LDAP-Synchronisation
BlueMind ermöglicht den Import von Benutzern und Gruppen aus einem LDAP-Verzeichnis (z.B. OpenLDAP). Der LDAP-Import ist inkrementell (neue Einträge werden hinzugefügt, geänderte Daten werden berücksichtigt). Der LDAP-Import wird pro Domäne konfiguriert und ausgeführt.
Die Passwörter der importierten Nutzer werden dann vom LDAP-Server bestätigt.
Ein neuer Benutzer kann sich bei BlueMind anmelden, auch wenn er noch nicht importiert wurde. Wenn die Authentifizierung erfolgreich ist, wird sein BlueMind-Konto spontan erstellt.
Die BlueMind Benutzer und Gruppen werden aus dem LDAP-Verzeichnis übernommen:
- bei der Installation und Konfiguration, beim Erstimport,
- regelmäßig automatisch über geplante Aufgaben
- und wenn sich ein Nutzer anmeldet, on the fly, wenn er nicht existiert.
Die LDAP-Synchronisierung ist darauf ausgelegt, ein Adressbuchschema vom Typ InetOrgPerson zu verwenden.
Installation
Um die Synchronisierungsfunktionen mit einem LDAP-Verzeichnis nutzen zu können, ist die Installation des ldap-import-Plugins erforderlich.
Verbinde dich dazu mit dem Server und verwende die folgenden Befehle, um die Installation des Plugins zu starten:
- Debian/Ubuntu
- RedHat/CentOS
sudo aptitude update
sudo aptitude install bm-plugin-admin-console-ldap-import bm-plugin-core-ldap-import
yum update
yum install bm-plugin-admin-console-ldap-import bm-plugin-core-ldap-import
Nach Abschluss der Installation starten Sie den bm-core-Komponenten mit dem folgenden Befehl neu:
bmctl restart
Konfiguration
Nur der globale Administrator kann die LDAP-Synchronisation für eine Domäne konfigurieren. Domänenadministratoren können die Einstellungen einsehen und den Importauftrag starten.
- Als globaler Administrator anmelden admin0@global.virt
- Gehen Sie zu Systemverwaltung > Überwachte Domains und wählen Sie die zu konfigurierende Domain aus
- Gehen Sie auf die Registerkarte "LDAP Import".
| Feld | Anmerkung |
|---|---|
| Name oder IP des LDAP-Servers | IP oder FQDN des LDAP-Servers in der Form: ip-oder-fqdn[:port] Wenn der Port nicht angegeben ist, hängt der verwendete Port vom im Feld Protokoll ausgewählten Protokoll ab. |
| Protokoll | Wählen Sie das zu verwendende Protokoll aus: - KLARTEXT, Standardport1: 389 - SSL, Standardport1: 636 - SSL/alle Zertifikate akzeptieren, Standardport1: 636 - TLS, Standardport1: 389 - TLS/alle Zertifikate akzeptieren, Standardport1: 389 1: Der im Feld Name oder IP des LDAP-Servers angegebene Port hat Vorrang. Wenn der Port nicht im Feld Name oder IP des LDAP-Servers angegeben ist, wird der Standardport entsprechend dem im Protokoll angegebenen Protokoll verwendet. |
| Wurzel des Verzeichnisses | Geben Sie die LDAP-Root an (ReadOnly-Zugang ist eine Voraussetzung). |
| DN des Nutzers | DN des root-Benutzers, der zur Anmeldung am LDAP-Server verwendet wird. |
| Passwort | Passwort des Benutzers, der sich mit dem LDAP-Server verbindet. |
| Filter für LDAP-Benutzer | Nur die Benutzer, die dem angewandten Filter entsprechen, werden in BlueMind importiert. Die Syntax der LDAP-Filter wird in RFC 4515 beschrieben. Zum Beispiel : - um alle Personen anzuzeigen, deren Telefonnummer in der Datenbank angegeben ist : (&(objectclass=person)(telephoneNumber=\*))- um alle Konten anzuzeigen, die den accountStatus "MAIL" haben und nicht im MAILSHARE-Zweig des Verzeichnisses sind : (&(!(ou:dn:=MAILSHARE))(&(objectClass=posixAccount)(accountStatus=MAIL))) |
| Filter für LDAP-Gruppen | Nur die Gruppen, die dem angewandten Filter entsprechen, werden in BlueMind importiert. Die Syntax der LDAP-Filter wird in RFC 4515 beschrieben. Zum Beispiel : - um die Gruppen der Zweige anzuzeigen, deren dn cn=system oder cn=users enthält : (&(objectClass=group)((cn:dn:=System)(cn:dn:=Users))) - um Gruppen mit einer Beschreibung anzuzeigen : (&(objectCategory=group)(description=\*)) |
| Externe ID | Ein Attribut, das einer unveränderlichen und eindeutigen LDAP-Eintragsidentifizierung entspricht. Wird verwendet, um eine Verbindung zwischen einem LDAP-Eintrag und einem BlueMind-Eintrag herzustellen. |
| Segmentierungsgruppe des Bereichs | Dieses Feld kann leer sein. Dieses Feld wird ignoriert, wenn die Funktion Domänensegmentierung nicht für BlueMind konfiguriert ist. E-Mails, die an Benutzer gerichtet sind, die Mitglieder dieser Gruppe sind, werden an einen anderen Mailserver in derselben Domäne weitergeleitet (konfiguriert über die Domänensegmentierung). |
| Erfolgreiche letzte Hinrichtung | Datum des letzten Imports, der ohne Fehler durchgeführt wurde. Der inkrementelle Modus des Imports berücksichtigt Änderungen, die seit diesem Datum in LDAP vorgenommen wurden. |
| Status des letzten Imports | Datum und Status der letzten Ausführung des LDAP-Imports. Bei Fehlern geben die Logs der geplanten Aufgabe des LDAP-Imports für diese Domäne weitere Informationen. |
| Start inkrementelle Synchronisation | Erzwingen Sie eine inkrementelle Ausführung des LDAP-Imports. Nur Änderungen, die seit dem Datum der Letzten erfolgreichen Ausführung vorgenommen wurden, werden in LDAP berücksichtigt. Dies entspricht der Ausführung der geplanten Aufgabe des LDAP-Imports für diese Domain. |
| Globale Synchronisation starten | Eine globale Ausführung des LDAP-Imports erzwingen. In diesem Modus wird das Datum der Letzten erfolgreichen Ausführung nicht berücksichtigt. Alle Einträge, die den Importparametern entsprechen, werden verarbeitet. Dieser Vorgang kann je nach Anzahl der zu verarbeitenden LDAP-Einträge sehr lange dauern. |
LDAP Mapping - BlueMind
Attribute der Nutzer
| BlueMind | LDAP-Attribut | Anmerkung |
|---|---|---|
| Login | uid | Bei Import wird ein Mapping (Zeichenersetzung) aus Gründen der Kompatibilität durchgeführt: - Ersatz von Akzentbuchstaben durch den entsprechenden unaccented Buchstaben - Umwandlung in Kleinbuchstaben - Ersetzung von Leerzeichen durch '_' |
| firstname | givenName | |
| lastname | sn | |
| formatedName | displayName | Wenn das Attribut displayName fehlt, wird das Feld von BlueMind durch Verkettung der verschiedenen nicht leeren Teile von Vorname, Nachname, Titel, etc. auf die gleiche Weise wie Vollständiger Name in Kontaktblättern generiert. |
| Beschreibung | Beschreibung | |
| mail mailLocalAddress mailAlternateAddress gosaMailAlternateAddress | Die BlueMind Standardadresse wird durch den ersten der in den folgenden Feldern gefundenen Werte definiert (in dieser Reihenfolge) :
Die folgenden werden als Alias verwendet. ⚠️ Wenn keines dieser Attribute ausgefüllt oder gültig ist, wird eine Adresse der folgenden Form zugewiesen: login@<Standarddomäne> | |
| user mail quota | mailQuotaSize mailQuota gosaMailQuota | Muss in LDAP-Bytes angegeben werden. Das erste gefundene dieser LDAP-Attribute wird verwendet: mailQuotaSize > mailQuota > gosaMailQuota |
| Arbeitstelefone | telephoneNumber | |
| Heimtelefone | homePhone | |
| Mobiltelefone | mobil | |
| Fax | facsimileTelephoneNumber | |
| Pager | Pager | |
| memberOf | memberOf | Liste der Gruppen, in denen der Benutzer Mitglied ist. Der BlueMind-Benutzer kann nur zu bereits importierten LDAP-Gruppen hinzugefügt werden. |
| photoID | jpegPhoto | Benutzerfoto: Der Inhalt dieses Attributs wird als Foto des entsprechenden Kontos importiert. |
| user.value.contactInfos.organizational.title | title | |
| user.value.contactInfos.organizational.org.company | o | |
| user.value.contactInfos.organizational.org.division | oder | |
| user.value.contactInfos.organizational.org.department | departmentNumber | |
| address.locality | l | |
| address.postalCode | postalCode | |
| address.countryName | st | |
| address.streetAddress | postalAddress | |
| address.postOfficeBox | postOfficeBox |
Attribute der Gruppen
| BlueMind | LDAP-Attribut | Anmerkung |
|---|---|---|
| Name | cn | |
| Beschreibung | Beschreibung | |
| Wenn dieses Feld nicht ausgefüllt ist, wird die Gruppe keine Nachrichten in BlueMind erhalten. | ||
| Mitglied | memberUid (Unix-Methode) | Die Gruppe im Verzeichnis enthält so viele memberUid-Attribute wie sie Mitglieder hat. Im Gegensatz zum Attribut member in AD-Verzeichnissen enthält es die Unix-UID des Benutzers. Mit diesem Betriebsmodus ist memberOf nicht möglich.Nur Benutzer und Gruppen, die bereits in BlueMind importiert wurden, werden zu den Gruppenmitgliedern hinzugefügt. |
| Mitglied | member (Methode von Active Directory-Synchronisation) | Die Gruppe im Verzeichnis enthält so viele member-Attribute wie sie Mitglieder hat. Optional kann das Verzeichnis die memberOf-Informationen bereitstellen. Dieses Attribut ist im Benutzer enthalten und verweist auf alle Gruppen, in denen er Mitglied ist.Nur synchronisierte Gruppen und Benutzer werden zu den Mitgliedern der BlueMind-Gruppe hinzugefügt. |
Beide Methoden der Gruppenverwaltung (Active Directory oder Unix) können gleichermaßen verwendet werden, aber immer nur eine zur Zeit:
- oder durch Verwendung des Attributs
member(undmemberOf, falls verfügbar). - oder durch Verwendung des
memberUid-Attributs
Wenn das Verzeichnis beides verwendet, wird die Synchronisation nicht richtig durchgeführt.
Zuweisung von Rechten
Der Zugriff auf Anwendungen erfolgt über die Rollenverwaltung, die den Benutzern zugewiesen sind. Der LDAP-Import verwaltet keine Rollen, so dass die Nutzer nach dem Import keine Rollen haben und nicht auf Anwendungen (Webmail, Kontakte, Kalender) zugreifen können.
Der einfachste und effektivste Weg, dies zu tun, ist über die Gruppen:
- In ldap weisen Sie den Nutzern eine gemeinsame Gruppe zu (oder mehrere, falls gewünscht).
- Einen ersten Import starten: Die Gruppe(n) wird/werden zusammen mit den Benutzern in BlueMind importiert.
- Gehe zur Verwaltung und weise die gewünschten Rollen der Gruppe zu
Bei nachfolgenden Importen und Updates werden die Rollen beibehalten.
Neue Nutzer können dann einfach dieser Gruppe zugeordnet werden, um ihnen die gewünschten Rollen zuzuweisen.
Bei der Veröffentlichung neuer Versionen wird BlueMind regelmäßig neue Rollen einführen, insbesondere um bestehende Funktionen zu verwalten. In BlueMind Version 3.5.9 beispielsweise kann der Administrator die Möglichkeit aktivieren oder deaktivieren, sich über eine neue Rolle mit Thunderbird zu verbinden. Bis zu dieser Version hatten alle Nutzer diese Möglichkeit.
Um sicherzustellen, dass beim Update das neue Recht bei den bereits vorhandenen Nutzern aktiviert wird, sollten Sie die Gruppe(n), in die Sie die Nutzer aus dem LDAP gesetzt haben, als Standardgruppe(n) festlegen.
Gehen Sie dazu auf die Verwaltungsseite der Gruppe, aktivieren Sie das entsprechende Kontrollkästchen und speichern Sie die Seite:
Erzwingen oder korrigieren Sie eine UID
Die UID eines Benutzers kann auf dem Verwaltungsblatt des Benutzers in BlueMind eingegeben oder korrigiert werden.
Dazu gehen Sie zur Administrationskonsole > Verzeichnisse > Verzeichniseinträge > wählen Sie den Benutzerdatensatz > Register Wartung: Tragen Sie die externe ID mit der Benutzer-UID im LDAP ein und speichern Sie.
Die Benutzerinformationen werden mit dem LDAP-Verzeichnis bei der nächsten Ausführung der Aufgabe ImportLDAPJob synchronisiert.
Die ExternalID muss mit dem Präfix "ldap:" versehen sein Zum Beispiel :
ldap://5d6b50-399a6-1e6f2-d01267d1f-0fbecb