Active Directory-Synchronisierung
Das BlueMind-Abonnement für den professionellen Gebrauch bietet Zugang zu Tools, die die Integration von BlueMind in das Informationssystem erleichtern.
In diesem Abschnitt werden die Funktionen beschrieben, die das Modul für den Zugriff auf ein Active Directory-Verzeichnis bietet.
Umfang des Active Directory
Die BlueMind-Administrationskonsole ermöglicht das Anlegen und Verwalten von Benutzern, Gruppen und anderen Entitäten direkt in BlueMind.
In einem Informationssystem gibt es jedoch oft ein zentrales Verzeichnis, wie z. B. LDAP oder Active Directory, das für die zentrale Verwaltung von Benutzern und Gruppen vorzuziehen ist. In diesem Fall kann die Benutzerverwaltung an ein Active Directory delegiert und die Kontoerstellung durch regelmäßige Synchronisation automatisiert werden.
Durch die Active Directory-Synchronisation ist Blue Mind in der Lage:
- seine Benutzerbasis und Gruppen in regelmäßigen Abständen auf transparente Weise aus dem Verzeichnis zu importieren
- BlueMind-Benutzer direkt für das Active Directory zu authentifizieren.
Dieses Tool vermeidet die Verwaltung einer Benutzerbasis in Blue Mind und die Probleme der Passwortvervielfältigung. Das Passwort ist im AD-Verzeichnis zentralisiert und ist BlueMind weder bekannt noch wird es importiert.
Authentifizierung im Active Directory
Für die aus dem Verzeichnis importierten Benutzer erfolgt die Authentifizierung bei diesem Verzeichnis, die Blue Mind-Datenbank verfügt nicht über die Active Directory-Passwörter.
Funktionsprinzip
BlueMind ermöglicht den Import und die Verwendung von Benutzern und Gruppen aus einem Active Directory-System.
Der Active Directory-Import wird BlueMind-seitig für jede Domain schrittweise durchgeführt.
Die Passwörter der importierten Benutzer werden direkt mit dem Active Directory abgeglichen. BlueMind speichert keine Passwörter.
Ein neuer Benutzer kann eine Verbindung zu einem BlueMind-Server herstellen, auch wenn dieser noch nicht importiert wurde. Sein BlueMind-Konto wird automatisch erstellt, wenn der Authentifizierungsprozess erfolgreich ist.
Das Provisioning (Anlegen oder Ändern) eines Benutzers oder einer Gruppe aus dem Active Directory in BlueMind erfolgt:
- bei Serverkonfiguration, während des ersten Imports
- regelmäßig im Laufe eines Tages, über geplante Aufgaben
- oder automatisch, wenn sich ein Benutzer anmeldet.
Installation
Um auf die Synchronisationsfunktionen mit einem AD-Verzeichnis zugreifen zu können, muss das ad-import-Plugin installiert werden.
Verbinden Sie sich dazu mit dem Server und geben Sie den folgenden Befehl ein, um die Installation des Plugins zu starten:
- Debian/Ubuntu
- RedHat/CentOS
sudo aptitude update
sudo aptitude install bm-plugin-admin-console-ad-import bm-plugin-core-ad-import
yum update
yum install bm-plugin-admin-console-ad-import bm-plugin-core-ad-import
bmctl restart
Konfiguration
Konfiguration der Active Directory-Verbindung
Verbinden Sie sich mit dem BlueMind-Zielserver als globaler Administrator admin0
Gehen Sie zu Systemadministration > Überwachte Domains > Domain wählen > Registerkarte AD-Import:
- Aktivieren Sie das Kontrollkästchen "AD-Import aktivieren“:
- Füllen Sie die angeforderten Informationen mit den Active Directory-Einstellungen aus:
| Angeforderte Parameter | Active Directory-Wert |
|---|---|
| Benutzername AD | Login, das verwendet wird, um Abfragen auf dem Active Directory-Server durchzuführen. Es ist möglich, jedes Benutzerkonto mit den Rechten zum Durchsuchen des Active Directory-Baums im schreibgeschützten Modus zu verwenden. Beim Import wird aus Kompatibilitätsgründen ein Mapping (Ersetzen von Zeichen) durchgeführt: - Ersetzen von Buchstaben mit Akzent durch den entsprechenden unbetonten Buchstaben - Wechsel zu Kleinbuchstaben - Ersetzen von Leerzeichen durch '_' |
| AD-Benutzer-Passwort | Passwort, das mit dem im Feld AD user login ausgefüllten Konto verknüpft ist |
| Name oder IP des AD-Servers | IP-Adresse oder FQDN des Active Directory-Servers. Dieses Feld kann leer sein, wenn der Serverstandort über die DNS-Speicherung vom Typ SRV ermittelt werden kann_ldap._tcp.dc._msdcs.domain(siehe Artikel in Technet) |
| Root des AD-Verzeichnisses | Root der Active Directory-Suche. Wenn leer, werden Suchanfragen mithilfe des Root-DN durchgeführt. Wird verwendet, um die Suche auf einen Unterbereich des Active Directory-Baums zu beschränken |
| AD-Benutzerfilter | Filter für die Suche nach Benutzereinträgen im AD. Die Syntax von LDAP-Filtern kann verwendet werden. Zum Beispiel, um alle Personen anzuzeigen, deren Telefonnummer in der Datenbank eingetragen ist :(&(objectclass=person)(telephoneNumber=\*)) siehe http://ldapbook.labs.libre-entreprise.org/book/html/ch03s02.html Oder alle Konten, die den accountStatus "MAIL" haben und sich nicht im MAILSHARE-Zweig des Verzeichnisses befinden: (&(!(ou:dn:=MAILSHARE))(&(objectClass=posixAccount)(accountStatus=MAIL))) |
| AD-Gruppenfilter | Filter für die Suche nach Einträgen vom Typ Gruppe im AD. Die Syntax von LDAP-Filtern kann verwendet werden. Um beispielsweise nur die Gruppen der Zweige anzuzeigen, deren dn cn=system oder cn=users enthält :(&(objectClass=group)((cn:dn:=System)(cn:dn:=Users))) Oder Gruppen mit der Beschreibung: (&(objectCategory=group)(description=\*)) siehe https://social.technet.microsoft.com/wiki/contents/articles/5392.active-directory-ldap-syntax-filters.aspx#Examples |
| Domain-Segmentierungsgruppe | Dieses Feld darf leer sein. Dieses Feld wird ignoriert, wenn die Funktion Domainsegmentierung nicht für BlueMind konfiguriert ist. E-Mails an Benutzer, die Mitglieder dieser Gruppe sind, werden an einen anderen Mailserver in derselben Domäne (konfiguriert über die Domänensegmentierung) weitergeleitet. |
Konfiguration von Benutzerrollen
Wenn BlueMind so konfiguriert ist, dass es seine Benutzerdatenbank aus einem Active Directory importiert, kontrolliert BlueMind nicht mehr die Regeln für die Passwortverwaltung. BlueMind kann nicht in das Active Directory schreiben und kann daher das Active Directory-Passwort nicht ändern.
Aus diesem Grund ist es notwendig, den aus dem Active Directory importierten Nutzern den Zugriff auf die Benutzeroberfläche zur Passwortänderung (die nur auf das BlueMind-Passwort wirkt) zu entziehen.
Der Zugriff auf die Benutzeroberfläche für die Passwortverwaltung erfolgt über die Rolle: Allgemein → Passwort ändern (siehe Rollen: Zugriffs- und Administrationsrechte)
Rollen und Gruppen
In einer BlueMind-Domäne können Benutzer aus einem Active Directory und lokale BlueMind-Benutzer nebeneinander existieren. Der Zugriff auf die Benutzeroberfläche zur Passwortänderung sollte daher vom Benutzertyp abhängen. Gruppen können verwendet werden, um ihren verschiedenen Benutzertypen unterschiedliche Rollen zuzuweisen.
Siehe die Dokumentation zu Gruppen und Rollen (Bearbeiten und Verwalten einer Gruppe → Rollen).
Verbindungsmethode
Das BlueMind-Plugin für Active Directory legt keine bestimmte Einschränkung oder ein bestimmtes Schema fest. Die folgenden Informationen sind ausreichend:
- Hostname (oder die IP-Adresse) des Active Directory-Servers
- ein "Benutzername"/"Passwort"-Paar auf dem AD-Verzeichnis, das die Herstellung von Verbindungen ermöglicht.
Standardmäßig werden alle Benutzer und Gruppen aus dem Active Directory abgerufen. Filter für die Abfrage eines Teils des Verzeichnisses können durch Einstellung der folgenden Informationen konfiguriert werden:
- Root des Verzeichnisses
- die für die Benutzer- und Gruppensynchronisation zu verwendenden Filter, mit denen die importierten Daten eingeschränkt werden können.
Ein letzter Parameter wird verwendet, um die Domain-Segmentierungsgruppe anzugeben.
Mit dem Tool können Sie direkt prüfen, ob das Verzeichnis erreichbar und der Zugriff richtig konfiguriert ist.
So funktioniert das Synchronisationswerkzeug
Benutzerkonten
Das Plugin für Active Directory arbeitet auf 3 sich ergänzende Arten:
- Globaler Import aller Benutzer
- Inkrementeller Import
- Import in Echtzeit bei Authentifizierung
Der globale Import durchsucht alle Benutzer und Gruppen im Active Directory (unter Berücksichtigung der AD-Root und Filter) und importiert sie in BlueMind. Diejenigen, die nicht vorhanden sind, werden erstellt, die bereits vorhandenen werden ggf. geändert.
Der inkrementelle Import funktioniert auf die gleiche Weise, wobei aber nur nach Benutzern gesucht wird, die seit dem letzten Import geändert wurden.
Der Import sucht bei der Authentifizierung den Benutzer im Active Directory, wenn er in BlueMind nicht bekannt ist; wenn er ihn findet, importiert er ihn und authentifiziert ihn im Active Directory, um ihm sofortigen Zugriff auf BlueMind zu ermöglichen.
Konto-Status
Aus einem Active Directory importierte Konten, die den konfigurierten LDAP-Filter berücksichtigen, werden automatisch aktiviert.
Umgekehrt können sie im Active Directory suspendiert oder gelöscht werden, um sie am Zugriff auf die Mailbox zu hindern. Ein im Active Directory gelöschter Benutzer wird in BlueMind einfach suspendiert.
Geplante Active Directory-Synchronisierung
Inkrementeller Import
Wenn das Active Directory-Plugin installiert ist, erstellt BlueMind eine geplante Aufgabe, um in regelmäßigen Abständen die Benutzer- und Gruppendatenbanken mit dem Active Directory zu synchronisieren.
Der inkrementelle Import verarbeitet nur Daten, die seit dem letzten Import angelegt, gelöscht oder geändert wurden.
Wie im folgenden Bildschirmfoto gezeigt, kann die geplante Aufgabe:
- automatisch sein: aktiviert nach spezifischen Kriterien für die bereits getätigten Importe, mit einer maximalen Häufigkeit von 4 Stunden;
- geplant sein: in einem Cron-Format, das eine beliebige Häufigkeit der Aktivierung erlaubt
- deaktiviert sein: in diesem Fall wird die geplante Aufgabe nicht ausgeführt.
Verfolgung der geplanten Aufgaben
Auf dem Bildschirm zur Verfolgung von geplanten Aufgaben können Sie überprüfen, ob diese korrekt ausgeführt wurden. Der folgende Screenshot zeigt die durchgeführten Synchronisationsaufgaben, ihr Ausführungsdatum und das Ergebnis des Vorgangs:
Active Directory-Mapping - BlueMind
Benutzer-Attribute
Der BlueMind AD-Import basiert zur Ermittlung von Zugehörigkeiten auf member und memberOf und unterstützt daher keine primäre Gruppenverwaltung.
Darüber hinaus ist es nicht ratsam, die primäre Benutzergruppe außer in besonderen Fällen zu ändern.
| BlueMind | Active Directory-Attribut | Hinweis |
|---|---|---|
| Login | sAMAccountName | |
| title* | personalTitle | Anrede Herr, Frau… |
| firstname | givenName | |
| lastname | sn | |
| jobtitel* | title | Positionsbezeichnung: Abteilungsleiter, CIO, etc. |
| Beschreibung | Beschreibung | |
| mail otherMailbox proxyAddresses | Das Active Directory Mail-Attribut wird als Standard-E-Mail-Adresse in BlueMind definiert. Wenn dieses Feld nicht vorhanden oder nicht ausgefüllt ist, wird die Standard-BlueMind-Adresse durch den ersten der in den folgenden Feldern gefundenen Werte definiert (in dieser Reihenfolge): 1. der erste Wert im Feld otherMailbox 2. der Wert im Feld proxyAddresses: a. die erste mit dem Präfix "SMTP:" b. die erste mit dem Präfix "smtp:", wenn es keine E-Mail mit dem Präfix "SMTP:" gibt. Hinweis: Nur Adressen mit dem Präfix "SMTP:" oder "smtp:" werden berücksichtigt (von Microsoftdefinierte Syntax). ⚠️ Wenn keines dieser Felder ausgefüllt ist, hat der Benutzer keinen Posteingang in BlueMind | |
| street | streetAddress | |
| zip | postalCode | |
| town | l | |
| country | co | |
| state | st | |
| Work phones | telephoneNumber otherTelephone | |
| Home phones | homePhone otherHomePhone | |
| Mobile phones | mobile otherMobile | |
| Fax | facsimileTelephoneNumber otherFacsimileTelephoneNumber | |
| Pager | pager otherPager | |
| memberOf | memberOf | Liste der Gruppen, in denen der Benutzer Mitglied ist. Der BlueMind-Benutzer wird nur zu Gruppen hinzugefügt, die bereits importiert wurden |
| service | department | Ab BlueMind v3.0 |
| photoID | thumbnailPhoto | Foto des Benutzers: Der Inhalt dieses Attributs wird als das Foto des entsprechenden Kontos importiert |
| user.value.contactInfos.organizational.org.company | company | |
| user.value.contactInfos.organizational.org.department | department |
Gruppen-Attribute
| BlueMind | Active Directory-Attribut | Hinweis |
|---|---|---|
| name | sAMAccountName | |
| Beschreibung | Beschreibung | |
| mail proxyAdresses | Das Attribut Active Directory mail ist in BlueMind als Standard-E-Mail-Adresse festgelegt. Wenn dieses Feld nicht vorhanden oder nicht ausgefüllt ist, wird die BlueMind-Standardadresse durch den Wert des Feldes proxyAddresses definiert: 1. die erste mit dem Präfix "SMTP: " 2. die erste mit dem Präfix "smtp:", wenn keine E-Mail mit dem Präfix "SMTP:" vorhanden ist. Hinweis: Nur Adressen mit dem Präfix "SMTP:" oder "smtp:" werden berücksichtigt (von Microsoft definierte Syntax). ⚠️ Wenn keines dieser Felder ausgefüllt ist, hat der Benutzer keinen Posteingang in BlueMind | |
| member | member | Nur synchronisierte Gruppen und Benutzer werden zu BlueMind-Gruppenmitgliedern hinzugefügt |
Zuweisung von Rechten
Der Zugriff auf Anwendungen erfolgt über die Verwaltung von Rollen, die den Benutzern zugewiesen werden.
Der AD-Import verwaltet keine Rollen, so dass Benutzer nach dem Import zunächst keine Rollen haben und nicht auf Anwendungen (Webmailer, Kontakte, Kalender) zugreifen können.
Der einfachste und effektivste Weg, dies zu bewerkstelligen, ist über Gruppen:
- in der DA weisen Sie den Benutzern eine gemeinsame Gruppe zu (oder mehrere, falls gewünscht)
- einen 1. Import starten: die Gruppe(n) wird/werden in BlueMind mit den Benutzern importiert
- gehen Sie in die Administration und weisen Sie der Gruppe die gewünschten Rollen zu
Bei den folgenden Importen und Updates werden die Rollen beibehalten.
Danach müssen neue Benutzern nur noch der/den Gruppe(n) zugeordnet werden, um ihnen die gewünschten Rollen zu geben.
Erzwingen oder Korrigieren einer UID
Die UID eines Benutzers kann im Benutzer-Verwaltungsstammsatz in BlueMind ausgefüllt oder korrigiert werden.
Gehen Sie dazu in die Administrationskonsole > Verzeichnisse > Verzeichniseinträge > wählen Sie den Benutzerdatensatz > Registerkarte Wartung: Das Feld ExternalID mit der UID des Benutzers im AD ausfüllen und speichern.
Der ExternalID muss "ad://" vorangestellt werden.
Zum Beispiel:
ad://5d6b50-399a6-1e6f2-d01267d1f-0fbecb