Generische LDAP-Integration: Unterschied zwischen den Versionen
| [unmarkierte Version] | [unmarkierte Version] |
Admin (Diskussion | Beiträge) |
Admin (Diskussion | Beiträge) |
||
| Zeile 80: | Zeile 80: | ||
{{Verzeichnisdienste_Optionen}} | {{Verzeichnisdienste_Optionen}} | ||
{{Verzeichnisdienste_Standard-Berechtigungen_festlegen|LDAP-Verzeichnisdienst}} | {{Verzeichnisdienste_Standard-Berechtigungen_festlegen|LDAP-Verzeichnisdienst}} | ||
| + | |||
| + | == Beispielkonfigurationen == | ||
| + | |||
| + | === Active Directory === | ||
| + | Mit Hilfe der generische LDAP-Integration ist es auch möglich Benutzer mit einem Active Directory zu synchronisieren. Dies bietet größere Flexibilität und mehr Kontrolle als die dedizierte [[Active Directoy-Integration]] in MailStore. Zum Beispiel ermöglicht die generische LDAP-Integration das ignorieren von SSL-Warnungen bei der Verwendung von LDAP-SSL, benutzerdefinierte Filter oder die Verwendung andere LDAP-Attribute bei der Synchronisierung. | ||
| + | |||
| + | Ist wird vorausgesetzt, dass der Active Directory LDAP-Dienst vom MailStore Server auf TCP Port 389 oder 636 erreichbar ist. | ||
| + | |||
| + | Die sich die meisten Active Directory-Konfigurationen ähneln, ist es möglich einen Großteil des folgenden Beispiels durch Kopieren und Einfügen zu übernehmen. | ||
| + | |||
| + | ==== LDAP-Verbindung ==== | ||
| + | |||
| + | {| class="wikitable" | ||
| + | ! width=250px | Parameter | ||
| + | ! Beschreibung | ||
| + | ! Wert | ||
| + | |- | ||
| + | | Servername | ||
| + | | DNS-Hostname oder IP-Adresse eines Active Directory Domain Controllers | ||
| + | | <tt>dc001.example.com</tt> | ||
| + | |- | ||
| + | | Protokoll | ||
| + | | Active Directory erwartet Verschlüsselung | ||
| + | | ''LDAP-TLS'' oder ''LDAP-SSL'' | ||
| + | |- | ||
| + | | SSL-Warnungen ignorieren | ||
| + | | ''Aktiviert'' | ||
| + | |- | ||
| + | | Administrativer DN | ||
| + | | Active Directory Benutzer, den MailStore zum Zugriff verwenden soll | ||
| + | | <tt>[email protected]</tt> | ||
| + | |- | ||
| + | | Kennwort | ||
| + | | Kennwort des unter ''Administrativer DN'' angegebenen Benutzers | ||
| + | | <tt>MySecretPassword</tt> | ||
| + | |- | ||
| + | | Basis-DN | ||
| + | | Die Basis-DN wird bei einem Active Directory automatisch erkannt | ||
| + | | ''Leer'' | ||
| + | |} | ||
| + | |||
| + | ==== Benutzerfilter und -attribute ==== | ||
| + | |||
| + | {| class="wikitable" | ||
| + | ! width=250px | Parameter | ||
| + | ! Beschreibung | ||
| + | ! Wert | ||
| + | |- | ||
| + | |rowspan = 4 | Filter (optional) | ||
| + | |Alle Benutzer mit Exchange E-Mail Adressen | ||
| + | |<tt>(&(objectCategory=User)(proxyAddresses=*))</tt> | ||
| + | |- | ||
| + | |Alle Benutzer mit Exchange E-Mail Adressen, welche globalen Adressbuch gelistet sind | ||
| + | |<tt>(&(objectCategory=User)(proxyAddresses=*)(mail=*))</tt> | ||
| + | |- | ||
| + | |Alle Benutzer mit Active Directory E-Mail-Adressen | ||
| + | |<tt>(&(objectCategory=User)(mail=*))''</tt> | ||
| + | |- | ||
| + | |Alle Benutzer | ||
| + | |<tt>(objectCategory=User)</tt> | ||
| + | |- | ||
| + | |rowspan = 2 |Benutzername | ||
| + | |Active Directory Benutzername | ||
| + | |<tt>userPrincipalName</tt> | ||
| + | |- | ||
| + | |Pre-Windows 2000 Benutzername | ||
| + | |<tt>sAMAccountName</tt> | ||
| + | |- | ||
| + | |rowspan = 2 |Local Part Only (E-mail Addresses / UPN) | ||
| + | |MailStore Benutzername entspricht ''Active Directory Benutzername'' im UPN-Format | ||
| + | |''Nicht aktiviert'' | ||
| + | |- | ||
| + | |Verwende nur den Local Part des ''Active Directory Benutzernamens'' | ||
| + | |''Aktiviert'' | ||
| + | |- | ||
| + | |Vollständiger Name (optional) | ||
| + | |Der angezeigte Name des Benutzers im Active Directory | ||
| + | |<tt>displayName</tt> | ||
| + | |- | ||
| + | |rowspan = 2 |E-Mail-Adressen (opt.) | ||
| + | |Exchange Umgebungen | ||
| + | |<tt>proxyAddress</tt> | ||
| + | |- | ||
| + | |Nicht-Exchange Umgebungen | ||
| + | |<tt>mail</tt> | ||
| + | |} | ||
| + | |||
| + | ==== Gruppenfilter und -attribute ==== | ||
| + | {| class="wikitable" | ||
| + | ! width=250px | Parameter | ||
| + | ! Wert | ||
| + | |- | ||
| + | |Filter | ||
| + | |<tt>(objectCategory=Group)</tt> | ||
| + | |- | ||
| + | |Name | ||
| + | |<tt>cn</tt> | ||
| + | |- | ||
| + | |Beschreibung (optional) | ||
| + | |<tt>description</tt> | ||
| + | |- | ||
| + | |Mitglieder | ||
| + | |<tt>member</tt> | ||
| + | |- | ||
| + | |Suchfilter für Mitglieder | ||
| + | |''leer'' | ||
| + | |- | ||
| + | |Gruppen | ||
| + | |''Active Directory Sicherheitsgruppen'' | ||
| + | |} | ||
| + | |||
| + | === OpenLDAP === | ||
| + | |||
| + | OpenLDAP is a commonly used LDAP server, configuration will require some knowledge of your LDAP environment. | ||
| + | |||
| + | It is assumed that the LDAP service is reachable by the MailStore instance on TCP port 389 or 636, including opening ports in the firewall, where applicable. | ||
| + | |||
| + | As OpenLDAP is very flexible, configuration options vary from server to server and you may need to make significant modifications to the examples below to fit the schema used in your environment. | ||
| + | |||
| + | ==== LDAP Connection ==== | ||
| + | |||
| + | {| class="wikitable" | ||
| + | ! width=250px | Name | ||
| + | ! Example | ||
| + | |- | ||
| + | | Server Name | ||
| + | | <tt>directory.example.com</tt> | ||
| + | |- | ||
| + | | Protocol | ||
| + | | <tt>LDAP-SSL</tt> | ||
| + | |- | ||
| + | | Ignore SSL Security Warnings | ||
| + | | ''Checked'' | ||
| + | |- | ||
| + | | Administrative DN | ||
| + | | <tt>cn=admin,dc=example,dc=com</tt> | ||
| + | |- | ||
| + | | Password | ||
| + | | <tt>MySecretPassword</tt> | ||
| + | |- | ||
| + | | Base DN | ||
| + | | <tt>dc=example,dc=com</tt> | ||
| + | |} | ||
| + | |||
| + | ==== User Filter and Attributes ==== | ||
| + | |||
| + | {| class="wikitable" | ||
| + | ! width=250px | Name | ||
| + | ! Example | ||
| + | |- | ||
| + | | Filter (optional) | ||
| + | | <tt>(objectClass=posixAccount)</tt> | ||
| + | |- | ||
| + | | User Name | ||
| + | | <tt>uid</tt> | ||
| + | |- | ||
| + | | Local Part Only (E-mail Addresses / UPN) | ||
| + | | ''Unchecked'' | ||
| + | |- | ||
| + | | Full Name (optional) | ||
| + | | <tt>displayName</tt> | ||
| + | |- | ||
| + | | E-mail Addresses (opt.) | ||
| + | | <tt>mail</tt> | ||
| + | |} | ||
| + | |||
| + | ==== Group Filter and Attributes ==== | ||
| + | |||
| + | {| class="wikitable" | ||
| + | ! width=250px | Name | ||
| + | ! Example | ||
| + | |- | ||
| + | | Filter | ||
| + | | <tt>(objectClass=posixGroup)</tt> | ||
| + | |- | ||
| + | | Name | ||
| + | | <tt>cn</tt> | ||
| + | |- | ||
| + | | Description (optional) | ||
| + | | <tt>description</tt> | ||
| + | |- | ||
| + | | Members | ||
| + | | <tt>memberUid</tt> | ||
| + | |- | ||
| + | | Search Filter for Members | ||
| + | | <tt><nowiki>(|(&(objectClass=posixAccount)(uid={member}))(&(objectClass=posixGroup)(cn={member})))</nowiki></tt> | ||
| + | |- | ||
| + | | Group | ||
| + | | <tt>MailStore Users</tt> | ||
| + | |} | ||
| + | |||
{{Verzeichnisdienste_Synchronisierung_durchfuehren|LDAP-Verzeichnisdienst}} | {{Verzeichnisdienste_Synchronisierung_durchfuehren|LDAP-Verzeichnisdienst}} | ||
Version vom 18. Juni 2014, 13:56 Uhr
Neben der manuellen Anlage von Benutzern (diese wird im Kapitel Verwalten von Benutzern beschrieben), kann MailStore Server seine interne Benutzerdatenbank auch mit dem LDAP-Server Ihres Unternehmens abgleichen.
Bei der Synchronisierung werden Benutzerinformationen, wie z.B. Benutzernamen und E-Mail-Adressen, aus dem LDAP-Server in die MailStore Server-Benutzerdatenbank kopiert. Dadurch können sich z.B. Benutzer mit ihren LDAP-Server-Zugangsdaten auch an MailStore Server anmelden und E-Mails den Benutzerarchiven automatisch zugeordnet werden. Es werden von MailStore Server keine Änderungen am LDAP-Server selbst vorgenommen. Der Umfang der Synchronisierung lässt sich über Filter einschränken.
- Melden Sie sich als MailStore Server-Administrator über den MailStore Client an.
- Klicken Sie auf Verwaltung > Benutzer und Archive > Verzeichnisdienste.
- Wählen Sie im Bereich Integration den Verzeichnisdienste-Typ LDAP-Generic.
Einrichten der Synchronisierung
Für die Synchronisierung benötigt MailStore Informationen darüber, wie der LDAP-Verzeichnisdienst angesprochen werden kann und wie die benötigten Informationen ausgelesen werden können.
LDAP Verbindung
| Name | Description |
|---|---|
| Servername | DNS-Hostname oder IP-Adresse des LDAP-Servers |
| Protokoll | Konfigurieren Sie, ob die Verbindung zum LDAP-Server unverschlüsselt über Port 389, LDAP-TLS verschlüsselt über Port 389, oder LDAP-SSL verschlüsselt über Port 636 erfolgen soll. |
| SSL-Warnungen ignorieren (nur LDAP-TLS oder LDAP-SSL) | Erlaube Verbindungen wenn ein selbst signiertes oder nicht-öffentliches SSL-Zertifikat auf dem LDAP-Server verwendet wird. |
| Administrativer DN | Distinguished Name (DN) oder Benutzername mit entsprechenden Zugriffsrechen au den LDAP-Server |
| Kennwort | Kennwort des in Administrative DN angegebenen Bernutzers |
| Basis-DN | Basis-DN des LDAP-Verzeichnis, falls nicht automatisch erkannt |
Benutzerfilter und -attribute
| Name | Description |
|---|---|
| Filter (optional) | LDAP-Filter um ausschließlich LDAP-Objekte mit konfigurierter E-Mail-Adresse auszulesen |
| Benutzername | Das LDAP-Attribut welches den Benutzernamen enthält der in MailStore verwendet werden soll |
| Nur lokaler Teil (E-Mail-Adressen / UPN) | Besteht der Benutzername aus einer E-Mail-Adresse bzw. UPN (z.B. [email protected]) verwendet MailStore lediglich den Local Part des Nutzernamens wenn diese Option aktiviert ist (z.B. benutzer). Andernfalls wird der vollständige Nutzername inklusive Domäne verwendet. |
| Vollständiger Name (optional) | Der vollständige Name des Benutzers zur Anzeige in MailStore. |
| E-Mail-Adresse (optional) | Das LDAP-Attribut welches die E-Mail-Adressen des Benutzers enthält, der in MailStore verwendet werden soll. Es können Kommasepariert mehrere Attribute angegeben werden. |
Gruppenfilter und -attribute
| Name | Description |
|---|---|
| Filter | LDAP-Filter um ausschließlich Gruppen-Objekte auszulesen |
| Name | LDAP-Attribut in welchem der Namen einer Gruppe gespeichert ist |
| Beschreibung (optional) | LDAP-Attribut in welchem der aussagekräftigen Namen einer Gruppe gespeichert ist |
| Mitglieder | LDAP-Attribut in welchem die Mitglieder einer Gruppe gespeichert sind |
| Suchfilter für Mitglieder | LDAP-Filter zum Auflösen von Gruppenmitgliedschaften falls kein Distinguished Name im Mitglieder-Attribut verwendet wird. MailStore füllt den Platzhalter {member} mit dem jeweiligen Wert aus dem Mitglieder-Attribut. |
| Gruppen | Gruppen aus welchen MailStore Server die Benutzer synchronisiert |
Optionen
- Automatisch Benutzer in MailStore Server löschen
Hier kann gewählt werden, ob Benutzer, die im Verzeichnisdienst gelöscht wurden, durch die Synchronisierung auch in der MailStore Server-Benutzerdatenbank automatisch gelöscht werden sollen. Benutzer, die aus dem Betrachtungsbereich der Einstellungen fallen, werden ebenfalls gelöscht.
Es werden nur MailStore Server-Benutzer gelöscht, deren Authentifizierungsmethode auf Verzeichnisdienste eingestellt ist.
Enthält der Archivordner eines solchen Benutzers bereits archivierte E-Mails, wird nur der Benutzereintrag, nicht aber sein Archivordner in MailStore Server gelöscht.
Standard-Berechtigungen festlegen
Benutzer, die aus einem LDAP-Verzeichnisdienst nach MailStore Server synchronisiert wurden, besitzen standardmäßig das Recht zum Anmelden am MailStore Server und haben lesenden Zugriff auf ihr eigenes Benutzerarchiv.
Sie haben die Möglichkeit, die Standard-Berechtigungen vor der Synchronisierung anzupassen, um z.B. allen neuen Benutzern das Recht E-Mails archivieren zu geben. Klicken Sie dazu auf die Schaltfläche Standard-Berechtigungen....
Weitere Informationen über die Verwaltung von Benutzerrechten und deren Auswirkungen finden Sie im Kapitel Benutzer, Archive und Berechtigungen. Dort finden Sie auch Hinweise zum Anpassen existierender Berechtigungen.
Beispielkonfigurationen
Active Directory
Mit Hilfe der generische LDAP-Integration ist es auch möglich Benutzer mit einem Active Directory zu synchronisieren. Dies bietet größere Flexibilität und mehr Kontrolle als die dedizierte Active Directoy-Integration in MailStore. Zum Beispiel ermöglicht die generische LDAP-Integration das ignorieren von SSL-Warnungen bei der Verwendung von LDAP-SSL, benutzerdefinierte Filter oder die Verwendung andere LDAP-Attribute bei der Synchronisierung.
Ist wird vorausgesetzt, dass der Active Directory LDAP-Dienst vom MailStore Server auf TCP Port 389 oder 636 erreichbar ist.
Die sich die meisten Active Directory-Konfigurationen ähneln, ist es möglich einen Großteil des folgenden Beispiels durch Kopieren und Einfügen zu übernehmen.
LDAP-Verbindung
| Parameter | Beschreibung | Wert |
|---|---|---|
| Servername | DNS-Hostname oder IP-Adresse eines Active Directory Domain Controllers | dc001.example.com |
| Protokoll | Active Directory erwartet Verschlüsselung | LDAP-TLS oder LDAP-SSL |
| SSL-Warnungen ignorieren | Aktiviert | |
| Administrativer DN | Active Directory Benutzer, den MailStore zum Zugriff verwenden soll | [email protected] |
| Kennwort | Kennwort des unter Administrativer DN angegebenen Benutzers | MySecretPassword |
| Basis-DN | Die Basis-DN wird bei einem Active Directory automatisch erkannt | Leer |
Benutzerfilter und -attribute
| Parameter | Beschreibung | Wert |
|---|---|---|
| Filter (optional) | Alle Benutzer mit Exchange E-Mail Adressen | (&(objectCategory=User)(proxyAddresses=*)) |
| Alle Benutzer mit Exchange E-Mail Adressen, welche globalen Adressbuch gelistet sind | (&(objectCategory=User)(proxyAddresses=*)(mail=*)) | |
| Alle Benutzer mit Active Directory E-Mail-Adressen | (&(objectCategory=User)(mail=*)) | |
| Alle Benutzer | (objectCategory=User) | |
| Benutzername | Active Directory Benutzername | userPrincipalName |
| Pre-Windows 2000 Benutzername | sAMAccountName | |
| Local Part Only (E-mail Addresses / UPN) | MailStore Benutzername entspricht Active Directory Benutzername im UPN-Format | Nicht aktiviert |
| Verwende nur den Local Part des Active Directory Benutzernamens | Aktiviert | |
| Vollständiger Name (optional) | Der angezeigte Name des Benutzers im Active Directory | displayName |
| E-Mail-Adressen (opt.) | Exchange Umgebungen | proxyAddress |
| Nicht-Exchange Umgebungen |
Gruppenfilter und -attribute
| Parameter | Wert |
|---|---|
| Filter | (objectCategory=Group) |
| Name | cn |
| Beschreibung (optional) | description |
| Mitglieder | member |
| Suchfilter für Mitglieder | leer |
| Gruppen | Active Directory Sicherheitsgruppen |
OpenLDAP
OpenLDAP is a commonly used LDAP server, configuration will require some knowledge of your LDAP environment.
It is assumed that the LDAP service is reachable by the MailStore instance on TCP port 389 or 636, including opening ports in the firewall, where applicable.
As OpenLDAP is very flexible, configuration options vary from server to server and you may need to make significant modifications to the examples below to fit the schema used in your environment.
LDAP Connection
| Name | Example |
|---|---|
| Server Name | directory.example.com |
| Protocol | LDAP-SSL |
| Ignore SSL Security Warnings | Checked |
| Administrative DN | cn=admin,dc=example,dc=com |
| Password | MySecretPassword |
| Base DN | dc=example,dc=com |
User Filter and Attributes
| Name | Example |
|---|---|
| Filter (optional) | (objectClass=posixAccount) |
| User Name | uid |
| Local Part Only (E-mail Addresses / UPN) | Unchecked |
| Full Name (optional) | displayName |
| E-mail Addresses (opt.) |
Group Filter and Attributes
| Name | Example |
|---|---|
| Filter | (objectClass=posixGroup) |
| Name | cn |
| Description (optional) | description |
| Members | memberUid |
| Search Filter for Members | (|(&(objectClass=posixAccount)(uid={member}))(&(objectClass=posixGroup)(cn={member}))) |
| Group | MailStore Users |
Die Synchronisierung durchführen
Mit Klick auf Sync testen können Sie die Synchronisierungseinstellungen und das vom LDAP-Verzeichnisdienst zurückgelieferte Ergebnis überprüfen, ohne dass Änderungen an der MailStore Server-Benutzerdatenbank durchgeführt werden.
Um die Synchronisierung letztendlich durchzuführen, klicken Sie auf Synchronisieren. Das Ergebnis wird dann mit allen an der MailStore Server-Benutzerdatenbank vollzogenen Änderungen angezeigt.
Anmeldung mit LDAP-Verzeichnisdienst-Zugangsdaten
Nach der Synchronisierung können sich MailStore Server-Benutzer unter Verwendung ihres LDAP-Verzeichnisdienst-Benutzernamens und ihres LDAP-Verzeichnisdienst-Kennworts an MailStore Server anmelden.
