Active Directory-Synchronisation
Das BlueMind Professional Abonnement ermöglicht den Zugang zu Werkzeugen, die die Integration von BlueMind in das Informationssystem erleichtern.
Dieser Abschnitt beschreibt die Funktionen, die das Modul für den Zugriff auf ein Active Directory bietet.
Umfang des Active Directory
Die Verwaltungskonsole von BlueMind ermöglicht es Ihnen, Benutzer, Gruppen und andere Einheiten direkt in BlueMind zu erstellen und zu verwalten.
In einem Informationssystem gibt es jedoch oft ein zentrales Verzeichnis, wie LDAP oder Active Directory, auf das man sich am besten stützt, um Benutzer und Gruppen zentral zu verwalten. In diesem Fall kann die Benutzerverwaltung an ein Active Directory delegiert werden und die Erstellung von Konten durch regelmäßige Synchronisation automatisiert werden.
Die Active Directory-Synchronisation ermöglicht BlueMind :
- seine Benutzer- und Gruppenbasis aus dem Verzeichnis in regelmäßigen Abständen auf transparente Weise zu importieren.
- die BlueMind-Benutzer direkt bei Active Directory zu authentifizieren.
Dieses Tool vermeidet die Verwaltung einer Benutzerdatenbank in BlueMind und die Probleme mit der Vervielfältigung von Passwörtern. Das Kennwort wird zentral im AD-Verzeichnis gespeichert und ist BlueMind weder bekannt noch wird es importiert.
Authentifizierung im Active Directory
Für Benutzer, die aus dem Verzeichnis importiert werden, erfolgt die Authentifizierung bei diesem Verzeichnis, da die BlueMind-Datenbank keine Passwörter aus dem Active Directory hat.
Funktionsprinzip
BlueMind ermöglicht den Import und die Verwendung von Benutzern und Gruppen aus einem Active Directory System.
Der Import von Active Directory wird für jede Domäne auf der BlueMind Seite inkrementell durchgeführt.
Die Passwörter der importierten Nutzer werden direkt mit dem Active Directory validiert. BlueMind speichert keine Kennwörter.
Ein neuer Benutzer kann sich mit einem BlueMind Server verbinden, auch wenn dieser noch nicht importiert wurde. Sein BlueMind-Konto wird automatisch erstellt, wenn der Authentifizierungsprozess erfolgreich war.
Die Bereitstellung (Erstellung oder Änderung) eines Benutzers oder einer Gruppe aus dem Active Directory in BlueMind findet daher statt :
- bei der Konfiguration des Servers mit dem anfänglichen Import
- regelmäßig im Laufe eines Tages über geplante Aufgaben
- oder wenn ein Nutzer sich automatisch im laufenden Betrieb anmeldet.
Installation
Um auf die Synchronisierungsfunktionen mit einem AD-Verzeichnis zuzugreifen, muss das Plugin ad-import installiert werden.
Verbinde dich dazu mit dem Server und verwende die folgenden Befehle, um die Installation des Plugins zu starten:
- Debian/Ubuntu
- RedHat/CentOS
sudo aptitude update
sudo aptitude install bm-plugin-admin-console-ad-import bm-plugin-core-ad-import
yum update
yum install bm-plugin-admin-console-ad-import bm-plugin-core-ad-import
Nach Abschluss der Installation starten Sie den bm-core-Komponenten mit dem folgenden Befehl neu:
bmctl restart
Konfiguration
Um die Active Directory-Verbindung zu konfigurieren :
-
Melden Sie sich auf dem BlueMind Zielserver als globaler Administrator admin0 an.
-
Gehe zu Systemverwaltung > Überwachte Domänen > wähle die Domäne > Registerkarte AD-Import:
-
Aktivieren Sie das Kontrollkästchen "AD-Import aktivieren".
-
Füllen Sie die angeforderten Informationen mit den Active Directory-Einstellungen aus:
| Angeforderte Parameter | Active Directory-Wert |
|---|---|
| AD-Benutzername | Login, das verwendet wird, um Anfragen an den Active Directory Server zu stellen. Es ist möglich, ein beliebiges Benutzerkonto mit Leserechten für den Active Directory-Baum in nur-Lese-Modus zu verwenden. Der Login hat das Format login@DOMAIN z. B. admin@ad-domain.ltd |
| Kennwort des AD-Benutzers | Passwort, das dem Konto im Feld AD-Benutzeranmeldung zugeordnet ist |
| Name oder IP des AD-Servers | IP-Adresse oder FQDN des Active Directory-Servers. TLS wird vorrangig verwendet, wenn das Verzeichnis dies zulässt. Dieses Feld kann leer sein, wenn es möglich ist, den Standort des Servers unter Verwendung des DNS-Eintrags vom Typ SRV zu bestimmen. _ldap._tcp.dc._msdcs.DOMAIN z.B. `` _ldap._tcp.dc._msdcs.ad-domain.tld`Weitere Informationen über den DNS-Eintrag finden Sie im Artikel von Microsoft: How DNS Support for Active Directory Works |
| Wurzel des AD-Verzeichnisses | Wurzel für die Active Directory-Suche. Wenn leer, werden Suchanfragen unter Verwendung des Wurzel-DN durchgeführt. Wird verwendet, um die Suche auf einen Teilbereich des Active Directory-Baums zu beschränken. |
| Filter für AD-Benutzer1. | Filter für die Suche nach Benutzereinträgen im AD. Nur die Nutzer, die dem angewandten Filter entsprechen, werden importiert. Die LDAP-Syntax der Filter, beschrieben in RFC 4515, kann verwendet werden. |
| Filter für AD1-Gruppen | Filter für die Suche nach Gruppeneinträgen im AD. Es werden nur die Gruppen importiert, die dem angewandten Filter entsprechen. Die LDAP-Syntax der Filter, beschrieben in RFC 4515, kann verwendet werden. |
| Segmentierungsgruppe des Bereichs | Dieses Feld kann leer sein. Dieses Feld wird ignoriert, wenn die Funktion Domänensegmentierung nicht für BlueMind konfiguriert ist. E-Mails, die an Benutzer gerichtet sind, die Mitglieder dieser Gruppe sind, werden an einen anderen Mailserver in derselben Domäne weitergeleitet (konfiguriert über die Domänensegmentierung). |
| Änderung des AD-Passworts zulassen | Erlaubt es den Benutzern, ihr AD-Kennwort von BlueMind aus zu ändern. Es gilt die in AD definierte Kennwortschrift. ⚠️ Der Benutzer muss in AD das Recht "Änderung des AD-Kennworts zulassen" haben und auf der BlueMind-Seite die Rolle "Kennwort ändern" haben (siehe Rollen: Zugriffs- und Verwaltungsrechte). |
| Erfolgreiche letzte Hinrichtung | Datum des letzten Imports, der ohne Fehler durchgeführt wurde. Der inkrementelle Modus des Imports berücksichtigt die Änderungen, die seit diesem Datum in AD vorgenommen wurden. |
| Status des letzten Imports | Datum und Status der letzten Ausführung des AD-Imports. Im Fehlerfall enthalten die Protokolle der geplanten Aufgabe des AD-Imports für diese Domäne weitere Informationen. |
| Start inkrementelle Synchronisation | Erzwingen Sie eine inkrementelle Ausführung des AD-Imports. Es werden nur Änderungen berücksichtigt, die seit dem Datum der letzten erfolgreichen Ausführung in AD durchgeführt wurden. Dies entspricht der Ausführung der geplanten Aufgabe des AD-Imports für diese Domäne. |
| Globale Synchronisation starten | Erzwingen Sie eine globale Ausführung des AD-Imports. In diesem Modus wird das Datum der letzten erfolgreichen Ausführung nicht berücksichtigt. Alle Einträge, die den Parametern des Imports entsprechen, werden verarbeitet. Dieser Vorgang kann je nach Anzahl der zu verarbeitenden AD-Einträge sehr lange dauern. |
Verbindungsmethode
Das BlueMind Plugin für Active Directory stellt keine besonderen Anforderungen oder Schemata. Geben Sie einfach die folgenden Informationen an:
- den Hostnamen (oder die IP-Adresse) des Active Directory Servers
- ein "Benutzername"/"Passwort"-Paar im AD-Verzeichnis, um Verbindungen herzustellen.
Standardmäßig werden alle Benutzer und Gruppen aus dem Active Directory abgerufen. Filter für die Abfrage eines Teils des Verzeichnisses können konfiguriert werden, indem die folgenden Informationen konfiguriert werden:
- die Wurzel des Verzeichnisses
- Filter, die bei der Synchronisation von Benutzern und Gruppen verwendet werden sollen, um die importierten Daten einzuschränken.
Ein letzter Parameter ermöglicht es Ihnen, die Segmentierungsgruppe der Domain anzugeben.
Das Tool ermöglicht eine direkte Überprüfung, ob das Verzeichnis zugänglich ist und der Zugang richtig konfiguriert ist.
Funktionsweise des Synchronisations-Tools
Benutzerkonten
Das Plugin für Active Directory funktioniert auf drei komplementäre Arten:
- globaler Import aller Nutzer
- inkrementeller Import
- Echtzeit-Import zur Authentifizierung
Der globale Import durchsucht alle Benutzer und Gruppen des Active Directory (unter Berücksichtigung des AD Roots und der Filter) und importiert sie in BlueMind. Diejenigen, die nicht existieren, werden erstellt und diejenigen, die bereits existierten, werden bei Bedarf geändert.
Der inkrementelle Import funktioniert auf die gleiche Weise, aber es werden nur die seit dem letzten Import geänderten Benutzer durchsucht.
Wenn er ihn findet, importiert er ihn und authentifiziert ihn im Active Directory, um ihm sofortigen Zugriff auf BlueMind zu ermöglichen.
Status eines Kontos
Konten, die aus einem Active Directory importiert wurden und den konfigurierten LDAP-Filter erfüllen, werden automatisch aktiviert.
Umgekehrt können sie im Active Directory suspendiert oder gelöscht werden, so dass sie keinen Zugriff auf die E-Mails haben. Ein im Active Directory gelöschter Benutzer wird in BlueMind einfach suspendiert.
Geplante Active Directory-Synchronisation
Inkrementaler Import
Bei der Installation des Plugins Active Directory erstellt BlueMind eine geplante Aufgabe, deren Zweck es ist, die Benutzer- und Gruppendatenbanken regelmäßig mit dem Active Directory zu synchronisieren.
Der inkrementelle Import verarbeitet nur Daten, die seit dem letzten Import erstellt, gelöscht oder geändert wurden.
Wie im folgenden Screenshot gezeigt, kann die geplante Aufgabe :
- automatisch: aktiviert nach den Kriterien der bereits durchgeführten Importe, mit einer maximalen Frequenz von 4 Stunden;
- geplant in einem Cron-Format, so dass jede beliebige Aktivierungsfrequenz möglich ist.
- deaktiviert: In diesem Fall wird die geplante Aufgabe nicht ausgeführt.
Verfolgung von geplanten Aufgaben
Das Dashboard für geplante Aufgaben ermöglicht die Überprüfung der ordnungsgemäßen Ausführung derselben. Der folgende Screenshot zeigt die durchgeführten Synchronisierungsaufgaben, ihr Ausführungsdatum und das Ergebnis der Operation:
Mapping Active Directory - BlueMind
Attribute der Nutzer
Das AD BlueMind-Import basiert auf member und memberOf, um Zugehörigkeiten zu bestimmen, unterstützt jedoch nicht die Verwaltung der primären Gruppe.
Andererseits scheint es nicht empfehlenswert zu sein, die primäre Benutzergruppe zu ändern, es sei denn, dies ist für einen besonderen Zweck erforderlich.
| BlueMind | Active Directory Attribut | Anmerkung |
|---|---|---|
| Login | sAMAccountName | Bei Import wird ein Mapping (Zeichenersetzung) aus Gründen der Kompatibilität durchgeführt: - Ersatz von Akzentbuchstaben durch den entsprechenden unaccented Buchstaben - Umwandlung in Kleinbuchstaben - Ersetzung von Leerzeichen durch '_' |
| title* | personalTitle | Anrede: Herr, Frau, Fräulein... |
| firstname | givenName | |
| lastname | sn | |
| formatedName | displayName | Wenn das Attribut displayName fehlt, wird das Feld von BlueMind durch Verkettung der verschiedenen nicht leeren Teile von Vorname, Nachname, Titel, etc. auf die gleiche Weise wie Vollständiger Name in Kontaktblättern generiert. |
| jobtitle* | title | Berufsbezeichnung: Abteilungsleiter, CIO, etc. |
| Beschreibung | Beschreibung | |
| mail otherMailbox proxyAddresses | Die BlueMind Standardadresse wird durch den ersten der in den folgenden Feldern gefundenen Werte definiert (in dieser Reihenfolge) :
Die folgenden werden als Alias verwendet. NB: Nur Adressen mit dem Präfix "SMTP:" oder "smtp:" werden berücksichtigt (Syntax definiert von Microsoft). ⚠️ Wenn keines dieser Attribute ausgefüllt oder gültig ist, wird eine Adresse der Form: login@<Standarddomäne>zugewiesen. | |
| Straße | streetAddress | |
| zip | postalCode | |
| Stadt | l | |
| Country | co | |
| state | st | |
| Arbeitstelefone | telephoneNumber otherTelephone | |
| Heimtelefone | homePhone otherHomePhone | |
| Mobiltelefone | mobile otherMobile | |
| Fax | facsimileTelephoneNumber otherFacsimileTelephoneNumber | |
| Pager | pager otherPager | |
| memberOf | memberOf | Liste der Gruppen, in denen der Nutzer Mitglied ist. Der Benutzer BlueMind wird nur zu bereits importierten Gruppen hinzugefügt. |
| Dienst | department | |
| photoID | thumbnailPhoto | Benutzerfoto: Der Inhalt dieses Attributs wird als Foto des entsprechenden Kontos importiert. |
| user.value.contactInfos. organizational.org.company | Unternehmen | |
| user.value.contactInfos. organizational.org.department | department |
Attribute der Gruppen
| BlueMind | Active Directory Attribut | Anmerkung |
|---|---|---|
| Name | sAMAccountName | |
| Beschreibung | Beschreibung | |
| mail proxyAdresses | Die BlueMind Standardadresse wird durch den ersten der in den folgenden Feldern gefundenen Werte definiert (in dieser Reihenfolge) :
⚠️ Wenn keines dieser Felder ausgefüllt ist, wird die Gruppe keine Mailbox in BlueMind haben. otherMailbox existiert nicht für Gruppen. Die Lösung für das Hinzufügen von Alias-Nachrichten zu einer Gruppe ist, lokale Gruppen zu verwenden oder so viele Gruppen wie nötig im AD zu erstellen, jede mit einem Alias und dann die gewünschten Gruppen und/oder Nutzer als Mitglieder hinzuzufügen. | |
| Mitglied | Mitglied | Nur synchronisierte Gruppen und Benutzer werden zu den Mitgliedern der Gruppe BlueMind hinzugefügt. |
Zuweisung von Rechten
Der Zugriff auf Anwendungen erfolgt über die Verwaltung von Rollen, die den Benutzern zugewiesen sind.
Der AD-Import verwaltet keine Rollen, so dass die Nutzer nach dem Import keine Rollen haben und nicht auf Anwendungen (Webmail, Kontakte, Kalender) zugreifen können.
Der einfachste und effektivste Weg, dies zu tun, ist über die Gruppen:
- im AD den Nutzern eine gemeinsame Gruppe zuweisen (oder mehrere, falls gewünscht)
- Einen ersten Import starten: Die Gruppe(n) wird/werden zusammen mit den Benutzern in BlueMind importiert.
- Gehen Sie zur Verwaltung und weisen Sie die gewünschten Rollen der Gruppe zu
Bei nachfolgenden Importen und Updates werden die Rollen beibehalten.
Neue Nutzer können dann einfach dieser Gruppe zugeordnet werden, um ihnen die gewünschten Rollen zuzuweisen.
Erzwingen oder korrigieren Sie eine UID
Die UID eines Benutzers kann auf dem Verwaltungsblatt des Benutzers in BlueMind eingegeben oder korrigiert werden.
Gehen Sie dazu im Verwaltungsbereich > Verzeichnisse > Verzeichniseinträge > wählen Sie den Benutzerdatensatz aus > Tab Wartung: Tragen Sie das Feld ExternalID mit der Benutzer-UID im AD ein und speichern Sie dann.
Die Benutzerinformationen werden mit dem Active Directory beim nächsten Ausführen der Aufgabe ImportADJob synchronisiert.
Die ExternalID muss mit dem Präfix "ad://" versehen sein.
Zum Beispiel :
ad://5d6b50-399a6-1e6f2-d01267d1f-0fbecb
Footnotes
-
Filter: Weitere Informationen zu Gruppen- und Benutzerfiltern finden Sie in :
- Microsoft Artikel: LDAP Syntax Filters
- die Beispiele für LDAP Gruppen- und Benutzerfilter auf der Seite LDAP-Synchronisation > Konfiguration*. ↩ ↩2