Creare un archivio dati LDAP con il servizio directory ADAM (Active Directory Application Mode)

Aggiornamento: giugno 2007

 

Ultima modifica dell'argomento: 2015-02-27

Si possono verificare delle circostanze in cui il servizio Active Directory non è disponibile (ad esempio in una rete basata su Linux) oppure un'organizzazione potrebbe scegliere di non utilizzare il servizio Active Directory del sistema operativo di rete per autenticare gli utenti di Project Server. In tali casi è possibile utilizzare un servizio directory esterno per creare l'archivio dati LDAP (Lightweight Directory Access Protocol) grazie al quale verranno autenticati gli utenti.

ADAM (Active Directory Application Mode) è un servizio directory progettato per soddisfare le esigenze delle organizzazioni che non dispongono di Active Directory o che non possono fare affidamento solo su Active Directory per offrire servizi directory alle applicazioni abilitate all'uso di directory. Nonostante Active Directory offra molti vantaggi per la gestione dell'infrastruttura di rete, nelle organizzazioni è spesso necessario un servizio directory più flessibile per supportate le applicazioni abilitate all'uso di directory. ADAM è un servizio directory LDAP progettato in modo specifico per le applicazioni abilitate all'uso di directory, ad esempio Microsoft Office Project Server 2007. ADAM viene eseguito più come servizio utente che come servizio di sistema. È possibile eseguire ADAM nei server e nei controller di dominio che eseguono sistemi operativi della famiglia Windows Server 2003 (ad eccezione di Windows Server 2003, Web Edition) e nei computer che eseguono Windows XP Professional.

ADAM può essere utilizzato come servizio directory dagli utenti di Office Project Server 2007 negli scenari seguenti:

  • Una società desidera concedere ai partner commerciali o ai collaboratori a contratto l'accesso a un insieme specifico di risorse della società tramite Project Web Access. La politica aziendale vieta di aggiungerli alla struttura di Active Directory in modo che possano accedere a Project Web Access tramite l'autenticazione di Windows, perché la società non desidera che utenti senza accesso autorizzato possano accedere alle risorse aziendali. ADAM consente di creare una directory separata in cui è possibile autenticare gli utenti nel momento in cui accedono a un sito Extranet tramite Project Web Access.

  • Una società in precedenza utilizzava Microsoft Office Project Server 2003 in cui gli utenti Intranet ed Extranet venivano autenticati tramite l'autenticazione di Project Server. Gli utenti erano autenticati in base a una directory contenuta nel database di Project Server 2003. La società ora è passata a Office Project Server 2007, in cui non è supportata l'autenticazione di Project Server. La società utilizza ADAM per creare una nuova directory a cui aggiunge gli account di Project Server 2003 migrati. In seguito crea i rispettivi siti di Project Web Access per gli utenti Intranet ed Extranet, da cui si accede allo stesso contenuto. Questi utenti sono ora in grado di accedere a Office Project Server 2007 e sono autenticati tramite la directory creata dall'istanza di ADAM.

  • Una società sceglie di utilizzare il servizio Active Directory del sistema operativo di rete solo per l'autenticazione e l'autorizzazione in sistemi operativi di rete. Non desidera aggiungere l'ulteriore sovraccarico di doverlo gestire per l'autenticazione delle applicazioni. ADAM viene utilizzato per creare una directory separata di utenti che accedono a Office Project Server 2007.

  • Per ulteriori informazioni su ADAM, vedere Guida dettagliata alla distribuzione di ADAM (http://go.microsoft.com/fwlink/?linkid=92703\&clcid=0x41).

Download e installazione di ADAM

È possibile scaricare ADAM dal sito Area download Microsoft. È anche disponibile come parte di Microsoft Windows Server 2003 R2 e può essere installato mediante Gestione componenti facoltativi.

Nella procedura seguente vengono descritte le operazioni di download e installazione di ADAM nel computer. Esaminare i requisiti di sistema nella pagina di download di ADAM indicata di seguito.

Scaricare e installare ADAM

  1. In un Web browser passare alla pagina di download di ADAM (Active Directory Application Mode) (http://go.microsoft.com/fwlink/?linkid=92704\&clcid=0x41).

  2. Individuare il file denominato ADAMSP1_x86_IT.exe e fare clic su Download.

  3. Nella finestra Download del file - Avviso di protezione fare clic su Esegui.

  4. Nella pagina iniziale dell'Installazione guidata aggiornamenti software fare clic su Avanti.

  5. Nella pagina Contratto di Licenza Microsoft selezionare Accetto e quindi fare clic su Avanti.

  6. Al termine dell'installazione fare clic su Fine.

Creazione di una nuova istanza di ADAM

Dopo aver installato ADAM nel computer è possibile configurare una nuova istanza di ADAM per creare la struttura della directory. La procedura seguente consente di selezionare le porte tramite le quali accedere alla directory, creare una partizione di directory applicativa e importare file con estensione LDIF per fornire un modello alla directory attiva.

Creare una nuova istanza di ADAM

  1. Fare clic sul pulsante Start, scegliere Tutti i programmi e nel gruppo di programmi ADAM fare clic su Crea istanza ADAM.

  2. Nella pagina Installazione guidata ADAM (Active Directory Application Mode) fare clic su Avanti.

  3. Nella pagina Opzioni di installazione selezionare Un'istanza unica. Fare clic su Avanti.

  4. Nella pagina Nome istanza digitare un nome univoco per l'istanza nella casella Nome istanza. Si noti che il nome del servizio sarà composto dal nome digitato e dal prefisso "ADAM_". Se ad esempio il nome digitato è "Istanza1", il nome del servizio sarà "ADAM_Istanza1".

  5. Fare clic su Avanti.

  6. Nella casella Numero porta LDAP della pagina Porte immettere un numero di porta disponibile, ad esempio 50000. Nella casella Numero porta SSL inserire un altro numero di porta disponibile, ad esempio 50001. Fare clic su Avanti. Se non vengono specificati i numeri di porta, verranno selezionate le porte predefinite per LDAP e SSL.

  7. Nella pagina Partizione di directory applicativa selezionare Sì, crea una partizione di directory applicativa.

  8. Quando si crea una nuova partizione di directory applicativa durante l'installazione, è necessario specificare un nome distinto univoco per la partizione. ADAM supporta i nomi di stile sia DNS che X.500 per le partizioni di directory di primo livello, inclusi i componenti con nome distinto nella tabella seguente:

    Attributo Descrizione

    C=

    Paese/area geografica

    CN=

    Nome comune

    DC=

    Componente dominio

    L=

    Posizione

    O=

    Organizzazione

    OU=

    Unità organizzativa

    Nella casella Nome partizione immettere il nome distinto per la partizione di directory applicativa. Separare ogni componente con una virgola, ad esempio OU=Contoso,O=Marketing,C=IT.

  9. Nella pagina Percorsi file digitare un percorso in cui archiviare i dati ADAM e i file di recupero dei dati. È possibile utilizzare i percorsi predefiniti già inseriti nelle caselle File di dati e File recupero dati. Fare clic su Avanti.

  10. Nella pagina Selezione account di servizio immettere l'account con il quale si desidera eseguire questa istanza di ADAM. È possibile utilizzare l'account Servizio di rete per il server oppure specificare un account utente per eseguire il servizio. Fare clic su Avanti.

  11. Nella pagina Amministratori ADAM selezionare l'utente o i gruppi di utenti a cui verranno assegnate autorizzazioni amministrative in questa istanza di ADAM. È possibile selezionare Utente che ha effettuato l'accesso per specificare l'account utente in uso oppure Il seguente account e specificare un utente o un gruppo locale o di dominio. Fare clic su Avanti.

  12. Nella pagina Importazione file LDIF specificare una selezione di file LDIF (LDAP Data Interchange Format). Questi file contengono diverse definizioni dello schema di classi utente, nonché oggetti da utilizzare con Gestione autorizzazioni di Windows che possono essere importati nello schema della nuova istanza di ADAM.

    Nella tabella seguente sono descritti tutti i file LDIF facoltativi che è possibile importare:

    File LDIF Classi utente Importare il file se

    MS-Users.LDF

    • Person

    • Organizational-Person

    • User

    Si desidera creare oggetti utente nella directory ADAM, ma non si desidera creare utenti della classe InetOrgPerson (come definita in RFC 2798)

    MS-InetOrgPerson.LDF

    • Person

    • Organizational-Person

    • Users

    • InetOrgPerson

    Si desidera creare oggetti utente nella directory ADAM e anche utenti della classe InetOrgPerson (come definita in RFC 2798)

    MS-UserProxy.LDF

    • User-Proxy

    Si desidera creare oggetti proxy in ADAM da utilizzare per il reindirizzamento del binding.

    MS-ASMan.LDF

    Non applicabile

    Si desidera utilizzare Gestione autorizzazioni con ADAM.

  13. Selezionare Importa i file LDIF selezionati per questa istanza di ADAM, selezionare il file LDIF dall'elenco File disponibili e fare clic su Aggiungi per spostare il file nell'elenco File LDIF selezionati. Se non si desidera utilizzare un file LDIF come modello, fare clic su Non importare file LDIF per questa istanza di ADAM. Fare clic su Avanti.

    [!NOTA] È possibile importare i file LDIF in un secondo momento utilizzando lo strumento da riga di comando Scambio directory LDIF.

  14. Nella pagina Pronto per l'installazione rivedere le selezioni effettuate, quindi fare clic su Avanti per avviare l'installazione dell'istanza.

  15. Al termine dell'installazione dell'istanza fare clic su Fine.

Configurazione dell'istanza di ADAM

È possibile utilizzare lo strumento ADAM ADSI Edit per configurare l'istanza di ADAM. ADAM ADSI Edit viene installato con ADAM e può essere aperto dal gruppo di programmi di ADAM.

Configurare un'istanza di ADAM

  1. Fare clic sul pulsante Start, scegliere Tutti i programmi e nel gruppo di programmi ADAM fare clic su ADAM ADSI Edit.

  2. Nello strumento ADAM ADSI Edit scegliere Connetti a dal menu Azione.

  3. Nella casella Nome connessione della pagina Impostazioni connessione digitare un nome univoco.

  4. Nella casella Porta immettere il numero di porta specificato come porta LDAP durante la creazione dell'istanza LDAP.

  5. Nella sezione Connetti al seguente nodo selezionare Nome distinto (DN) o contesto dei nomi. Nella casella immettere il nome della partizione specificata durante la creazione dell'istanza LDAP, ad esempio OU=Contoso,o=Marketing,C=IT.

  6. Nella sezione Credenziali da utilizzare per la connessione selezionare l'account dell'utente che ha effettuato l'accesso se l'utente corrente è l'amministratore dell'istanza di ADAM. Selezionare il seguente account per specificare un account diverso. Fare clic su OK.

Concessione all'amministratore della farm dell'accesso alla directory

Verificare che l'account dell'amministratore della farm di Windows SharePoint Services disponga dell'accesso alla directory. Utilizzare la procedura seguente per consentire l'accesso all'account utente aggiungendolo al ruolo Readers.

Aggiungere un account all'accesso alla directory

  1. Nello strumento ADAM ADSI Edit l'istanza di ADAM dovrebbe essere visualizzata nel riquadro sinistro. Espandere il nome dell'istanza e quindi espandere il contesto dei nomi per visualizzare gli altri contenitori creati.

  2. Nel riquadro sinistro fare clic su CN=Roles. Nel riquadro destro fare clic con il pulsante destro del mouse su CN=Readers e scegliere Proprietà. Nella pagina delle proprietà di CN=Readers selezionare member nell'elenco Attributi e quindi fare clic su Modifica.

  3. Nella pagina Editor stringa multivalore nome distinto con identità di protezione fare clic su Aggiungi account Windows.

  4. Nella pagina Seleziona Utenti o Gruppi immettere il nome dell'account di Windows che si desidera aggiungere e quindi fare clic su OK.

  5. Nella pagina delle proprietà fare clic su OK.

Aggiunta di utenti alla directory

È ora possibile aggiungere gli utenti alla directory mediante la procedura seguente. È inoltre possibile creare i contenitori per gli utenti all'interno della directory. È possibile ad esempio creare contenitori separati per gli utenti del reparto Assistenza e il reparto Marketing. La procedura seguente consente di creare un unico contenitore per tutti gli utenti.

Aggiungere gli utenti alla directory

  1. Nel riquadro sinistro fare clic con il pulsante destro del mouse sul contesto dei nomi, scegliere Nuovo e quindi Oggetto. Nella pagina Creazione oggetto, in Selezionare una classe, selezionare container. Fare clic su Avanti.

  2. Nella casella Valore della pagina Creazione oggetto immettere il nome univoco per il contenitore a cui verranno aggiunti gli utenti, ad esempio Utenti o Assistenza. Fare clic su Avanti e quindi su Fine.

  3. Nel riquadro sinistro fare clic con il pulsante destro del mouse sull'oggetto contenitore appena creato, scegliere Nuovo e quindi Oggetto.

  4. Nell'elenco Selezionare una classe della pagina Creazione oggetto selezionare user. Fare clic su Avanti.

  5. Nella pagina visualizzata digitare il nome dell'utente nella casella Valore. Fare clic su Avanti.

  6. Nella pagina che consente di impostare gli attributi per l'utente, fare clic su Fine.

  7. In ADAM ADSI Edit fare clic con il pulsante destro del mouse sul nuovo utente nel riquadro destro e scegliere Reimpostazione password.

  8. Nella pagina Reimpostazione password digitare la nuova password nella casella Nuova password. Digitare nuovamente la password nella casella Conferma password. Fare clic su OK.

    [!NOTA] Quando si digita una nuova password per un utente, ADAM applicherà gli eventuali criteri per le password esistenti nel server.

  9. Per aggiungere altri utenti all'oggetto contenitore Utenti, ripetere i passaggi da 3 a 8 in base alle esigenze.