Anleitung | Generische LDAP-Integration

Frage oder Herausforderung

Wie wird der MailStore Server mit LDAP-Integration zur Benutzerverwaltung und -authentifizierung eingerichtet?

Lösung oder Antwort

Neben der manuellen Anlage von Benutzern (diese wird im Kapitel Verwalten von Benutzern beschrieben), kann MailStore Server seine interne Benutzerdatenbank auch mit dem LDAP-Server Ihres Unternehmens abgleichen.

Bei der Synchronisierung werden aus dem LDAP-Server Benutzerinformationen, wie z.B. der Benutzername und die E-Mail-Adressen, ausgelesen und in die MailStore Server Benutzerdatenbank übertragen.
Dadurch können sich z.B. Benutzer mit ihren LDAP-Zugangsdaten auch an MailStore Server anmelden und E-Mails den Benutzerarchiven automatisch zugeordnet werden. Es werden von MailStore Server keine Änderungen am LDAP-Server selbst vorgenommen. Der Umfang der Synchronisierung lässt sich über Filter einschränken.

Aufruf der Verzeichnisdienste-Integration

  • Melden Sie sich als MailStore Server-Administrator über den MailStore Client an.

  • Klicken Sie auf Verwaltung > Bentzer und Berechtigungen und dann auf Verzeichnisdienste.

  • Wählen Sie im Bereich Integration den Verzeichnisdienste-Typ LDAP-Generic.

 

image-20241030-222347.png

Einrichten der Synchronisierung

Für die Synchronisierung benötigt MailStore Informationen darüber, wie der LDAP-Verzeichnisdienst angesprochen werden kann und wie die benötigten Informationen ausgelesen werden können.

LDAP Verbindung

Name

Beschreibung

Servername

DNS-Rechnername oder IP-Adresse des LDAP-Servers

Protokoll

Konfigurieren Sie, ob die Verbindung zum LDAP-Server unverschlüsselt über Port 389, LDAP-TLS verschlüsselt über Port 389, oder LDAP-SSL verschlüsselt über Port 636 erfolgen soll.

SSL-Warnungen ignorieren (nur LDAP-TLS oder LDAP-SSL)

Erlaube Verbindungen, wenn ein selbst-signiertes oder nicht-öffentliches SSL-Zertifikat auf dem LDAP-Server verwendet wird.

Administrativer DN

Distinguished Name (DN) oder Benutzername mit entsprechenden Zugriffsrechten auf den LDAP-Server

Kennwort

Kennwort des in Administrativ e DN angegebenen Bernutzers

Basis-DN

Basis-DN des LDAP-Verzeichnis, falls nicht automatisch erkannt

Benutzerfilter und -attribute

Name

Beschreibung

Filter (optional)

LDAP-Filter um ausschließlich LDAP-Objekte mit konfigurierter E-Mail-Adresse auszulesen

Benutzername

Das LDAP-Attribut welches den Benutzernamen enthält der in MailStore verwendet werden soll

Nur lokaler Teil

(E-Mail-Adressen / UPN)

Besteht der Benutzername aus einer E-Mail-Adresse bzw. UPN (z.B. benutzer@ex http://ample.com ) verwendet MailStore lediglich den lokalen Teil des Nutzernamens, wenn diese Option aktiviert ist (z.B. benutzer).
Andernfalls wird der vollständige Nutzername inklusive Domäne verwendet.

Vollständiger Name (optional)

Der vollständige Name des Benutzers zur Anzeige in MailStore.

E-Mail-Adresse (optional)

Das LDAP-Attribut welches die E-Mail-Adressen des Benutzers enthält, der in MailStore verwendet werden soll. Es können Kommasepariert mehrere Attribute angegeben werden.

Gruppenfilter und -attribute

Name

Beschreibung

Filter

LDAP-Filter um ausschließlich Gruppen-Objekte auszulesen

Name

LDAP-Attribut in welchem der Namen einer Gruppe gespeichert ist

Beschreibung (optional)

LDAP-Attribut in welchem der aussagekräftigen Namen einer Gruppe gespeichert ist

Mitglieder

LDAP-Attribut in welchem die Mitglieder einer Gruppe gespeichert sind

Suchfilter für Mitglieder

LDAP-Filter zum Auflösen von Gruppenmitgliedschaften falls kein Distinguished Name im Mitglieder-Attribut verwendet wird. MailStore füllt den Platzhalter {member} mit dem jeweiligen Wert aus dem Mitglieder-Attribut.

Gruppen

Gruppen aus welchen MailStore Server die Benutzer synchronisiert

Optionen

Name

Beschreibung

Automatisch

Legt fest, ob Benutzer, deren Konten im LDAP-Verzeichnis gelöscht wurden, durch die

Benutzer in MailStore Server löschen

Synchronisierung auch in der MailStore Server-Benutzerdatenbank automatisch gelöscht werden sollen. Es werden nur MailStore Server-Benutzer gelöscht, deren Authentifizierungsmethode auf Verzeichnisdienste eingestellt ist.

Standard-Berechtigungen festlegen

Benutzer, die aus einem LDAP-Verzeichnisdienst nach MailStore Server synchronisiert wurden, besitzen standardmäßig das Recht zum Anmelden am MailStore Server und haben lesenden Zugriff auf ihr eigenes Benutzerarchiv.

Sie haben die Möglichkeit, die Standard-Berechtigungen vor der Synchronisierung anzupassen, um z.B. allen neuen Benutzern das Recht E-Mails archiv ieren zu geben. Klicken Sie dazu auf die Schaltfläche Standard-Berechtigu ngen....

Weitere Informationen über die Verwaltung von Benutzerrechten und deren Auswirkungen finden Sie im Kapitel Benutzer, Archive und Berechtigungen. Dort finden Sie auch Hinweise zum Anpassen existierender Berechtigungen.

Beispielkonfigurationen

Active Directory

Mit Hilfe der generische LDAP-Integration ist es auch möglich Benutzer mit einem Active Directory zu synchronisieren. Dies bietet unter Umständen größere Flexibilität und mehr Kontrolle als die Active Directory-Integration in MailStore, erfordert jedoch detailliertes Wissen über den internen Aufbau des Active Directory. Die generische LDAP-Integration ermöglicht im Vergleich zur Active Directory-Integration das Ignorieren von SSL-Warnungen bei der Verwendung von LDAP-SSL, benutzerdefinierte Filter oder die Verwendung andere LDAP-Attribute bei der Synchronisierung.

Für das folgende Beispiel wird vorausgesetzt, dass der Active Directory LDAP-Dienst vom MailStore Server auf TCP Port 389 (LDAP, LDAP-TLS) oder 636 (LDAP-SSL) erreichbar ist. Da sich die meisten Active Directory-Konfigurationen ähneln, ist es möglich einen Großteil des folgenden Beispiels durch Kopieren und Einfügen zu übernehmen.

 

LDAP-Verbindung

Parameter

Wert

Beschreibu ng

Servername

dc001.example.com

DNS-Hostname oder IP-Adresse eines Active Directory Domain Controllers

Protokoll

LDAP

Verwende keine Transportverschlüsselung

LDAP-TLS

Verwende TLS als Transportverschlüsselung

LDAP-SSL

Verwende SSL als Transportverschlüsselung

SSL-Warnungen ignorieren

Aktiviert

Stelle eine TLS-/SSL-verschlüsselte Verbindung her, auch wenn Fehler bei der Zertifikatsprüfung auftreten.

Nicht aktiviert

Stelle keine TLS-/SSL-verschlüsselte Verbindung her, wenn Fehler bei der Zertifikatsprüfung auftreten.

Administrativer DN

mailstore@example.com

Active Directory Benutzer, den MailStore zum Zugriff verwenden soll

Kennwort

MySecretPassword

Kennwort des unter Administrativer DN angegebenen Benutzers

Basis-DN

Leer

Die Basis-DN wird bei einem Active Directory automatisch erkannt

Benutzerfilter und -attribute

Parameter

Wert

Beschreibu ng

Filter (optional)

(objectCategory=User)

Alle Benutzer

(&(objectCategory=User)(mail=*))

Alle Benutzer mit Active Directory E-Mail-Adressen

(&(objectCategory=User)(proxyAddresses=*))

Alle Benutzer mit Exchange

E-Mail-Adressen

(&(objectCategory=User)(proxyAddresses=*)(mail=*))

Alle Benutzer mit Exchange

E-Mail-Adressen, welche globalen Adressbuch gelistet sind

Benutzername

userPrincipalName

Active Directory Benutzername als MailStore Benutzername

sAMAccountName

Pre-Windows 2000 Benutzername als MailStore Benutzername

Nur lokaler Teil (E-Mail-Adressen /UPN)

Aktiviert

 

Nicht aktiviert

Verwende nur den lokalen Teil des Active Directory Benutzernamens im UPN-Format MailStore Benutzername entspricht Active Directory Benutzername im UPN-Format

Vollständiger Name (optional)

displayName

Der angezeigte Name des Benutzers im Active Directory

E-Mail-Adressen (opt.)

proxyAddresses

Exchange Umgebungen

mail

Nicht-Exchange Umgebungen

Gruppenfilter und -attribute

Parameter

Wert

Beschreibung

Filter

(objectCategory=Group)

Alle Objekte der Kategorie Group, i.d.R. alle Gruppen

Name

cn

Verwende den Wert des LDAP-Attributs CN als Gruppenname

Beschreibung (optional)

description

Verwende den Wert des LDAP-Attributs description als Beschreibung der Gruppe

Mitglieder

member

Verwende den Wert des LDAP-Attributs member für die Gruppenmitglieder

Suchfilter für Mitglieder

leer

Mitglieder in member sind als Distinguished Name angegeben

Gruppen

MailStore Benutzer

Synchronisiere nur Benutzer der Gruppe MailStore Benu tzer

OpenLDAP

OpenLDAP ist ein weit verbreiteter Open Source LDAP-Server. Dessen Konfiguration und Struktur wird in der Regel durch die darunterliegende Linux-Distribution oder durch die Anwendungen, welche den LDAP-Server verwendet, vorgegeben.

Für das folgende Beispiel wird vorausgesetzt, dass der Active Directory LDAP-Dienst vom MailStore Server auf TCP Port 389 oder 636 erreichbar ist.

Für die Einrichtung der generischen LDAP-Integration ist genaues Wissen über die verwendete Struktur auf dem LDAP-Server notwendig, von welchem synchronisiert werden soll. Daher stellt das folgende Beispiel nur eine von vielen Möglichkeiten dar, Benutzer mit einem OpenLDAP-Server zu synchronisieren.

 

LDAP Connection

Parameter

Wert

Beschreibu ng

Servername

directory.example.com

DNS-Hostname oder IP-Adresse des OpenLDAP-Servers

Protokoll

LDAP

Verwende keine Transportverschlüsselung

LDAP-TLS

Verwende TLS als Transportverschlüsselung

LDAP-SSL

Verwende SSL als Transportverschlüsselung

SSL-Warnungen ignorieren

Aktiviert

Stelle eine TLS-/SSL-verschlüsselte Verbindung her, auch wenn Fehler bei der Zertifikatsprüfung auftreten.

Nicht aktiviert

Stelle keine TLS-/SSL-verschlüsselte Verbindung her, wenn Fehler bei der Zertifikatsprüfung auftreten.

Administrativer DN

cn=admin,dc=example,dc=com

LDAP-Benutzername, den MailStore zum Zugriff verwenden soll

Kennwort

MySecretPassword

Kennwort des unter Administrativer DN angegebenen Benutzers

Basis-DN

dc=example,dc=com

Die Basis-DN des LDAP-Verzeichnisses

Benutzerfilter und -attribute

Parameter

Wert

Beschreibu ng

Filter (optional)

(objectClass=posixAccount)

Alle Objekte von Typ posix Accou nt,

i.d.R. alle Benutzer

(&(objectClass=posixAccount)(mail=*))

Alle Benutzer mit konfigurierter E-Mail-Adresse

Benutzer

uid

Verwende den Wert das

LDAP-Attributs UID als MailStore Benutzernamen

cn

Verwende den Wert das

LDAP-Attributs CN als MailStore Benutzernamen

Nur lokaler Teil

(E-Mail-Adressen / UPN)

Aktiv iert

Verwende nur den lokalen Teil des Activ e Directory Benu tzernamens im UPN-Format

Nicht aktiv iert

MailStore Benutzername entspricht Activ e Directory Benu tzername im UPN-Format

Vollständiger Name (optional)

displayName

Verwende den Wert das

LDAP-Attributs display Name als vollständigen Namen des MailStore-Benutzers

E-Mail-Addressen (optional)

mail

Verwende die Werte das LDAP-Attributs mail für die E-Mail-Adressen

MailStore-Benutzers

 

Gruppenfilter und -attribute

Parameter

Wert

Beschreibu ng

Filter

(objectClass=posixGroup)

Alle Objekte von Typ posixGroup,

i.d.R. alle Gruppen

Name

cn

Verwende den Wert des LDAP-Attributs CN als Gruppenname

Description (optional)

description

Verwende den Wert des LDAP-Attributs description als Beschreibung der Gruppe

Mitglieder

memberUid

Verwende den Wert des LDAP-Attributs memberUid für die Gruppenmitglieder

Suchfilter für Mitglieder

Leer

Mitglieder in memberUid sind als Distinguished Name angegeben

 

(|(&(objectClass=posixAccount)(uid={member}))(&(objectClass=posixGroup)(cn={member})))

Mitglieder in memberUid sind nur als Nutzername oder Gruppenname angegeben

Group

MailStore Benutzer

Synchronisiere nur Mitglieder aus der LDAP-Gruppe MailStore Benutzer

Die Synchronisierung durchführen

Mit Klick auf Sy nc testen können Sie die Synchronisierungseinstellungen und das vom LDAP-Verzeichnisdienst zurückgelieferte Ergebnis überprüfen, ohne dass Änderungen an der MailStore Server-Benutzerdatenbank durchgeführt werden.

Um die Synchronisierung letztendlich durchzuführen, klicken Sie auf Sy nchronisieren. Das Ergebnis wird dann mit allen an der MailStore Server-Benutzerdatenbank vollzogenen Änderungen angezeigt.

 

image-20241030-223518.png

Sie können die Authentifizierung für einen bestimmten Benutzer testen, indem Sie diesen in der Liste auswählen und dann auf die entsprechende Schaltfläche links unten klicken. Geben Sie anschließend das Kennwort dieses Benutzers ein. Sie erhalten eine Rückmeldung, ob die Authentifizierung erfolgreich war.

Anmeldung mit LDAP-Zugangsdaten

Nach der Synchronisierung können sich MailStore-Benutzer mittels Standard-Au thentifizierung unter Verwendung ihres LDAP-Benutzernamens und ihres LDAP-Kennworts an MailStore Server anmelden.

 


Weitere Artikel

Hier findest du weitere Artikel zu diesem Produkt.


Danke, dass du die SYNAXON Services Knowledge Base nutzt.
Bitte beachte die wichtigen Informationen zur Rechtsberatung im Haftungsausschluss auf folgender Seite: Rechtliches