dienstkontos für Bind-Operationen
BindPassword	Ja	Passwort für das Dienstkonto
UseSsl	Nein	LDAPS (Port 636) verwenden. Standard: false
UserSearchFilter	Ja	LDAP-Filter zur Benutzersuche. {0} wird durch den Benutzernamen ersetzt
GroupSearchFilter	Nein	LDAP-Filter zur Gruppensuche
AttributeMappings	Ja	LDAP-Attribute auf RAMP-Benutzerfelder abbilden
EnableDirectorySearch	Nein	Verzeichnissuche nach Benutzern/Gruppen erlauben. Standard: false
AutoProvisionUsers	Nein	RAMP-Benutzer bei der ersten Anmeldung erstellen. Standard: true

---

Schritt 3: Verzeichnisspezifische Konfiguration

Active Directory

{
  "Authentication": {
    "Providers": {
      "LDAP": {
        "Enabled": true,
        "Server": "ldap://dc.contoso.com:389",
        "SearchBase": "DC=contoso,DC=com",
        "BindDn": "CN=ramp-service,OU=Service Accounts,DC=contoso,DC=com",
        "BindPassword": "ServiceAccountPassword123!",
        "UseSsl": false,
        "UserSearchFilter": "(&(objectClass=user)(objectCategory=person)(sAMAccountName={0}))",
        "GroupSearchFilter": "(objectClass=group)",
        "AttributeMappings": {
          "Username": "sAMAccountName",
          "Email": "mail",
          "FirstName": "givenName",
          "LastName": "sn",
          "DisplayName": "displayName"
        },
        "EnableDirectorySearch": true,
        "AutoProvisionUsers": true
      }
    }
  }
}

Dienstkonto-Berechtigungen (Active Directory)

Das Dienstkonto benötigt:

• Lese-Berechtigungen für alle Benutzerobjekte
• Lese-Berechtigungen für alle Gruppenobjekte
• Keine besonderen erhöhten Berechtigungen erforderlich

Dienstkonto erstellen:

# Dienstkonto in Active Directory erstellen
New-ADUser -Name "ramp-service" `
  -SamAccountName "ramp-service" `
  -UserPrincipalName "ramp-service@contoso.com" `
  -Path "OU=Service Accounts,DC=contoso,DC=com" `
  -AccountPassword (ConvertTo-SecureString "ServicePassword123!" -AsPlainText -Force) `
  -Enabled $true `
  -PasswordNeverExpires $true `
  -CannotChangePassword $true

OpenLDAP

{
  "Authentication": {
    "Providers": {
      "LDAP": {
        "Enabled": true,
        "Server": "ldap://ldap.company.com:389",
        "SearchBase": "dc=company,dc=com",
        "BindDn": "cn=ramp-bind,ou=services,dc=company,dc=com",
        "BindPassword": "BindPassword123!",
        "UseSsl": false,
        "UserSearchFilter": "(&(objectClass=inetOrgPerson)(uid={0}))",
        "GroupSearchFilter": "(objectClass=groupOfNames)",
        "AttributeMappings": {
          "Username": "uid",
          "Email": "mail",
          "FirstName": "givenName",
          "LastName": "sn",
          "DisplayName": "cn"
        },
        "EnableDirectorySearch": true,
        "AutoProvisionUsers": true
      }
    }
  }
}

Dienstkonto erstellen (OpenLDAP)

dn: cn=ramp-bind,ou=services,dc=company,dc=com
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: ramp-bind
description: RAMP LDAP Bind Account
userPassword: {SSHA}HashedPasswordHere

Zu OpenLDAP hinzufügen:

ldapadd -x -D "cn=admin,dc=company,dc=com" -W -f ramp-bind.ldif

---

Schritt 4: SSL/TLS (LDAPS) aktivieren – Empfohlen

Verwenden Sie in der Produktion LDAPS (LDAP über SSL/TLS) auf Port 636.

Konfiguration aktualisieren

{
  "Authentication": {
    "Providers": {
      "LDAP": {
        "Server": "ldaps://dc.contoso.com:636",
        "UseSsl": true,
        "SearchBase": "DC=contoso,DC=com",
        "BindDn": "CN=ramp-service,OU=Service Accounts,DC=contoso,DC=com",
        "BindPassword": "ServiceAccountPassword123!"
      }
    }
  }
}

Zertifikatsanforderungen

• LDAP-Server muss ein gültiges SSL-Zertifikat haben
• Das Zertifikat muss vom RAMP-Server als vertrauenswürdig eingestuft werden
• Für selbstsignierte Zertifikate: zum vertrauenswürdigen Stammzertifikat-Speicher hinzufügen

Linux

# Zertifikat zu vertrauenswürdigen Zertifikaten kopieren
sudo cp ldap-ca.crt /usr/local/share/ca-certificates/
sudo update-ca-certificates

Windows

# Zertifikat in Vertrauenswürdige Stammzertifizierungsstellen importieren
Import-Certificate -FilePath ldap-ca.crt -CertStoreLocation Cert:\LocalMachine\Root

---

Schritt 5: Bootstrap-Administrator konfigurieren

LDAP-Administrator zur Bootstrap-Konfiguration hinzufügen:

{
  "Bootstrap": {
    "Administrators": [
      {
        "IdentityProvider": "LDAP",
        "Username": "john.doe",
        "Email": "john.doe@contoso.com"
      }
    ]
  }
}

Hinweis

Das Passwort wird NICHT angegeben – der Benutzer authentifiziert sich gegen LDAP.

---

Schritt 6: LDAP-Konfiguration testen

RAMP starten

cd src/RAMP.API
dotnet run

Protokolle prüfen

Nach LDAP-Initialisierungsmeldungen suchen:

[INFO] LDAP provider initialized: ldap://dc.contoso.com:389
[INFO] LDAP bind successful

Anmeldung testen

1. Zur RAMP-Anmeldeseite navigieren
2. LDAP-Benutzernamen eingeben (z. B. john.doe für AD, jdoe für OpenLDAP)
3. LDAP-Passwort eingeben
4. Wenn Auto-Bereitstellung aktiviert ist, wird das Benutzerkonto automatisch erstellt

---

Verzeichnissuche-Funktion

Wenn EnableDirectorySearch auf true gesetzt ist, können Administratoren das LDAP-Verzeichnis bei der Rollenzuweisung durchsuchen.

Funktionsweise

1. Administrator navigiert zur Rollenzuweisung (Template-Rollen, Instanz-Rollen usw.)
2. Auf “Benutzer hinzufügen” klicken
3. Benutzernamen oder E-Mail eingeben
4. RAMP fragt LDAP ab und zeigt übereinstimmende Benutzer an
5. Benutzer aus der Dropdown-Liste auswählen
6. Benutzer wird automatisch bereitgestellt, wenn er sich noch nicht angemeldet hat

Suchperformance

• Suchergebnisse werden 5 Minuten lang gecacht
• Maximal 50 Ergebnisse pro Suche
• Sucht sowohl Benutzernamen- als auch E-Mail-Felder

---

Automatische Bereitstellung

Wenn AutoProvisionUsers auf true gesetzt ist:

1. Benutzer gibt LDAP-Anmeldedaten ein
2. RAMP validiert Anmeldedaten gegen LDAP
3. Bei erfolgreichem Bind erstellt RAMP einen Benutzerdatensatz mit:
   • Benutzername aus dem LDAP-Attribut
   • E-Mail aus dem LDAP-Attribut
   • Vor-/Nachname aus den LDAP-Attributen
   • IdentityProvider: LDAP
4. Benutzer kann sich nun bei RAMP anmelden

Hinweis

Automatisch bereitgestellte Benutzer haben standardmäßig keine Rollen. Administratoren müssen Rollen zuweisen.

---

Fehlerbehebung

Verbindung zum LDAP-Server nicht möglich

Prüfung 1: Netzwerkkonnektivität überprüfen

# Testen, ob der LDAP-Port erreichbar ist
telnet dc.contoso.com 389

# Oder mit nc
nc -zv dc.contoso.com 389

Prüfung 2: DNS-Auflösung überprüfen

nslookup dc.contoso.com

Prüfung 3: Firewall-Regeln prüfen

• Sicherstellen, dass der RAMP-Server den LDAP-Port (389 oder 636) erreichen kann
• Sowohl Host-Firewall als auch Netzwerk-Firewalls prüfen

Bind-Operation fehlgeschlagen

Prüfung 1: BindDn-Format überprüfen

• Active Directory: CN=benutzername,OU=einheit,DC=domain,DC=com
• OpenLDAP: cn=benutzername,ou=einheit,dc=domain,dc=com

Prüfung 2: Bind manuell testen

# Active Directory
ldapsearch -H ldap://dc.contoso.com -D "CN=ramp-service,OU=Service Accounts,DC=contoso,DC=com" -W -b "DC=contoso,DC=com" "(sAMAccountName=testuser)"

# OpenLDAP
ldapsearch -H ldap://ldap.company.com -D "cn=ramp-bind,ou=services,dc=company,dc=com" -W -b "dc=company,dc=com" "(uid=testuser)"

Prüfung 3: Passwort überprüfen

• Sicherstellen, dass keine Sonderzeichen falsch maskiert sind
• Zuerst mit einem einfachen Passwort testen

Benutzerauthentifizierung schlägt fehl

Prüfung 1: Prüfen, ob Benutzer in LDAP vorhanden ist

ldapsearch -H ldap://dc.contoso.com -D "..." -W -b "DC=contoso,DC=com" "(sAMAccountName=username)"

Prüfung 2: UserSearchFilter überprüfen

• Sicherstellen, dass die Filtersyntax korrekt ist
• {0}-Platzhalter wird durch Benutzernamen ersetzt
• Filter manuell mit ldapsearch testen

Prüfung 3: Kontostatus prüfen

• Sicherstellen, dass das Benutzerkonto in LDAP nicht deaktiviert ist
• Prüfen, ob das Passwort abgelaufen ist

SSL/TLS-Zertifikatsfehler

Prüfung 1: Zertifikatskette überprüfen

openssl s_client -connect dc.contoso.com:636 -showcerts

Prüfung 2: Zertifikatvertrauen prüfen

• Sicherstellen, dass das CA-Zertifikat im vertrauenswürdigen Speicher ist
• Für selbstsignierte Zertifikate: das Zertifikat importieren

Prüfung 3: SSL-Überprüfung deaktivieren (nur für Tests)

{
  "Authentication": {
    "Providers": {
      "LDAP": {
        "UseSsl": true,
        "IgnoreSslErrors": true
      }
    }
  }
}

Gefahr

Verwenden Sie IgnoreSslErrors nur für Tests. Niemals in der Produktion.

---

Sicherheits-Best-Practices

1. LDAPS in der Produktion verwenden

Verwenden Sie immer SSL/TLS (Port 636) für Produktions-Deployments, um Anmeldedaten während der Übertragung zu verschlüsseln.

2. Dienstkonto mit minimalen Rechten

• Dienstkonto sollte nur Leseberechtigungen haben
• Keine Administrator- oder Schreibberechtigungen erforderlich
• Wenn möglich, auf bestimmte OUs einschränken

3. Sichere Passwort-Speicherung

BindPassword in Azure Key Vault oder User Secrets speichern, nicht in appsettings.json:

# Entwicklung
dotnet user-secrets set "Authentication:Providers:LDAP:BindPassword" "password"

# Produktion - Azure Key Vault
# Speichern als: Authentication--Providers--LDAP--BindPassword

4. Fehlgeschlagene Anmeldungen überwachen

• Audit-Protokollierung aktivieren
• Benachrichtigungen bei wiederholten Bind-Fehlern einrichten
• Kann auf Brute-Force-Angriffe oder Fehlkonfiguration hinweisen

5. Netzwerksicherheit

• LDAP-Zugriff auf RAMP-Server-IPs einschränken
• Firewall-Regeln verwenden, um unbefugten Zugriff zu blockieren
• VPN für externen Zugriff in Betracht ziehen

---

Erweiterte Konfiguration

Benutzerdefinierte Attribut-Zuordnungen

Zusätzliche LDAP-Attribute zuordnen:

{
  "AttributeMappings": {
    "Username": "sAMAccountName",
    "Email": "mail",
    "FirstName": "givenName",
    "LastName": "sn",
    "DisplayName": "displayName",
    "EmployeeId": "employeeNumber",
    "Department": "department",
    "Title": "title"
  }
}

Gruppenbasierte Zugriffssteuerung

Um den RAMP-Zugriff auf bestimmte AD-Gruppen einzuschränken, verwenden Sie einen Filter, der memberOf enthält:

{
  "UserSearchFilter": "(&(objectClass=user)(memberOf=CN=RAMP Users,OU=Groups,DC=contoso,DC=com)(sAMAccountName={0}))"
}

---

Nächste Schritte

• Bootstrap-Administratoren – LDAP-Benutzern automatisch Admin-Rollen zuweisen
• E-Mail-Konfiguration – E-Mail-Benachrichtigungen aktivieren
• Authentifizierungsübersicht – Alle Authentifizierungsanbieter vergleichen

---

Verwandte Themen

Authentifizierungsübersicht Alle Authentifizierungsmethoden vergleichen und die richtige wählen

OIDC / OAuth2-Einrichtung RAMP mit Azure AD, Okta, Keycloak oder einem beliebigen OIDC-Anbieter konfigurieren