Active Directory-Integration

Abgleich der Benutzerkonten mit Active Directory

Neben der manuellen Anlage von Benutzern (diese wird im Kapitel Verwalten von Benutzern beschrieben), kann MailStore seine interne Benutzerdatenbank auch mit dem Active Directoy Ihres Unternehmens abgleichen.

Bei der Synchronisierung werden dem Active Directory Benutzerinformationen und E-Mail-Adressen entnommen und in MailStore eingetragen. Es werden von MailStore keine Änderungen am Active Directory selbst vorgenommen. der Umfang der Synchronisierung lässt sich über Filter einschränken.

Aufruf der Verzeichnisdienste-Integration

Melden Sie sich als MailStore-Administrator über den MailStore Client an. Klicken Sie auf Verwaltung > Benutzer und Berechtigungen und dann auf Verzeichnisdienste. Ändern Sie im Bereich Integration den Verzeichnisdienste-Typ auf Active Directory.

Mads sync 01.png

Verbindungseinstellungen festlegen

Bevor die Synchronisierungsfunktion verwendet werden kann, benötigt MailStore Informationen darüber, wie der Active Directory-Server erreicht werden kann.

  • Server (optional)
    Der Namen oder die IP-Addresse eines Active Directory-Servers. Ist der MailStore Server-Computer Mitglied in einem Active Directory, wird diese Einstellung automatisch erkannt.
  • Basis-DN (optional)
    Die Basis-DN Ihres Active Directories. Dieser lässt sich häufig vom Namen Ihrer Active Directory-Domäne ableiten. Ist der Name Ihrer Active Directory-Domäne beispielsweise meinefirma.local lautet die Basis-DN in der Regel dc=meinefima,dc=local. Die Basis-DN kann auch über die Schaltfläche neben dem Eingabefeld ausgewählt werden sofern ein Zugriff auf einen Active Directory-Server möglich ist. Ist der MailStore Server-Computer Mitglied in einem Active Directory, wird diese Einstellung automatisch erkannt.
  • Authentifizierung
    Legen Sie fest, wie der MailStore Server Dienst gegenüber dem Active Directory authentifizieren werden soll:

    • Standard-Authentifizierung - Sofern Sie den MailStore Server nicht direkt auf einem Active Directory-Server installiert haben, ist meist die Nutzung der Standard-Authentifizierung erforderlich. Füllen Sie bei der Verwendung der Standard-Authentifizierung ebenfalls die Felder Benutzername und Kennwort aus. Geben Sie den Benutzername in der UPN-Notation an, z.B. Administrator@meinefirma.local.
    • Windows-Authentifizierung - Wurde der MailStore Server direkt auf einem Active Directory-Server installiert besitzt der MailStore Server-Dienst genügend Rechte um sich per Windows-Authentifizierung am Active Directory anzumelden. Andernfalls ist es erforderlich, dem Computerkonto des MailStore Server-Computers Lesezugriff auf das Active Directory zu geben. Bitte beachten Sie, dass dies unter Umständen ein Sicherheitsproblem darstellen kann. Die Verwendung der Standard-Authentifizierung ist in solchen Fällen empfohlen.

Durchführung der Synchronisierung

Nachdem Sie die Verbindungseinstellungen (wie oben beschrieben) angegeben haben, können Sie unterhalb von Synchronisierung der Benutzerdatenbank die MailStore-Benutzerliste mit der Active Directory-Benutzerliste abgleichen.

Dabei können folgenden Optionen gewählt werden:

  • Nur Microsoft Exchange-Benutzer synchronisieren
    Nehmen Sie dieses Häkchen nur dann heraus, wenn Sie wirklich alle im Active Directoy angelegten Benutzer auch als MailStore-Benutzer anlegen lassen wollen.
  • Nur Mitglieder einer Gruppe synchronisieren
    Setzen Sie dieses Häkchen und wählen Sie eine Active Directory Gruppe aus, wenn Sie nur Mitglieder dieser Gruppe mit als MailStore-Benutzer anlegen wollen. Dadurch lässt sich verhindern, dass z.B. System-Accounts nach MailStore synchronisiert werden.

Klicken Sie auf Einstellungen überprüfen, um zu sehen, was bei einem Klick auf Jetzt Synchronisieren passieren würde. Klicken Sie auf Jetzt Synchronisieren um zu starten.

Mads sync 02.png

Hintergrund: Welche Informationen werden übertragen?

Wird in Active Directory ein Benutzer gefunden, der in MailStore noch nicht vorhanden ist, führt die Synchronisierung folgende Schritte aus:

  • Ein neuer MailStore-Benutzer mit dem Anmeldenamen (SAM Account Name) des Active Directory-Benutzers wird angelegt.
  • Für den MailStore-Benutzer wird die LDAP-Authentifizierung konfiguriert. Dazu wird der Distinguished-Name als Benutzerattribut in MailStore gespeichert wird.
  • Der MailStore-Benutzer hat folgende Rechte: Anmeldung am MailStore Server über den MailStore Client; archivieren neuer E-Mails für sein eigenes Benutzerarchiv; durchsuchen des eigenen Benutzerarchivs und anzeigen der enthaltenen E-Mails; der Benutzer verfügt nicht über das Recht, E-Mails aus dem Archiv zu löschen;

In jedem Fall (d.h. neuer oder existierender Benutzer) führt die Synchronisierung folgende Schritte aus:

  • Der vollständige Name des MailStore-Benutzers wird durch den vollständigen Namen des Active Directory-Benutzers ersetzt
  • Alle dem MailStore-Benutzer zugeordneten E-Mail-Adressen werden durch die in Active Directory eingetragenen E-Mail-Adressen ersetzt:
    • Handelt es sich um einen Microsoft Exchange-Benutzer, betrifft dies alle SMTP-Adressen dieses Benutzers.
    • Handelt es sich nicht um einen Microsoft Exchange-Benutzer, betrifft dies die im Feld E-Mail-Adresse eingetragene Adresse.

Anmeldung mit Windows-Zugangsdaten

In der Standardeinstellung verfügt jeder in MailStore angelegte Benutzer über ein Kennwort nur für MailStore. Dieses kann der MailStore-Administrator während der Einrichtung des Benutzers festlegen. Vom Benutzer selbst kann es hinterher in der Verwaltung des MailStore Client geändert werden.

Wenn Sie in Ihrem Unternehmen über ein Active Directory verfügen, können Sie MailStore alternativ so konfigurieren, dass Benutzer sich mit Ihren Active Directory-Kennwörtern über den MailStore Client am MailStore Server anmelden können.

Vorgehensweise für Benutzer, die über die Synchronisierung mit dem Active Directory angelegt wurden

Haben Sie wie im vorangegangenen Abschnitt beschrieben die MailStore-Benutzer per Active Directory-Synchronisierung angelegt, brauchen Sie nichts weiter zu tun. In diesem Fall hat MailStore alle notwendigen Einstellungen bereits automatisch für Sie vorgenommen.

Vorgehensweise für manuell angelegte Benutzer

Haben Sie MailStore-Benutzer manuell angelegt und möchten Sie, dass sich diese mit ihrem Active Directory-Kennwort anmelden können, befolgen Sie bitte die folgenden Schritte:

  • Konfigurieren Sie die Active Directory-Integration wie im Kapitel Abgleich der Benutzerkonten mit Active Directory beschrieben.
  • Stellen Sie sicher, dass die MailStore-Benutzer denselben Namen tragen wie die entsprechenden Benutzer im Active Directory.
  • Wählen Sie in den Benutzereigenschaften der Benutzer unter Authentifizierung die Option LDAP (Active Directory).
Mads ldapauth 01.png

Hintergrund: Wie geht MailStore intern bei Verwendung der LDAP-Authentifizierung vor?

Im Folgenden wird beschrieben, wie MailStore bei der LDAP-Authentifizierung vorgeht. Diese Beschreibung richtet sich an technisch interessierte Anwender.

  • Der Benutzer meldet sich an. Die Zugangsdaten werden an den MailStore Server gesendet.
  • Der MailStore Server stellt fest, dass es sich um einen Benutzer handelt, für den LDAP-Authentifizierung konfiguriert ist.
  • MailStore stellt eine sichere LDAP-Verbindung zum in der Active Directory-Integration konfigurierten Active Directory-Server her. MailStore verwendet dabei den Benutzernamen, welcher sich aus Domäne (NetBIOS) (ebenfalls in der Active Directory-Integration angegeben) und dem MailStore-Benutzernamen zusammensetzt ( DOMÄNE\benutzer ).
  • Kann die Verbindung hergestellt werden, sucht MailStore unterhalb des in den in Active Directory-Integration konfigurierten Base DN nach dem Benutzernamen ( sAMAccountName ). Wird dieser gefunden, betrachtet MailStore Server die Zugangsdaten als korrekt.
  • War die LDAP-Authentifizierung erfolgreich, erfolgt die übliche Anmeldung des Benutzers am MailStore Server.

MailStore Client Single Sign-On

Weitere Informationen zum Einsatz des MailStore Client in einer Active Directory Umgebung finden Sie im Artikel MailStore Client Deployment.