Anleitung | Generische LDAP-Integration
Frage oder Herausforderung
Wie wird der MailStore Server mit LDAP-Integration zur Benutzerverwaltung und -authentifizierung eingerichtet?
Lösung oder Antwort
Neben der manuellen Anlage von Benutzern (diese wird im Kapitel Verwalten von Benutzern beschrieben), kann MailStore Server seine interne Benutzerdatenbank auch mit dem LDAP-Server Ihres Unternehmens abgleichen.
Bei der Synchronisierung werden aus dem LDAP-Server Benutzerinformationen, wie z.B. der Benutzername und die E-Mail-Adressen, ausgelesen und in die MailStore Server Benutzerdatenbank übertragen.
Dadurch können sich z.B. Benutzer mit ihren LDAP-Zugangsdaten auch an MailStore Server anmelden und E-Mails den Benutzerarchiven automatisch zugeordnet werden. Es werden von MailStore Server keine Änderungen am LDAP-Server selbst vorgenommen. Der Umfang der Synchronisierung lässt sich über Filter einschränken.
Aufruf der Verzeichnisdienste-Integration
Melden Sie sich als MailStore Server-Administrator über den MailStore Client an.
Klicken Sie auf Verwaltung > Bentzer und Berechtigungen und dann auf Verzeichnisdienste.
Wählen Sie im Bereich Integration den Verzeichnisdienste-Typ LDAP-Generic.
Einrichten der Synchronisierung
Für die Synchronisierung benötigt MailStore Informationen darüber, wie der LDAP-Verzeichnisdienst angesprochen werden kann und wie die benötigten Informationen ausgelesen werden können.
LDAP Verbindung
Name | Beschreibung |
Servername | DNS-Rechnername oder IP-Adresse des LDAP-Servers |
Protokoll | Konfigurieren Sie, ob die Verbindung zum LDAP-Server unverschlüsselt über Port 389, LDAP-TLS verschlüsselt über Port 389, oder LDAP-SSL verschlüsselt über Port 636 erfolgen soll. |
SSL-Warnungen ignorieren (nur LDAP-TLS oder LDAP-SSL) | Erlaube Verbindungen, wenn ein selbst-signiertes oder nicht-öffentliches SSL-Zertifikat auf dem LDAP-Server verwendet wird. |
Administrativer DN | Distinguished Name (DN) oder Benutzername mit entsprechenden Zugriffsrechten auf den LDAP-Server |
Kennwort | Kennwort des in Administrativ e DN angegebenen Bernutzers |
Basis-DN | Basis-DN des LDAP-Verzeichnis, falls nicht automatisch erkannt |
Benutzerfilter und -attribute
Name | Beschreibung |
Filter (optional) | LDAP-Filter um ausschließlich LDAP-Objekte mit konfigurierter E-Mail-Adresse auszulesen |
Benutzername | Das LDAP-Attribut welches den Benutzernamen enthält der in MailStore verwendet werden soll |
Nur lokaler Teil (E-Mail-Adressen / UPN) | Besteht der Benutzername aus einer E-Mail-Adresse bzw. UPN (z.B. benutzer@ex http://ample.com ) verwendet MailStore lediglich den lokalen Teil des Nutzernamens, wenn diese Option aktiviert ist (z.B. benutzer). |
Vollständiger Name (optional) | Der vollständige Name des Benutzers zur Anzeige in MailStore. |
E-Mail-Adresse (optional) | Das LDAP-Attribut welches die E-Mail-Adressen des Benutzers enthält, der in MailStore verwendet werden soll. Es können Kommasepariert mehrere Attribute angegeben werden. |
Gruppenfilter und -attribute
Name | Beschreibung |
Filter | LDAP-Filter um ausschließlich Gruppen-Objekte auszulesen |
Name | LDAP-Attribut in welchem der Namen einer Gruppe gespeichert ist |
Beschreibung (optional) | LDAP-Attribut in welchem der aussagekräftigen Namen einer Gruppe gespeichert ist |
Mitglieder | LDAP-Attribut in welchem die Mitglieder einer Gruppe gespeichert sind |
Suchfilter für Mitglieder | LDAP-Filter zum Auflösen von Gruppenmitgliedschaften falls kein Distinguished Name im Mitglieder-Attribut verwendet wird. MailStore füllt den Platzhalter {member} mit dem jeweiligen Wert aus dem Mitglieder-Attribut. |
Gruppen | Gruppen aus welchen MailStore Server die Benutzer synchronisiert |
Optionen
Name | Beschreibung |
Automatisch | Legt fest, ob Benutzer, deren Konten im LDAP-Verzeichnis gelöscht wurden, durch die |
Benutzer in MailStore Server löschen | Synchronisierung auch in der MailStore Server-Benutzerdatenbank automatisch gelöscht werden sollen. Es werden nur MailStore Server-Benutzer gelöscht, deren Authentifizierungsmethode auf Verzeichnisdienste eingestellt ist. |
Standard-Berechtigungen festlegen
Benutzer, die aus einem LDAP-Verzeichnisdienst nach MailStore Server synchronisiert wurden, besitzen standardmäßig das Recht zum Anmelden am MailStore Server und haben lesenden Zugriff auf ihr eigenes Benutzerarchiv.
Sie haben die Möglichkeit, die Standard-Berechtigungen vor der Synchronisierung anzupassen, um z.B. allen neuen Benutzern das Recht E-Mails archiv ieren zu geben. Klicken Sie dazu auf die Schaltfläche Standard-Berechtigu ngen....
Weitere Informationen über die Verwaltung von Benutzerrechten und deren Auswirkungen finden Sie im Kapitel Benutzer, Archive und Berechtigungen. Dort finden Sie auch Hinweise zum Anpassen existierender Berechtigungen.
Beispielkonfigurationen
Active Directory
Mit Hilfe der generische LDAP-Integration ist es auch möglich Benutzer mit einem Active Directory zu synchronisieren. Dies bietet unter Umständen größere Flexibilität und mehr Kontrolle als die Active Directory-Integration in MailStore, erfordert jedoch detailliertes Wissen über den internen Aufbau des Active Directory. Die generische LDAP-Integration ermöglicht im Vergleich zur Active Directory-Integration das Ignorieren von SSL-Warnungen bei der Verwendung von LDAP-SSL, benutzerdefinierte Filter oder die Verwendung andere LDAP-Attribute bei der Synchronisierung.
Für das folgende Beispiel wird vorausgesetzt, dass der Active Directory LDAP-Dienst vom MailStore Server auf TCP Port 389 (LDAP, LDAP-TLS) oder 636 (LDAP-SSL) erreichbar ist. Da sich die meisten Active Directory-Konfigurationen ähneln, ist es möglich einen Großteil des folgenden Beispiels durch Kopieren und Einfügen zu übernehmen.
LDAP-Verbindung
Parameter | Wert | Beschreibu ng |
Servername | DNS-Hostname oder IP-Adresse eines Active Directory Domain Controllers | |
Protokoll | LDAP | Verwende keine Transportverschlüsselung |
LDAP-TLS | Verwende TLS als Transportverschlüsselung | |
LDAP-SSL | Verwende SSL als Transportverschlüsselung | |
SSL-Warnungen ignorieren | Aktiviert | Stelle eine TLS-/SSL-verschlüsselte Verbindung her, auch wenn Fehler bei der Zertifikatsprüfung auftreten. |
Nicht aktiviert | Stelle keine TLS-/SSL-verschlüsselte Verbindung her, wenn Fehler bei der Zertifikatsprüfung auftreten. | |
Administrativer DN | Active Directory Benutzer, den MailStore zum Zugriff verwenden soll | |
Kennwort | MySecretPassword | Kennwort des unter Administrativer DN angegebenen Benutzers |
Basis-DN | Leer | Die Basis-DN wird bei einem Active Directory automatisch erkannt |
Benutzerfilter und -attribute
Parameter | Wert | Beschreibu ng |
Filter (optional) | (objectCategory=User) | Alle Benutzer |
(&(objectCategory=User)(mail=*)) | Alle Benutzer mit Active Directory E-Mail-Adressen | |
(&(objectCategory=User)(proxyAddresses=*)) | Alle Benutzer mit Exchange E-Mail-Adressen | |
(&(objectCategory=User)(proxyAddresses=*)(mail=*)) | Alle Benutzer mit Exchange E-Mail-Adressen, welche globalen Adressbuch gelistet sind | |
Benutzername | userPrincipalName | Active Directory Benutzername als MailStore Benutzername |
sAMAccountName | Pre-Windows 2000 Benutzername als MailStore Benutzername | |
Nur lokaler Teil (E-Mail-Adressen /UPN) | Aktiviert
Nicht aktiviert | Verwende nur den lokalen Teil des Active Directory Benutzernamens im UPN-Format MailStore Benutzername entspricht Active Directory Benutzername im UPN-Format |
Vollständiger Name (optional) | displayName | Der angezeigte Name des Benutzers im Active Directory |
E-Mail-Adressen (opt.) | proxyAddresses | Exchange Umgebungen |
Nicht-Exchange Umgebungen |
Gruppenfilter und -attribute
Parameter | Wert | Beschreibung |
Filter | (objectCategory=Group) | Alle Objekte der Kategorie Group, i.d.R. alle Gruppen |
Name | cn | Verwende den Wert des LDAP-Attributs CN als Gruppenname |
Beschreibung (optional) | description | Verwende den Wert des LDAP-Attributs description als Beschreibung der Gruppe |
Mitglieder | member | Verwende den Wert des LDAP-Attributs member für die Gruppenmitglieder |
Suchfilter für Mitglieder | leer | Mitglieder in member sind als Distinguished Name angegeben |
Gruppen | MailStore Benutzer | Synchronisiere nur Benutzer der Gruppe MailStore Benu tzer |
OpenLDAP
OpenLDAP ist ein weit verbreiteter Open Source LDAP-Server. Dessen Konfiguration und Struktur wird in der Regel durch die darunterliegende Linux-Distribution oder durch die Anwendungen, welche den LDAP-Server verwendet, vorgegeben.
Für das folgende Beispiel wird vorausgesetzt, dass der Active Directory LDAP-Dienst vom MailStore Server auf TCP Port 389 oder 636 erreichbar ist.
Für die Einrichtung der generischen LDAP-Integration ist genaues Wissen über die verwendete Struktur auf dem LDAP-Server notwendig, von welchem synchronisiert werden soll. Daher stellt das folgende Beispiel nur eine von vielen Möglichkeiten dar, Benutzer mit einem OpenLDAP-Server zu synchronisieren.
LDAP Connection
Parameter | Wert | Beschreibu ng |
Servername | DNS-Hostname oder IP-Adresse des OpenLDAP-Servers | |
Protokoll | LDAP | Verwende keine Transportverschlüsselung |
LDAP-TLS | Verwende TLS als Transportverschlüsselung | |
LDAP-SSL | Verwende SSL als Transportverschlüsselung | |
SSL-Warnungen ignorieren | Aktiviert | Stelle eine TLS-/SSL-verschlüsselte Verbindung her, auch wenn Fehler bei der Zertifikatsprüfung auftreten. |
Nicht aktiviert | Stelle keine TLS-/SSL-verschlüsselte Verbindung her, wenn Fehler bei der Zertifikatsprüfung auftreten. | |
Administrativer DN | cn=admin,dc=example,dc=com | LDAP-Benutzername, den MailStore zum Zugriff verwenden soll |
Kennwort | MySecretPassword | Kennwort des unter Administrativer DN angegebenen Benutzers |
Basis-DN | dc=example,dc=com | Die Basis-DN des LDAP-Verzeichnisses |
Benutzerfilter und -attribute
Parameter | Wert | Beschreibu ng |
Filter (optional) | (objectClass=posixAccount) | Alle Objekte von Typ posix Accou nt, i.d.R. alle Benutzer |
(&(objectClass=posixAccount)(mail=*)) | Alle Benutzer mit konfigurierter E-Mail-Adresse | |
Benutzer | uid | Verwende den Wert das LDAP-Attributs UID als MailStore Benutzernamen |
cn | Verwende den Wert das LDAP-Attributs CN als MailStore Benutzernamen | |
Nur lokaler Teil (E-Mail-Adressen / UPN) | Aktiv iert | Verwende nur den lokalen Teil des Activ e Directory Benu tzernamens im UPN-Format |
Nicht aktiv iert | MailStore Benutzername entspricht Activ e Directory Benu tzername im UPN-Format | |
Vollständiger Name (optional) | displayName | Verwende den Wert das LDAP-Attributs display Name als vollständigen Namen des MailStore-Benutzers |
E-Mail-Addressen (optional) | Verwende die Werte das LDAP-Attributs mail für die E-Mail-Adressen MailStore-Benutzers |
Gruppenfilter und -attribute
Parameter | Wert | Beschreibu ng |
Filter | (objectClass=posixGroup) | Alle Objekte von Typ posixGroup, i.d.R. alle Gruppen |
Name | cn | Verwende den Wert des LDAP-Attributs CN als Gruppenname |
Description (optional) | description | Verwende den Wert des LDAP-Attributs description als Beschreibung der Gruppe |
Mitglieder | memberUid | Verwende den Wert des LDAP-Attributs memberUid für die Gruppenmitglieder |
Suchfilter für Mitglieder | Leer | Mitglieder in memberUid sind als Distinguished Name angegeben |
| (|(&(objectClass=posixAccount)(uid={member}))(&(objectClass=posixGroup)(cn={member}))) | Mitglieder in memberUid sind nur als Nutzername oder Gruppenname angegeben |
Group | MailStore Benutzer | Synchronisiere nur Mitglieder aus der LDAP-Gruppe MailStore Benutzer |
Die Synchronisierung durchführen
Mit Klick auf Sy nc testen können Sie die Synchronisierungseinstellungen und das vom LDAP-Verzeichnisdienst zurückgelieferte Ergebnis überprüfen, ohne dass Änderungen an der MailStore Server-Benutzerdatenbank durchgeführt werden.
Um die Synchronisierung letztendlich durchzuführen, klicken Sie auf Sy nchronisieren. Das Ergebnis wird dann mit allen an der MailStore Server-Benutzerdatenbank vollzogenen Änderungen angezeigt.
Sie können die Authentifizierung für einen bestimmten Benutzer testen, indem Sie diesen in der Liste auswählen und dann auf die entsprechende Schaltfläche links unten klicken. Geben Sie anschließend das Kennwort dieses Benutzers ein. Sie erhalten eine Rückmeldung, ob die Authentifizierung erfolgreich war.
Anmeldung mit LDAP-Zugangsdaten
Nach der Synchronisierung können sich MailStore-Benutzer mittels Standard-Au thentifizierung unter Verwendung ihres LDAP-Benutzernamens und ihres LDAP-Kennworts an MailStore Server anmelden.
Weitere Artikel
Hier findest du weitere Artikel zu diesem Produkt.
Danke, dass du die SYNAXON Services Knowledge Base nutzt.
Bitte beachte die wichtigen Informationen zur Rechtsberatung im Haftungsausschluss auf folgender Seite: Rechtliches