Generische LDAP-Integration: Unterschied zwischen den Versionen

[unmarkierte Version][gesichtete Version]
K
 
(49 dazwischenliegende Versionen von 4 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
= Abgleich der Benutzerkonten mit einem generischen LDAP-Verzeichnisdienst =
+
{{Verzeichnisdienste_Einleitung|LDAP-Server|LDAP}}
  
Neben der manuellen Anlage von Benutzern (diese wird im Kapitel [[Benutzer,_Archive_und_Berechtigungen#Verwalten_von_Benutzern|Verwalten von Benutzern]] beschrieben), kann MailStore seine interne Benutzerdatenbank auch mit einem generischen LDAP-Verzeichnisdienst (z.B. OpenLDAP, Novell eDirectory) Ihres Unternehmens abgleichen.
+
== Aufruf der Verzeichnisdienste-Integration ==
 
+
{{Verzeichnisdienste_Aufrufen|LDAP-Generic|Mldap_sync_01.png}}
Bei der Synchronisierung werden dem LDAP-Verzeichnis Benutzerinformationen und E-Mail-Adressen entnommen und in MailStore eingetragen. Es werden von MailStore keine Änderungen am LDAP-Verzeichnis selbst vorgenommen. Der Umfang der Synchronisierung lässt sich über Filter einschränken.
 
  
== Aufruf der Verzeichnisdienste-Integration ==
+
== Einrichten der Synchronisierung ==
 +
Für die Synchronisierung benötigt MailStore Informationen darüber, wie der LDAP-Verzeichnisdienst angesprochen werden kann und wie die benötigten Informationen ausgelesen werden können.
  
Melden Sie sich als MailStore-Administrator über den MailStore Client an. Klicken Sie auf ''Verwaltung'' > ''Benutzer und Berechtigungen'' und dann auf ''Verzeichnisdienste''. Ändern Sie im Bereich ''Integration'' den Verzeichnisdienste-Typ auf ''LDAP Generic''.
+
=== LDAP Verbindung ===
 +
{| class="wikitable"
 +
! width=250px | Name
 +
! Beschreibung
 +
|-
 +
| Servername
 +
| DNS-Rechnername oder IP-Adresse des LDAP-Servers
 +
|-
 +
| Protokoll
 +
| Konfigurieren Sie, ob die Verbindung zum LDAP-Server unverschlüsselt über Port 389, LDAP-TLS verschlüsselt über Port 389, oder LDAP-SSL verschlüsselt über Port 636 erfolgen soll.
 +
|-
 +
| Alle Zertifikate akzeptieren (nur LDAP-TLS oder LDAP-SSL)
 +
| {{Option_Alle_Zertifikate_akzeptieren}}
 +
|-
 +
| Administrativer DN
 +
| Distinguished Name (DN) oder Benutzername mit entsprechenden Zugriffsrechten auf den LDAP-Server
 +
|-
 +
| Kennwort
 +
| Kennwort des in ''Administrative DN'' angegebenen Bernutzers
 +
|-
 +
| Basis-DN
 +
| Basis-DN des LDAP-Verzeichnis, falls nicht automatisch erkannt
 +
|}
  
[[File:Mldap_sync_01.png|center|450px]]
+
=== Benutzerfilter und -attribute ===
  
== Verbindungseinstellungen festlegen ==
+
{| class="wikitable"
 +
! width=250px | Name
 +
! Beschreibung
 +
|-
 +
| Filter (optional)
 +
| LDAP-Filter um ausschließlich LDAP-Objekte mit konfigurierter E-Mail-Adresse auszulesen
 +
|-
 +
| Benutzername
 +
| Das LDAP-Attribut welches den Benutzernamen enthält der in MailStore verwendet werden soll
 +
|-
 +
| Nur lokaler Teil (E-Mail-Adressen / UPN)
 +
| Besteht der ''Benutzername'' aus einer E-Mail-Adresse bzw. UPN (z.B. ''[email protected]'') verwendet MailStore lediglich den lokalen Teil des Nutzernamens, wenn diese Option aktiviert ist (z.B. ''benutzer''). Andernfalls wird der vollständige Nutzername inklusive Domäne verwendet.
 +
|-
 +
| Vollständiger Name (optional)
 +
| Der vollständige Name des Benutzers zur Anzeige in MailStore.
 +
|-
 +
| E-Mail-Adresse (optional)
 +
| Das LDAP-Attribut welches die E-Mail-Adressen des Benutzers enthält, der in MailStore verwendet werden soll. Es können Kommasepariert mehrere Attribute angegeben werden.
 +
|}
  
Bevor die Synchronisierungsfunktion verwendet werden kann, benötigt MailStore Informationen darüber, wie der LDAP-Verzeichnisdienst erreicht werden kann.
+
=== Gruppenfilter und -attribute ===
 +
{| class="wikitable"
 +
! width=250px | Name
 +
! Description
 +
|-
 +
| Filter
 +
| LDAP-Filter um ausschließlich Gruppen-Objekte auszulesen
 +
|-
 +
| Name
 +
| LDAP-Attribut in welchem der Namen einer Gruppe gespeichert ist
 +
|-
 +
| Beschreibung (optional)
 +
| LDAP-Attribut in welchem der aussagekräftigen Namen einer Gruppe gespeichert ist
 +
|-
 +
| Mitglieder
 +
| LDAP-Attribut in welchem die Mitglieder einer Gruppe gespeichert sind
 +
|-
 +
| Suchfilter für Mitglieder
 +
| LDAP-Filter zum Auflösen von Gruppenmitgliedschaften falls kein Distinguished Name im ''Mitglieder''-Attribut verwendet wird. MailStore füllt den Platzhalter <tt>{member}</tt> mit dem jeweiligen Wert aus dem ''Mitglieder''-Attribut.
 +
|-
 +
| Gruppen
 +
| Gruppen aus welchen MailStore Server die Benutzer synchronisiert
 +
|}
 +
{{Verzeichnisdienste_Authentifizierung|LDAP}}
 +
{{Verzeichnisdienste_Optionen|LDAP}}
 +
== Beispielkonfigurationen ==
  
=== LDAP-Verbindung ===
+
=== Active Directory ===
 +
Mit Hilfe der generische LDAP-Integration ist es auch möglich Benutzer mit einem Active Directory zu synchronisieren. Dies bietet unter Umständen größere Flexibilität und mehr Kontrolle als die [[Active Directory-Integration]] in MailStore, erfordert jedoch detailliertes Wissen über den internen Aufbau des Active Directory. Die generische LDAP-Integration ermöglicht im Vergleich zur [[Active Directory-Integration]] das Akzeptieren aller Zertifikate bei der Verwendung von LDAP-SSL bzw. LDAP-TLS, benutzerdefinierte Filter oder die Verwendung andere LDAP-Attribute bei der Synchronisierung.
  
Legen Sie die Verbindungseinstellungen zum LDAP-Verzeichnisdienst-Server fest.
+
Für das folgende Beispiel wird vorausgesetzt, dass der Active Directory LDAP-Dienst vom MailStore Server auf TCP Port 389 (LDAP, LDAP-TLS) oder 636 (LDAP-SSL) erreichbar ist. Da sich die meisten Active Directory-Konfigurationen ähneln, ist es möglich einen Großteil des folgenden Beispiels durch Kopieren und Einfügen zu übernehmen.
  
* '''Servername''' - Der Namen oder die IP-Adresse des LDAP-Verzeichnisdienst-Servers.
+
==== LDAP-Verbindung ====
* ''Verschlüsselung''' - Art der Verschlüsselung die bei der Verbindung zum LDAP-Verzeichnisdienst-Server verwendet werden soll.
+
{| class="wikitable"
* '''Administrativer DN''' - Distinguished-Name (DN) eines administrativen LDAP-Benutzers.
+
! width=250px | Parameter
* '''Kennwort''' - Das Kennwort des unter ''Administrativer DN'' angegebenen LDAP-Benutzers.
+
! Wert
 +
! Beschreibung
 +
|-
 +
| Servername
 +
| <tt>dc001.example.com</tt>
 +
| DNS-Hostname oder IP-Adresse eines Active Directory Domain Controllers
 +
|-
 +
|rowspan = 3 | Protokoll
 +
| <tt>LDAP</tt>
 +
| Verwende keine Transportverschlüsselung
 +
|-
 +
| <tt>LDAP-TLS</tt>
 +
| Verwende TLS als Transportverschlüsselung
 +
|-
 +
| <tt>LDAP-SSL</tt>
 +
| Verwende SSL als Transportverschlüsselung
 +
|-
 +
|rowspan = 2 | Alle Zertifikate akzeptieren
 +
| ''Aktiviert''
 +
| Stelle eine TLS-/SSL-verschlüsselte Verbindung her, auch wenn Fehler bei der Zertifikatsprüfung auftreten.
 +
|-
 +
| ''Nicht aktiviert''
 +
| Stelle keine TLS-/SSL-verschlüsselte Verbindung her, wenn Fehler bei der Zertifikatsprüfung auftreten.
 +
|-
 +
| Administrativer DN
 +
 +
| Active Directory Benutzer, den MailStore zum Zugriff verwenden soll
 +
|-
 +
| Kennwort
 +
| <tt>MySecretPassword</tt>
 +
| Kennwort des unter ''Administrativer DN'' angegebenen Benutzers
 +
|-
 +
| Basis-DN
 +
| ''Leer''
 +
| Die Basis-DN wird bei einem Active Directory automatisch erkannt
 +
|}
  
=== LDAP-Scope ===
+
==== Benutzerfilter und -attribute ====
  
Legen Sie den Umfang der Synchronisierung fest.
+
{| class="wikitable"
 +
! width=250px | Parameter
 +
! Wert
 +
! Beschreibung
 +
|-
 +
|rowspan = 4 | Filter (optional)
 +
|<tt>(objectCategory=User)</tt>
 +
|Alle Benutzer
 +
|-
 +
|<tt>(&(objectCategory=User)(mail=*))</tt>
 +
|Alle Benutzer mit Active Directory E-Mail-Adressen
 +
|-
 +
|<tt>(&(objectCategory=User)(proxyAddresses=*))</tt>
 +
|Alle Benutzer mit Exchange E-Mail-Adressen
 +
|-
 +
|<tt>(&(objectCategory=User)(proxyAddresses=*)(mail=*))</tt>
 +
|Alle Benutzer mit Exchange E-Mail-Adressen, welche globalen Adressbuch gelistet sind
 +
|-
 +
|rowspan = 2 |Benutzername
 +
|<tt>userPrincipalName</tt>
 +
|Active Directory Benutzername als MailStore Benutzername
 +
|-
 +
|<tt>sAMAccountName</tt>
 +
|Pre-Windows 2000 Benutzername als MailStore Benutzername
 +
|-
 +
|rowspan = 2 |Nur lokaler Teil (E-Mail-Adressen / UPN)
 +
|''Aktiviert''
 +
|Verwende nur den lokalen Teil des ''Active Directory Benutzernamens'' im UPN-Format
 +
|-
 +
|''Nicht aktiviert''
 +
|MailStore Benutzername entspricht ''Active Directory Benutzername'' im UPN-Format
 +
|-
 +
|Vollständiger Name (optional)
 +
|<tt>displayName</tt>
 +
|Der angezeigte Name des Benutzers im Active Directory
 +
|-
 +
|rowspan = 2 |E-Mail-Adressen (opt.)
 +
|<tt>proxyAddresses</tt>
 +
|Exchange Umgebungen
 +
|-
 +
|<tt>mail</tt>
 +
|Nicht-Exchange Umgebungen
 +
|}
  
* '''Basis-DN''' - LDAP Basis-DN, z.B. ''dc=meinfirma,dc=local''
+
==== Gruppenfilter und -attribute ====
* '''Filter''' - [http://tools.ietf.org/html/rfc4515 RFC 4515] konformer LDAP Filter, z.B. (objectclass=posixAccount)
+
{| class="wikitable"
 +
! width=250px | Parameter
 +
! Wert
 +
! Beschreibung
 +
|-
 +
|Filter
 +
|<tt>(objectCategory=Group)</tt>
 +
|Alle Objekte der Kategorie ''Group'', i.d.R. alle Gruppen
 +
|-
 +
|Name
 +
|<tt>cn</tt>
 +
| Verwende den Wert des LDAP-Attributs ''CN'' als Gruppenname
 +
|-
 +
|Beschreibung (optional)
 +
|<tt>description</tt>
 +
|Verwende den Wert des LDAP-Attributs ''description'' als Beschreibung der Gruppe
 +
|-
 +
|Mitglieder
 +
|<tt>member</tt>
 +
|Verwende den Wert des LDAP-Attributs ''member'' für die Gruppenmitglieder
 +
|-
 +
|Suchfilter für Mitglieder
 +
|''leer''
 +
| Mitglieder in ''member'' sind als Distinguished Name angegeben
 +
|-
 +
|Gruppen
 +
|<tt>MailStore Benutzer</tt>
 +
| Synchronisiere nur Benutzer der Gruppe ''MailStore Benutzer''
 +
|}
  
=== LDAP-Attribute ===
+
=== OpenLDAP ===
 +
OpenLDAP ist ein weit verbreiteter Open Source LDAP-Server. Dessen Konfiguration und Struktur wird in der Regel durch die darunterliegende Linux-Distribution oder durch die Anwendungen, welche den LDAP-Server verwendet, vorgegeben.
 +
 +
Für das folgende Beispiel wird vorausgesetzt, dass der Active Directory LDAP-Dienst vom MailStore Server auf TCP Port 389 oder 636 erreichbar ist.
  
Legen Sie fest, welche LDAP-Benutzer-Attribute den MailStore-Benutzer-Attributen entsprechen.
+
Für die Einrichtung der generischen LDAP-Integration ist genaues Wissen über die verwendete Struktur auf dem LDAP-Server notwendig, von welchem synchronisiert werden soll. Daher stellt das folgende Beispiel nur eine von vielen Möglichkeiten dar, Benutzer mit einem OpenLDAP-Server zu synchronisieren.
  
* '''Benutzername''' - LDAP Attribut für Benutzername, z.B. ''cn'' oder ''uid''.
+
==== LDAP Connection ====
* '''Vollständiger Name (opt.)''' - Optional: LDAP Attribut für des anzuzeigenden Namen, z.B. ''displayName''.
 
* '''E-Mail-Adressen''' - Optional: LDAP Attribut für die SMTP Adresse, z.B. ''mail''. Es können mehrere Adressen durch Komma getrennt angegeben werden.
 
  
== Durchführung der Synchronisierung ==
+
{| class="wikitable"
 +
! width=250px | Parameter
 +
! Wert
 +
! Beschreibung
 +
|-
 +
| Servername
 +
| <tt>directory.example.com</tt>
 +
| DNS-Hostname oder IP-Adresse des OpenLDAP-Servers
 +
|-
 +
|rowspan = 3 | Protokoll
 +
| <tt>LDAP</tt>
 +
| Verwende keine Transportverschlüsselung
 +
|-
 +
| <tt>LDAP-TLS</tt>
 +
| Verwende TLS als Transportverschlüsselung
 +
|-
 +
| <tt>LDAP-SSL</tt>
 +
| Verwende SSL als Transportverschlüsselung
 +
|-
 +
|rowspan = 2 |  Alle Zertifikate akzeptieren
 +
| ''Aktiviert''
 +
| Stelle eine TLS-/SSL-verschlüsselte Verbindung her, auch wenn Fehler bei der Zertifikatsprüfung auftreten.
 +
|-
 +
| ''Nicht aktiviert''
 +
| Stelle keine TLS-/SSL-verschlüsselte Verbindung her, wenn Fehler bei der Zertifikatsprüfung auftreten.
 +
|-
 +
| Administrativer DN
 +
| <tt>cn=admin,dc=example,dc=com</tt>
 +
| LDAP-Benutzername, den MailStore zum Zugriff verwenden soll
 +
|-
 +
| Kennwort
 +
| <tt>MySecretPassword</tt>
 +
| Kennwort des unter ''Administrativer DN'' angegebenen Benutzers
 +
|-
 +
| Basis-DN
 +
| <tt>dc=example,dc=com</tt>
 +
| Die Basis-DN des LDAP-Verzeichnisses
 +
|}
  
Nachdem Sie die Verbindungseinstellungen (wie oben beschrieben) angegeben haben, können Sie die MailStore-Benutzerliste mit der LDAP-Benutzerliste abgleichen.
+
==== Benutzerfilter und -attribute ====
 +
{| class="wikitable"
 +
! width=250px | Parameter
 +
! Wert
 +
! Beschreibung
 +
|-
 +
| rowspan = 2 |Filter (optional)
 +
| <tt>(objectClass=posixAccount)</tt>
 +
| Alle Objekte von Typ ''posixAccount'', i.d.R. alle Benutzer
 +
|-
 +
| <tt>(&(objectClass=posixAccount)(mail=*))</tt>
 +
| Alle Benutzer mit konfigurierter E-Mail-Adresse
 +
|-
 +
| rowspan = 2 | Benutzer
 +
| <tt>uid</tt>
 +
| Verwende den Wert das LDAP-Attributs ''UID'' als MailStore Benutzernamen
 +
|-
 +
| <tt>cn</tt>
 +
| Verwende den Wert das LDAP-Attributs ''CN'' als MailStore Benutzernamen
 +
|-
 +
|rowspan = 2 |Nur lokaler Teil (E-Mail-Adressen / UPN)
 +
|''Aktiviert''
 +
|Verwende nur den lokalen Teil des ''Active Directory Benutzernamens'' im UPN-Format
 +
|-
 +
|''Nicht aktiviert''
 +
|MailStore Benutzername entspricht ''Active Directory Benutzername'' im UPN-Format
 +
|-
 +
| Vollständiger Name (optional)
 +
| <tt>displayName</tt>
 +
| Verwende den Wert das LDAP-Attributs ''displayName'' als vollständigen Namen des MailStore-Benutzers
 +
|-
 +
| E-Mail-Addressen (optional)
 +
| <tt>mail</tt>
 +
| Verwende die Werte das LDAP-Attributs ''mail'' für die E-Mail-Adressen MailStore-Benutzers
 +
|}
  
Klicken Sie auf ''Einstellungen überprüfen'', um zu sehen, was bei einem Klick auf ''Jetzt Synchronisieren'' passieren würde. Klicken Sie auf ''Jetzt Synchronisieren'' um zu starten.
+
==== Gruppenfilter und -attribute ====
 +
{| class="wikitable"
 +
! width=250px | Parameter
 +
! Wert
 +
! Beschreibung
 +
|-
 +
| Filter
 +
| <tt>(objectClass=posixGroup)</tt>
 +
| Alle Objekte von Typ posixGroup, i.d.R. alle Gruppen
 +
|-
 +
| Name
 +
| <tt>cn</tt>
 +
| Verwende den Wert des LDAP-Attributs ''CN'' als Gruppenname
 +
|-
 +
| Description (optional)
 +
| <tt>description</tt>
 +
| Verwende den Wert des LDAP-Attributs ''description'' als Beschreibung der Gruppe
 +
|-
 +
| Mitglieder
 +
| <tt>memberUid</tt>
 +
| Verwende den Wert des LDAP-Attributs ''memberUid'' für die Gruppenmitglieder
 +
|-
 +
| rowspan = 2 |Suchfilter für Mitglieder
 +
| ''Leer''
 +
| Mitglieder in ''memberUid'' sind als Distinguished Name angegeben
 +
|-
 +
| <tt><nowiki>(|(&(objectClass=posixAccount)(uid={member}))(&(objectClass=posixGroup)(cn={member})))</nowiki></tt>
 +
| Mitglieder in ''memberUid'' sind nur als Nutzername oder Gruppenname angegeben
 +
|-
 +
| Group
 +
| <tt>MailStore Benutzer</tt>
 +
| Synchronisiere nur Mitglieder aus der LDAP-Gruppe ''MailStore Benutzer''
 +
|}
  
 +
{{Verzeichnisdienste_Synchronisierung_durchfuehren|LDAP-Verzeichnisdienst}}
 
[[File:mads_sync_02.png|center|450px]]
 
[[File:mads_sync_02.png|center|450px]]
  
== Hintergrund: Welche Informationen werden übertragen? ==
 
 
Wird im LDAP-Verzeichnis ein Benutzer gefunden, der in MailStore noch nicht vorhanden ist, führt die Synchronisierung folgende Schritte aus:
 
 
* Ein neuer MailStore-Benutzer mit dem als ''Benutzername'' angegebenen LDAP-Attribut wird angelegt.
 
* Für den MailStore-Benutzer wird die LDAP-Authentifizierung konfiguriert. Dazu wird der Distinguished-Name als Benutzerattribut in MailStore gespeichert wird.
 
* Der MailStore-Benutzer hat folgende Rechte: Anmeldung am MailStore Server über den MailStore Client; archivieren neuer E-Mails für sein eigenes Benutzerarchiv; durchsuchen des eigenen Benutzerarchivs und anzeigen der enthaltenen E-Mails; der Benutzer verfügt nicht über das Recht, E-Mails aus dem Archiv zu löschen;
 
 
In jedem Fall (d.h. neuer oder existierender Benutzer) führt die Synchronisierung folgende Schritte aus:
 
 
* Der vollständige Name des MailStore-Benutzers wird durch den vollständigen Namen des LDAP-Benutzers ersetzt
 
* Alle dem MailStore-Benutzer zugeordneten E-Mail-Adressen werden durch die im LDAP-Verzeichnis eingetragenen E-Mail-Adressen ersetzt.
 
 
= Anmeldung mit LDAP-Zugangsdaten =
 
 
In der Standardeinstellung verfügt jeder in MailStore angelegte Benutzer über ein Kennwort nur für MailStore. Dieses kann der MailStore-Administrator während der Einrichtung des Benutzers festlegen. Vom Benutzer selbst kann es hinterher in der ''Verwaltung'' des MailStore Client geändert werden.
 
 
Wenn Sie in Ihrem Unternehmen über ein generischen LDAP-Server (z.B. OpenLDAP, Novell eDirectory) verfügen, können Sie MailStore alternativ so konfigurieren, dass Benutzer sich mit Ihren LDAP-Kennwörtern über den MailStore Client am MailStore Server anmelden können.
 
 
== Vorgehensweise für Benutzer, die über die Synchronisierung mit dem generischen LDAP-Verzeichnisdienst angelegt wurden ==
 
 
Haben Sie wie im vorangegangenen Abschnitt beschrieben die MailStore-Benutzer per LDAP-Verzeichnisdienst-Synchronisierung angelegt, brauchen Sie nichts weiter zu tun. In diesem Fall hat MailStore alle notwendigen Einstellungen bereits automatisch für Sie vorgenommen.
 
 
== Vorgehensweise für manuell angelegte Benutzer ==
 
 
Haben Sie MailStore-Benutzer manuell angelegt und möchten Sie, dass sich diese mit ihrem LDAP-Kennwort anmelden können, befolgen Sie bitte die folgenden Schritte:
 
  
*Konfigurieren Sie die generische LDAP-Verzeichnisdienst-Integration wie im Kapitel [[Generische_LDAP-Integration#Abgleich_der_Benutzerkonten_mit_Active_Directory|Abgleich der Benutzerkonten mit Active Directory]] beschrieben.
+
{{Verzeichnisdienste Authentifizierung testen}}
*Stellen Sie sicher, dass die MailStore-Benutzer denselben Namen tragen wie die entsprechenden Benutzer im LDAP-Verzeichnisdienst.
+
{{Verzeichnisdienste_Anmeldung_mit_Verzeichnisdienst-Zugangsdaten|LDAP}}
*Wählen Sie in den Benutzereigenschaften der Benutzer unter ''Authentifizierung'' die Option ''Verzeichnisdienste''.
 
  
[[File:mads_ldapauth_01.png|center|400px]]
+
[[de:Generische LDAP-Integration]]
 +
[[en:Generic_LDAP_Integration]]

Aktuelle Version vom 23. April 2021, 14:46 Uhr

Neben der manuellen Anlage von Benutzern (diese wird im Kapitel Verwalten von Benutzern beschrieben), kann MailStore Server seine interne Benutzerdatenbank auch mit dem LDAP-Server Ihres Unternehmens abgleichen.

Bei der Synchronisierung werden Benutzerinformationen, wie z.B. Benutzernamen und E-Mail-Adressen, aus dem LDAP-Server in die MailStore Server-Benutzer­datenbank kopiert. Dadurch können sich z.B. Benutzer mit ihren LDAP-Zugangsdaten auch an MailStore Server anmelden und E-Mails den Benutzerarchiven automatisch zugeordnet werden. Es werden von MailStore Server keine Änderungen am LDAP-Server selbst vorgenommen. Der Umfang der Synchronisierung lässt sich über Filter einschränken.


Aufruf der Verzeichnisdienste-Integration

  • Melden Sie sich als MailStore Server-Administrator über den MailStore Client an.
  • Klicken Sie auf Verwaltung > Benutzer und Archive > Verzeichnisdienste.
  • Wählen Sie im Bereich Integration den Verzeichnisdienste-Typ LDAP-Generic.
Mldap sync 01.png


Einrichten der Synchronisierung

Für die Synchronisierung benötigt MailStore Informationen darüber, wie der LDAP-Verzeichnisdienst angesprochen werden kann und wie die benötigten Informationen ausgelesen werden können.

LDAP Verbindung

Name Beschreibung
Servername DNS-Rechnername oder IP-Adresse des LDAP-Servers
Protokoll Konfigurieren Sie, ob die Verbindung zum LDAP-Server unverschlüsselt über Port 389, LDAP-TLS verschlüsselt über Port 389, oder LDAP-SSL verschlüsselt über Port 636 erfolgen soll.
Alle Zertifikate akzeptieren (nur LDAP-TLS oder LDAP-SSL) Kann das vom Server verwendete Zertifikat nicht verifiziert werden (z.B. weil es selbst-signiert oder durch eine unbekannte Zertifizierungsstelle unterzeichnet wurde), aktivieren Sie die Option Alle Zertifikate akzeptieren, um MailStore zu erlauben dennoch eine Verbindung herzustellen. Da diese Option zu einer unsicheren Konfiguration führt, werden jedoch Warnungen in der Zusammenfassung und/oder Startseite erscheinen.
Administrativer DN Distinguished Name (DN) oder Benutzername mit entsprechenden Zugriffsrechten auf den LDAP-Server
Kennwort Kennwort des in Administrative DN angegebenen Bernutzers
Basis-DN Basis-DN des LDAP-Verzeichnis, falls nicht automatisch erkannt

Benutzerfilter und -attribute

Name Beschreibung
Filter (optional) LDAP-Filter um ausschließlich LDAP-Objekte mit konfigurierter E-Mail-Adresse auszulesen
Benutzername Das LDAP-Attribut welches den Benutzernamen enthält der in MailStore verwendet werden soll
Nur lokaler Teil (E-Mail-Adressen / UPN) Besteht der Benutzername aus einer E-Mail-Adresse bzw. UPN (z.B. [email protected]) verwendet MailStore lediglich den lokalen Teil des Nutzernamens, wenn diese Option aktiviert ist (z.B. benutzer). Andernfalls wird der vollständige Nutzername inklusive Domäne verwendet.
Vollständiger Name (optional) Der vollständige Name des Benutzers zur Anzeige in MailStore.
E-Mail-Adresse (optional) Das LDAP-Attribut welches die E-Mail-Adressen des Benutzers enthält, der in MailStore verwendet werden soll. Es können Kommasepariert mehrere Attribute angegeben werden.

Gruppenfilter und -attribute

Name Description
Filter LDAP-Filter um ausschließlich Gruppen-Objekte auszulesen
Name LDAP-Attribut in welchem der Namen einer Gruppe gespeichert ist
Beschreibung (optional) LDAP-Attribut in welchem der aussagekräftigen Namen einer Gruppe gespeichert ist
Mitglieder LDAP-Attribut in welchem die Mitglieder einer Gruppe gespeichert sind
Suchfilter für Mitglieder LDAP-Filter zum Auflösen von Gruppenmitgliedschaften falls kein Distinguished Name im Mitglieder-Attribut verwendet wird. MailStore füllt den Platzhalter {member} mit dem jeweiligen Wert aus dem Mitglieder-Attribut.
Gruppen Gruppen aus welchen MailStore Server die Benutzer synchronisiert

Authentifizierung

  • Methode
    Hier kann gewählt werden, wie Benutzer, die aus dem LDAP synchronisiert worden sind, authentifiziert werden.
    • LDAP
      Mit dieser Einstellung können sich Benutzer mit ihren LDAP-Zugangsdaten direkt an MailStore Server anmelden. Die eingebenen Zugangsdaten werden dabei von MailStore Server an LDAP weitergeleitet und dort geprüft.
    • AD FS (OpenID Connect)
      Kommen in Ihrem Unternehmen die Active Directory Federation Services (AD FS) zum Einsatz, können Benutzer sich auch mittels OpenID Connect über AD FS an MailStore Server anmelden. Hierzu müssen die AD FS entsprechend unserer Anleitung konfiguriert und anschließend die folgenden Werte in MailStore Server eingetragen werden.
      • Discovery URI
        Der URI, unter dem die AD FS erreichbar sind. In der Regel ist dies der vollständige DNS-Name des AD FS-Servers, gefolgt vom Pfad /adfs, z.B. https://adfs.example.com/adfs. Dem Zertifikat der AD FS muss vertraut werden.
      • Client-ID
        Die Client-ID der Anwendungsgruppe, die in den AD FS für MailStore Server angelegt worden ist.
      • Weiterleitungs-URI
        Der Weiterleitungs-URI, der auch in der Anwendungsgruppe hinterlegt worden ist.
      • Anmeldedaten bei jedem Login erforderlich
        Ist diese Option aktiviert, müssen Benutzer sich bei jeder Anmeldung an MailStore Server erneut über die AD FS authentifizieren.
    Hinweis: Erfolgt die Anmeldung an MailStore Server über AD FS (OpenID Connect), ist der Zugriff auf das Archiv mittels IMAP aus technischen Gründen nicht möglich.

Optionen

  • Automatisch Benutzer in MailStore Server löschen
    Hier kann gewählt werden, ob Benutzer, die im LDAP gelöscht wurden, durch die Synchro­nisierung auch in der MailStore Server-Benutzerdatenbank automatisch gelöscht werden sollen. Benutzer, die aus dem Betrachtungsbereich der Einstellungen fallen, werden ebenfalls gelöscht.
    Es werden nur MailStore Server-Benutzer gelöscht, deren Authentifizierungs­methode auf Verzeichnisdienste eingestellt ist.
    Enthält der Archivordner eines solchen Benutzers bereits archivierte E-Mails, wird nur der Benutzereintrag, nicht aber sein Archivordner in MailStore Server gelöscht.

Beispielkonfigurationen

Active Directory

Mit Hilfe der generische LDAP-Integration ist es auch möglich Benutzer mit einem Active Directory zu synchronisieren. Dies bietet unter Umständen größere Flexibilität und mehr Kontrolle als die Active Directory-Integration in MailStore, erfordert jedoch detailliertes Wissen über den internen Aufbau des Active Directory. Die generische LDAP-Integration ermöglicht im Vergleich zur Active Directory-Integration das Akzeptieren aller Zertifikate bei der Verwendung von LDAP-SSL bzw. LDAP-TLS, benutzerdefinierte Filter oder die Verwendung andere LDAP-Attribute bei der Synchronisierung.

Für das folgende Beispiel wird vorausgesetzt, dass der Active Directory LDAP-Dienst vom MailStore Server auf TCP Port 389 (LDAP, LDAP-TLS) oder 636 (LDAP-SSL) erreichbar ist. Da sich die meisten Active Directory-Konfigurationen ähneln, ist es möglich einen Großteil des folgenden Beispiels durch Kopieren und Einfügen zu übernehmen.

LDAP-Verbindung

Parameter Wert Beschreibung
Servername dc001.example.com DNS-Hostname oder IP-Adresse eines Active Directory Domain Controllers
Protokoll LDAP Verwende keine Transportverschlüsselung
LDAP-TLS Verwende TLS als Transportverschlüsselung
LDAP-SSL Verwende SSL als Transportverschlüsselung
Alle Zertifikate akzeptieren Aktiviert Stelle eine TLS-/SSL-verschlüsselte Verbindung her, auch wenn Fehler bei der Zertifikatsprüfung auftreten.
Nicht aktiviert Stelle keine TLS-/SSL-verschlüsselte Verbindung her, wenn Fehler bei der Zertifikatsprüfung auftreten.
Administrativer DN [email protected] Active Directory Benutzer, den MailStore zum Zugriff verwenden soll
Kennwort MySecretPassword Kennwort des unter Administrativer DN angegebenen Benutzers
Basis-DN Leer Die Basis-DN wird bei einem Active Directory automatisch erkannt

Benutzerfilter und -attribute

Parameter Wert Beschreibung
Filter (optional) (objectCategory=User) Alle Benutzer
(&(objectCategory=User)(mail=*)) Alle Benutzer mit Active Directory E-Mail-Adressen
(&(objectCategory=User)(proxyAddresses=*)) Alle Benutzer mit Exchange E-Mail-Adressen
(&(objectCategory=User)(proxyAddresses=*)(mail=*)) Alle Benutzer mit Exchange E-Mail-Adressen, welche globalen Adressbuch gelistet sind
Benutzername userPrincipalName Active Directory Benutzername als MailStore Benutzername
sAMAccountName Pre-Windows 2000 Benutzername als MailStore Benutzername
Nur lokaler Teil (E-Mail-Adressen / UPN) Aktiviert Verwende nur den lokalen Teil des Active Directory Benutzernamens im UPN-Format
Nicht aktiviert MailStore Benutzername entspricht Active Directory Benutzername im UPN-Format
Vollständiger Name (optional) displayName Der angezeigte Name des Benutzers im Active Directory
E-Mail-Adressen (opt.) proxyAddresses Exchange Umgebungen
mail Nicht-Exchange Umgebungen

Gruppenfilter und -attribute

Parameter Wert Beschreibung
Filter (objectCategory=Group) Alle Objekte der Kategorie Group, i.d.R. alle Gruppen
Name cn Verwende den Wert des LDAP-Attributs CN als Gruppenname
Beschreibung (optional) description Verwende den Wert des LDAP-Attributs description als Beschreibung der Gruppe
Mitglieder member Verwende den Wert des LDAP-Attributs member für die Gruppenmitglieder
Suchfilter für Mitglieder leer Mitglieder in member sind als Distinguished Name angegeben
Gruppen MailStore Benutzer Synchronisiere nur Benutzer der Gruppe MailStore Benutzer

OpenLDAP

OpenLDAP ist ein weit verbreiteter Open Source LDAP-Server. Dessen Konfiguration und Struktur wird in der Regel durch die darunterliegende Linux-Distribution oder durch die Anwendungen, welche den LDAP-Server verwendet, vorgegeben.

Für das folgende Beispiel wird vorausgesetzt, dass der Active Directory LDAP-Dienst vom MailStore Server auf TCP Port 389 oder 636 erreichbar ist.

Für die Einrichtung der generischen LDAP-Integration ist genaues Wissen über die verwendete Struktur auf dem LDAP-Server notwendig, von welchem synchronisiert werden soll. Daher stellt das folgende Beispiel nur eine von vielen Möglichkeiten dar, Benutzer mit einem OpenLDAP-Server zu synchronisieren.

LDAP Connection

Parameter Wert Beschreibung
Servername directory.example.com DNS-Hostname oder IP-Adresse des OpenLDAP-Servers
Protokoll LDAP Verwende keine Transportverschlüsselung
LDAP-TLS Verwende TLS als Transportverschlüsselung
LDAP-SSL Verwende SSL als Transportverschlüsselung
Alle Zertifikate akzeptieren Aktiviert Stelle eine TLS-/SSL-verschlüsselte Verbindung her, auch wenn Fehler bei der Zertifikatsprüfung auftreten.
Nicht aktiviert Stelle keine TLS-/SSL-verschlüsselte Verbindung her, wenn Fehler bei der Zertifikatsprüfung auftreten.
Administrativer DN cn=admin,dc=example,dc=com LDAP-Benutzername, den MailStore zum Zugriff verwenden soll
Kennwort MySecretPassword Kennwort des unter Administrativer DN angegebenen Benutzers
Basis-DN dc=example,dc=com Die Basis-DN des LDAP-Verzeichnisses

Benutzerfilter und -attribute

Parameter Wert Beschreibung
Filter (optional) (objectClass=posixAccount) Alle Objekte von Typ posixAccount, i.d.R. alle Benutzer
(&(objectClass=posixAccount)(mail=*)) Alle Benutzer mit konfigurierter E-Mail-Adresse
Benutzer uid Verwende den Wert das LDAP-Attributs UID als MailStore Benutzernamen
cn Verwende den Wert das LDAP-Attributs CN als MailStore Benutzernamen
Nur lokaler Teil (E-Mail-Adressen / UPN) Aktiviert Verwende nur den lokalen Teil des Active Directory Benutzernamens im UPN-Format
Nicht aktiviert MailStore Benutzername entspricht Active Directory Benutzername im UPN-Format
Vollständiger Name (optional) displayName Verwende den Wert das LDAP-Attributs displayName als vollständigen Namen des MailStore-Benutzers
E-Mail-Addressen (optional) mail Verwende die Werte das LDAP-Attributs mail für die E-Mail-Adressen MailStore-Benutzers

Gruppenfilter und -attribute

Parameter Wert Beschreibung
Filter (objectClass=posixGroup) Alle Objekte von Typ posixGroup, i.d.R. alle Gruppen
Name cn Verwende den Wert des LDAP-Attributs CN als Gruppenname
Description (optional) description Verwende den Wert des LDAP-Attributs description als Beschreibung der Gruppe
Mitglieder memberUid Verwende den Wert des LDAP-Attributs memberUid für die Gruppenmitglieder
Suchfilter für Mitglieder Leer Mitglieder in memberUid sind als Distinguished Name angegeben
(|(&(objectClass=posixAccount)(uid={member}))(&(objectClass=posixGroup)(cn={member}))) Mitglieder in memberUid sind nur als Nutzername oder Gruppenname angegeben
Group MailStore Benutzer Synchronisiere nur Mitglieder aus der LDAP-Gruppe MailStore Benutzer

Die Synchronisierung durchführen

Mit Klick auf Sync testen können Sie die Synchronisierungseinstellungen und das vom LDAP-Verzeichnisdienst zurückgelieferte Ergebnis überprüfen, ohne dass Änderungen an der MailStore Server-Benutzerdatenbank durchgeführt werden.

Um die Synchronisierung letztendlich durchzuführen, klicken Sie auf Synchronisieren. Das Ergebnis wird dann mit allen an der MailStore Server-Benutzerdatenbank vollzogenen Änderungen angezeigt.

Mads sync 02.png


Sie können die Authentifizierung für einen bestimmten Benutzer testen, indem Sie diesen in der Liste auswählen und dann auf die entsprechende Schaltfläche links unten klicken. Geben Sie anschließend das Kennwort dieses Benutzers ein. Sie erhalten eine Rückmeldung, ob die Authentifizierung erfolgreich war.

Anmeldung mit LDAP-Zugangsdaten

Nach der Synchronisierung können sich MailStore Server-Benutzer unter Verwendung ihres LDAP-Benutzernamens und ihres LDAP-Kennworts an MailStore Server anmelden.