Generische LDAP-Integration: Unterschied zwischen den Versionen
| [unmarkierte Version] | [unmarkierte Version] |
Admin (Diskussion | Beiträge) |
|||
| Zeile 3: | Zeile 3: | ||
{{Verzeichnisdienste_Aufrufen|LDAP-Generic|Mldap_sync_01.png}} | {{Verzeichnisdienste_Aufrufen|LDAP-Generic|Mldap_sync_01.png}} | ||
| − | == | + | == Einrichten der Synchronisierung == |
| − | Für die Synchronisierung benötigt MailStore Informationen darüber, wie der LDAP-Verzeichnisdienst angesprochen werden kann. | + | Für die Synchronisierung benötigt MailStore Informationen darüber, wie der LDAP-Verzeichnisdienst angesprochen werden kann und wie die benötigten Informationen ausgelesen werden können. |
| − | + | === LDAP Verbindung === | |
| − | |||
| − | |||
| − | |||
| − | |||
| − | == | + | {| class="wikitable" |
| + | ! width=250px | Name | ||
| + | ! Description | ||
| + | |- | ||
| + | | Servername | ||
| + | | DNS-Hostname oder IP-Adresse des LDAP-Servers | ||
| + | |- | ||
| + | | Protokoll | ||
| + | | Konfigurieren Sie, ob die Verbindung zum LDAP-Server unverschlüsselt über Port 389, LDAP-TLS verschlüsselt über Port 389, oder LDAP-SSL verschlüsselt über Port 636 erfolgen soll. | ||
| + | |- | ||
| + | | SSL-Warnungen ignorieren (nur LDAP-TLS oder LDAP-SSL) | ||
| + | | Erlaube Verbindungen wenn ein selbst signiertes oder nicht-öffentliches SSL-Zertifikat auf dem LDAP-Server verwendet wird. | ||
| + | |- | ||
| + | | Administrativer DN | ||
| + | | Distinguished Name (DN) oder Benutzername mit entsprechenden Zugriffsrechen au den LDAP-Server | ||
| + | |- | ||
| + | | Kennwort | ||
| + | | Kennwort des in Administrative DN angegebenen Bernutzers | ||
| + | |- | ||
| + | | Basis-DN | ||
| + | | Basis-DN des LDAP-Verzeichnis, falls nicht automatisch erkannt | ||
| + | |} | ||
| − | + | === Benutzerfilter und -attribute === | |
| − | + | {| class="wikitable" | |
| − | + | ! width=250px | Name | |
| + | ! Description | ||
| + | |- | ||
| + | | Filter (optional) | ||
| + | | LDAP-Filter um ausschließlich LDAP-Objekte mit konfigurierter E-Mail-Adresse auszulesen | ||
| + | |- | ||
| + | | Benutzername | ||
| + | | Das LDAP-Attribut welches den Benutzernamen enthält der in MailStore verwendet werden soll | ||
| + | |- | ||
| + | | Nur lokaler Teil (E-Mail-Adressen / UPN) | ||
| + | | Besteht der ''Benutzername'' aus einer E-Mail-Adresse bzw. UPN (z.B. ''[email protected]'') verwendet MailStore lediglich den Local Part des Nutzernamens wenn diese Option aktiviert ist (z.B. ''benutzer''). Andernfalls wird der vollständige Nutzername inklusive Domäne verwendet. | ||
| + | |- | ||
| + | | Vollständiger Name (optional) | ||
| + | | Der vollständige Name des Benutzers zur Anzeige in MailStore. | ||
| + | |- | ||
| + | | E-Mail-Adresse (optional) | ||
| + | | Das LDAP-Attribut welches die E-Mail-Adressen des Benutzers enthält, der in MailStore verwendet werden soll. Es können Kommasepariert mehrere Attribute angegeben werden. | ||
| + | |} | ||
| − | === | + | === Gruppenfilter und -attribute === |
| − | + | {| class="wikitable" | |
| − | + | ! width=250px | Name | |
| − | + | ! Description | |
| − | + | |- | |
| − | + | | Filter | |
| − | + | | LDAP-Filter um ausschließlich Gruppen-Objekte auszulesen | |
| + | |- | ||
| + | | Name | ||
| + | | LDAP-Attribut in welchem der Namen einer Gruppe gespeichert ist | ||
| + | |- | ||
| + | | Beschreibung (optional) | ||
| + | | LDAP-Attribut in welchem der aussagekräftigen Namen einer Gruppe gespeichert ist | ||
| + | |- | ||
| + | | Mitglieder | ||
| + | | LDAP-Attribut in welchem die Mitglieder einer Gruppe gespeichert sind | ||
| + | |- | ||
| + | | Suchfilter für Mitglieder | ||
| + | | LDAP-Filter zum Auflösen von Gruppenmitgliedschaften falls kein Distinguished Name im ''Mitglieder''-Attribut verwendet wird. MailStore füllt den Platzhalter <tt>{member}</tt> mit dem jeweiligen Wert aus dem ''Mitglieder''-Attribut. | ||
| + | |- | ||
| + | | Gruppen | ||
| + | | Gruppen aus welchen MailStore Server die Benutzer synchronisiert | ||
| + | |} | ||
{{Verzeichnisdienste_Optionen}} | {{Verzeichnisdienste_Optionen}} | ||
| − | {{Verzeichnisdienste_Standard-Berechtigungen_festlegen}} | + | {{Verzeichnisdienste_Standard-Berechtigungen_festlegen|LDAP-Verzeichnisdienst}} |
| − | {{Verzeichnisdienste_Synchronisierung_durchfuehren}} | + | {{Verzeichnisdienste_Synchronisierung_durchfuehren|LDAP-Verzeichnisdienst}} |
[[File:mads_sync_02.png|center|450px]] | [[File:mads_sync_02.png|center|450px]] | ||
| − | {{Verzeichnisdienste_Anmeldung_mit_Verzeichnisdienst-Zugangsdaten|LDAP | + | {{Verzeichnisdienste_Anmeldung_mit_Verzeichnisdienst-Zugangsdaten|LDAP-Verzeichnisdienst|mads_ldapauth_01.png}} |
[[de:Generische LDAP-Integration]] | [[de:Generische LDAP-Integration]] | ||
[[en:Generic_LDAP_Integration]] | [[en:Generic_LDAP_Integration]] | ||
Version vom 18. Juni 2014, 13:26 Uhr
Neben der manuellen Anlage von Benutzern (diese wird im Kapitel Verwalten von Benutzern beschrieben), kann MailStore Server seine interne Benutzerdatenbank auch mit dem LDAP-Server Ihres Unternehmens abgleichen.
Bei der Synchronisierung werden Benutzerinformationen, wie z.B. Benutzernamen und E-Mail-Adressen, aus dem LDAP-Server in die MailStore Server-Benutzerdatenbank kopiert. Dadurch können sich z.B. Benutzer mit ihren LDAP-Server-Zugangsdaten auch an MailStore Server anmelden und E-Mails den Benutzerarchiven automatisch zugeordnet werden. Es werden von MailStore Server keine Änderungen am LDAP-Server selbst vorgenommen. Der Umfang der Synchronisierung lässt sich über Filter einschränken.
- Melden Sie sich als MailStore Server-Administrator über den MailStore Client an.
- Klicken Sie auf Verwaltung > Benutzer und Archive > Verzeichnisdienste.
- Wählen Sie im Bereich Integration den Verzeichnisdienste-Typ LDAP-Generic.
Einrichten der Synchronisierung
Für die Synchronisierung benötigt MailStore Informationen darüber, wie der LDAP-Verzeichnisdienst angesprochen werden kann und wie die benötigten Informationen ausgelesen werden können.
LDAP Verbindung
| Name | Description |
|---|---|
| Servername | DNS-Hostname oder IP-Adresse des LDAP-Servers |
| Protokoll | Konfigurieren Sie, ob die Verbindung zum LDAP-Server unverschlüsselt über Port 389, LDAP-TLS verschlüsselt über Port 389, oder LDAP-SSL verschlüsselt über Port 636 erfolgen soll. |
| SSL-Warnungen ignorieren (nur LDAP-TLS oder LDAP-SSL) | Erlaube Verbindungen wenn ein selbst signiertes oder nicht-öffentliches SSL-Zertifikat auf dem LDAP-Server verwendet wird. |
| Administrativer DN | Distinguished Name (DN) oder Benutzername mit entsprechenden Zugriffsrechen au den LDAP-Server |
| Kennwort | Kennwort des in Administrative DN angegebenen Bernutzers |
| Basis-DN | Basis-DN des LDAP-Verzeichnis, falls nicht automatisch erkannt |
Benutzerfilter und -attribute
| Name | Description |
|---|---|
| Filter (optional) | LDAP-Filter um ausschließlich LDAP-Objekte mit konfigurierter E-Mail-Adresse auszulesen |
| Benutzername | Das LDAP-Attribut welches den Benutzernamen enthält der in MailStore verwendet werden soll |
| Nur lokaler Teil (E-Mail-Adressen / UPN) | Besteht der Benutzername aus einer E-Mail-Adresse bzw. UPN (z.B. [email protected]) verwendet MailStore lediglich den Local Part des Nutzernamens wenn diese Option aktiviert ist (z.B. benutzer). Andernfalls wird der vollständige Nutzername inklusive Domäne verwendet. |
| Vollständiger Name (optional) | Der vollständige Name des Benutzers zur Anzeige in MailStore. |
| E-Mail-Adresse (optional) | Das LDAP-Attribut welches die E-Mail-Adressen des Benutzers enthält, der in MailStore verwendet werden soll. Es können Kommasepariert mehrere Attribute angegeben werden. |
Gruppenfilter und -attribute
| Name | Description |
|---|---|
| Filter | LDAP-Filter um ausschließlich Gruppen-Objekte auszulesen |
| Name | LDAP-Attribut in welchem der Namen einer Gruppe gespeichert ist |
| Beschreibung (optional) | LDAP-Attribut in welchem der aussagekräftigen Namen einer Gruppe gespeichert ist |
| Mitglieder | LDAP-Attribut in welchem die Mitglieder einer Gruppe gespeichert sind |
| Suchfilter für Mitglieder | LDAP-Filter zum Auflösen von Gruppenmitgliedschaften falls kein Distinguished Name im Mitglieder-Attribut verwendet wird. MailStore füllt den Platzhalter {member} mit dem jeweiligen Wert aus dem Mitglieder-Attribut. |
| Gruppen | Gruppen aus welchen MailStore Server die Benutzer synchronisiert |
Optionen
- Automatisch Benutzer in MailStore Server löschen
Hier kann gewählt werden, ob Benutzer, die im Verzeichnisdienst gelöscht wurden, durch die Synchronisierung auch in der MailStore Server-Benutzerdatenbank automatisch gelöscht werden sollen. Benutzer, die aus dem Betrachtungsbereich der Einstellungen fallen, werden ebenfalls gelöscht.
Es werden nur MailStore Server-Benutzer gelöscht, deren Authentifizierungsmethode auf Verzeichnisdienste eingestellt ist.
Enthält der Archivordner eines solchen Benutzers bereits archivierte E-Mails, wird nur der Benutzereintrag, nicht aber sein Archivordner in MailStore Server gelöscht.
Standard-Berechtigungen festlegen
Benutzer, die aus einem LDAP-Verzeichnisdienst nach MailStore Server synchronisiert wurden, besitzen standardmäßig das Recht zum Anmelden am MailStore Server und haben lesenden Zugriff auf ihr eigenes Benutzerarchiv.
Sie haben die Möglichkeit, die Standard-Berechtigungen vor der Synchronisierung anzupassen, um z.B. allen neuen Benutzern das Recht E-Mails archivieren zu geben. Klicken Sie dazu auf die Schaltfläche Standard-Berechtigungen....
Weitere Informationen über die Verwaltung von Benutzerrechten und deren Auswirkungen finden Sie im Kapitel Benutzer, Archive und Berechtigungen. Dort finden Sie auch Hinweise zum Anpassen existierender Berechtigungen.
Die Synchronisierung durchführen
Mit Klick auf Sync testen können Sie die Synchronisierungseinstellungen und das vom LDAP-Verzeichnisdienst zurückgelieferte Ergebnis überprüfen, ohne dass Änderungen an der MailStore Server-Benutzerdatenbank durchgeführt werden.
Um die Synchronisierung letztendlich durchzuführen, klicken Sie auf Synchronisieren. Das Ergebnis wird dann mit allen an der MailStore Server-Benutzerdatenbank vollzogenen Änderungen angezeigt.
Anmeldung mit LDAP-Verzeichnisdienst-Zugangsdaten
Nach der Synchronisierung können sich MailStore Server-Benutzer unter Verwendung ihres LDAP-Verzeichnisdienst-Benutzernamens und ihres LDAP-Verzeichnisdienst-Kennworts an MailStore Server anmelden.
