Active Directory-Synchronisation

Das BlueMind Professional Abonnement ermöglicht den Zugriff auf Werkzeuge, die die Integration von BlueMind in ein Informationssystem erleichtern.

Während die Verwaltungskonsole das Erstellen und Verwalten von Entitäten direkt in BlueMind ermöglicht, verfügen Informationssysteme oft über ein zentrales Verzeichnis vom Typ LDAP oder Active Directory, auf das man sich am besten stützt.

Dieser Abschnitt beschreibt den Betrieb und die Einrichtung des Moduls für den Zugriff auf ein Verzeichnis Active Directory.

Die Funktionsweise des Tools

Die Funktionen

Mit dem Plugin Active Directorywird die Benutzerverwaltung an ein Verzeichnis Active Directory delegiert, und die Erstellung von Konten wird durch die Synchronisierung mit BlueMind automatisiert.

Diese Synchronisation ermöglicht :

Import der Benutzer- und Gruppendatenbank aus dem Verzeichnis:
BlueMind importiert und ermöglicht die Verwendung von Benutzern und Gruppen aus einem System Active Directory. Der Import wird für jede Domäne auf der BlueMind Seite inkrementell durchgeführt.
Authentifizierung der BlueMind-Benutzer:
Wenn Art der Authentifizierung der Domäne als interne Authentifizierung konfiguriert ist und die Synchronisierung Active Directory aktiviert ist, dann erfolgt die Authentifizierung der aus dem Verzeichnis importierten Benutzer über das Verzeichnis Active Directory. Die Passwörter der importierten Benutzer werden dann auf dem Server Active Directory validiert. BlueMind speichert keine Kennwörter.
Verbindung neuer Benutzer:
Ein neuer Benutzer kann sich mit einem BlueMind Server verbinden, auch wenn er noch nicht importiert wurde. Sein BlueMind-Konto wird automatisch erstellt, wenn der Authentifizierungsprozess erfolgreich war.

Dieses Tool vermeidet die Verwaltung einer Benutzerdatenbank in BlueMind und die Probleme mit der Vervielfältigung von Passwörtern. Das Kennwort wird zentral im Verzeichnis Active Directory gespeichert und ist BlueMind weder bekannt noch wird es von BlueMind importiert.

Prinzipien der Synchronisation

Die Bereitstellung (Erstellung oder Änderung) eines Benutzers oder einer Gruppe von Active Directory zu BlueMind erfolgt über :

bei der Konfiguration des Servers mit dem anfänglichen Import
regelmäßig im Laufe eines Tages über geplante Aufgaben
oder wenn ein Nutzer sich automatisch im laufenden Betrieb anmeldet.

Um dies zu erreichen, arbeitet das Plugin Active Directory auf drei komplementäre Weisen:

Globaler Import
Durchsucht alle Benutzer und Gruppen von Active Directory (unter Berücksichtigung des Stammverzeichnisses und der Filter) und importiert sie in BlueMind. Diejenigen, die nicht existieren, werden erstellt und diejenigen, die bereits existierten, werden bei Bedarf geändert.
Der globale Modus wird bei der ersten Ausführung automatisch ausgeführt, wenn der erste Import durchgeführt wird. Danach wird sie nur noch durch Klicken auf die Schaltfläche "Globale Synchronisation starten" in der Administrationskonsole (siehe Abschnitt "Konfiguration" weiter unten) ausgelöst.

⚠️ Je nach Anzahl der Einträge im Telefonbuch kann die gesamte Synchronisierung sehr lange dauern. Diese Aktion sollte nur in Ausnahmefällen eingeleitet werden.
Inkrementeller Import
Durchsucht nur die geänderten Benutzer seit dem letzten fehlerfreien Import. Nur Daten, die seit dem Datum des letzten erfolgreichen Imports in Active Directory erstellt, gelöscht oder geändert wurden, werden in BlueMind importiert.
Der inkrementelle Modus wird automatisch und regelmäßig über den geplanten Task ausgeführt. ImportADJobDiese wird bei der Installation des Plugins erstellt. Weitere Informationen über die Verwaltung von geplanten Aufgaben finden Sie unter auf der Seite Planung von Aufgaben.

💡 Mit diesem System wird die Synchronisation optimiert.
Echtzeit-Import
Sucht nach dem Benutzer in Active Directory , wenn er in BlueMind nicht bekannt ist; wenn er ihn findet, importiert er ihn und authentifiziert ihn auf Active Directory , um ihm sofortigen Zugang zu BlueMind zu gewähren.

Installation

Um auf die Synchronisierungsfunktionen mit einem AD-Verzeichnis zuzugreifen, muss das Plugin ad-import installiert werden.

Verbinde dich dazu mit dem Server und verwende die folgenden Befehle, um die Installation des Plugins zu starten:

Debian/Ubuntu
RedHat/CentOS

sudo aptitude update
sudo aptitude install bm-plugin-admin-console-ad-import bm-plugin-core-ad-import

yum update
yum install bm-plugin-admin-console-ad-import bm-plugin-core-ad-import

Nach Abschluss der Installation starten Sie den bm-core-Komponenten mit dem folgenden Befehl neu:

bmctl restart

Konfiguration

Nur der globale Administrator kann die Active Directory-Synchronisation für eine Domäne konfigurieren.

Domänenadministratoren können die Einstellungen einsehen und die Importaufgabe ImportADJob in Planung von Aufgaben starten.

Um die Active Directory-Verbindung zu konfigurieren :

Als globaler Administrator anmelden admin0@global.virt
Gehen Sie zu Systemverwaltung > Überwachte Domänen > wählen Sie die Domäne > Registerkarte AD-Import:
Aktivieren Sie das Kontrollkästchen "AD-Import aktivieren".

Füllen Sie die angeforderten Informationen mit den Active Directory-Einstellungen aus:

Angeforderte Parameter	Active Directory-Wert
AD-Benutzername	Login, das verwendet wird, um Anfragen an den Active Directory Server zu stellen. Sie können jedes Benutzerkonto verwenden, das die Rechte hat, den Active Directory-Baum im schreibgeschützten Modus zu durchlaufen. Der Login hat die Form `login@DOMAIN`, z.B. `admin@ad-domain.ltd`.
Kennwort des AD-Benutzers	Passwort, das dem Konto im Feld AD-Benutzeranmeldung zugeordnet ist
Name oder IP des AD-Servers	IP-Adresse oder FQDN des Active Directory-Servers. Das TLS-Protokoll wird vorrangig verwendet, wenn das Verzeichnis dies zulässt. Dieses Feld kann leer sein, wenn es möglich ist, den Standort des Servers unter Verwendung des DNS-Eintrags vom Typ SRV zu bestimmen. `_ldap._tcp.dc._msdcs.DOMAIN` zum Beispiel `_ldap._tcp.dc._msdcs.ad-domain.tld` Weitere Informationen zum DNS-Eintrag finden Sie im Artikel von Microsoft: How DNS Support for Active Directory Works
Wurzel des AD-Verzeichnisses	Wurzel für die Active Directory-Suche. Wenn leer, werden Suchanfragen unter Verwendung des Wurzel-DN durchgeführt. Wird verwendet, um die Suche auf einen Teilbereich des Active Directory-Baums zu beschränken.
Filter für AD-Benutzer¹.	Filter für die Suche nach Benutzereinträgen im AD. Nur die Nutzer, die dem angewandten Filter entsprechen, werden importiert. Die LDAP-Syntax der Filter, beschrieben in RFC 4515, kann verwendet werden.
Filter für AD¹-Gruppen	Filter für die Suche nach Gruppeneinträgen im AD. Es werden nur die Gruppen importiert, die dem angewandten Filter entsprechen. Die LDAP-Syntax der Filter, beschrieben in RFC 4515, kann verwendet werden.
Segmentierungsgruppe des Bereichs	Dieses Feld kann leer sein. Dieses Feld wird ignoriert, wenn die Funktion zur Segmentierung von Domänen nicht für BlueMind konfiguriert ist. E-Mails, die an Benutzer gerichtet sind, die Mitglieder dieser Gruppe sind, werden an einen anderen Mailserver in derselben Domäne (konfiguriert über die Domänensegmentierung) weitergeleitet.
Änderung des AD-Passworts zulassen	Erlaubt es den Benutzern, ihr AD-Kennwort von BlueMind aus zu ändern. Es gilt die in AD definierte Passwortschrift. ⚠️ Der Benutzer muss in AD das Recht "Änderung des AD-Kennworts zulassen" haben und auf der BlueMind-Seite die Rolle "Kennwort ändern" haben (siehe Rollen: Zugriffs- und Verwaltungsrechte).
Erfolgreiche letzte Hinrichtung	Datum des letzten Imports, der ohne Fehler durchgeführt wurde. Der inkrementelle Modus des Imports berücksichtigt die Änderungen, die seit diesem Datum in AD vorgenommen wurden.
Status des letzten Imports	Datum und Status der letzten Ausführung des AD-Imports. Im Falle von Fehlern geben die Protokolle der geplanten Aufgabe des AD-Imports dieser Domäne weitere Informationen in Planung von Aufgaben
Start inkrementelle Synchronisation	Erzwingt die Ausführung des AD-Imports im inkrementellen Modus. Nur die Änderungen, die seit dem Datum der Letzten erfolgreichen Ausführung vorgenommen wurden, werden in AD berücksichtigt. Dies entspricht der Ausführung der geplanten AD-Importaufgabe für diese Domäne, die Sie unter Planung von Aufgaben
Globale Synchronisation starten	Erzwingen Sie eine Ausführung des AD-Imports im globalen Modus. In diesem Modus wird das Datum der Letzten erfolgreichen Ausführung nicht berücksichtigt. Alle Eingaben, die den Parametern des Imports entsprechen, werden verarbeitet. Dies kann je nach Anzahl der zu verarbeitenden AD-Einträge lange dauern.

Verbindungsmethode

Das BlueMind Plugin für Active Directory stellt keine besonderen Anforderungen oder Schemata. Geben Sie einfach die folgenden Informationen an:

den Hostnamen (oder die IP-Adresse) des Active Directory Servers
ein "Benutzername"/"Passwort"-Paar im AD-Verzeichnis, um Verbindungen herzustellen

Standardmäßig werden alle Benutzer und Gruppen von Active Directory abgerufen. Filter für die Abfrage eines Teils des Verzeichnisses können mit den folgenden Informationen konfiguriert werden:

die Wurzel des Verzeichnisses
Filter, die bei der Synchronisation von Benutzern und Gruppen verwendet werden sollen, um die importierten Daten einzuschränken

Ein letzter Parameter ermöglicht es Ihnen, die Segmentierungsgruppe der Domain anzugeben.

Testen Sie die Verbindung

Über die Schaltfläche "Verbindung testen" können Sie direkt überprüfen, ob das Verzeichnis zugänglich ist und der Zugang richtig konfiguriert ist.

Aus Sicherheitsgründen müssen Sie das Passwort für den Zugang zum Verzeichnis Active Directory vor jedem Verbindungstest ausfüllen, auch wenn es bereits zuvor ausgefüllt und gespeichert wurde.

Mapping Active Directory - BlueMind

Attribute der Nutzer

Primäre Gruppe

Das AD BlueMind-Import basiert auf member und memberOf, um Zugehörigkeiten zu bestimmen, unterstützt jedoch nicht die Verwaltung der primären Gruppe.

Andererseits scheint es nicht empfehlenswert zu sein, die primäre Benutzergruppe zu ändern, es sei denn, dies ist für einen besonderen Zweck erforderlich.

BlueMind	Active Directory Attribut	Anmerkung
Login	sAMAccountName	Bei Import wird ein Mapping (Zeichenersetzung) aus Gründen der Kompatibilität durchgeführt: - Ersatz von Akzentbuchstaben durch den entsprechenden unaccented Buchstaben - Umwandlung in Kleinbuchstaben - Ersetzung von Leerzeichen durch '_'
title	personalTitle	Anrede: Herr, Frau, Fräulein...
firstname	givenName
lastname	sn
formatedName	displayName	Wenn das Attribut `displayName` fehlt, wird das Feld von BlueMind durch Verkettung der verschiedenen nicht leeren Teile von Vorname, Nachname, Titel, etc. auf die gleiche Weise wie Vollständiger Name in Kontaktblättern generiert.
jobtitle	title	Berufsbezeichnung: Abteilungsleiter, CIO, etc.
Beschreibung	Beschreibung
Mail	mail otherMailbox proxyAddresses	Die BlueMind Standardadresse wird durch den ersten der in den folgenden Feldern gefundenen Werte definiert (in dieser Reihenfolge) : `mail`. der erste Wert im Feld `otherMailbox`. `proxyAddresses` nach den folgenden Regeln: der erste mit dem Präfix "SMTP:". wenn keine Adresse mit dem Präfix "SMTP:" vorhanden ist, die erste mit dem Präfix "smtp:". Die folgenden werden als Alias verwendet. NB: Nur Adressen mit dem Präfix "SMTP:" oder "smtp:" werden berücksichtigt (Syntax definiert von Microsoft). ⚠️ Wenn keines dieser Attribute ausgefüllt oder gültig ist, wird eine Adresse der folgenden Form zugewiesen: login@<Standarddomäne>
Straße	streetAddress
zip	postalCode
Stadt	l
Country	co
state	st
Arbeitstelefone	telephoneNumber otherTelephone
Heimtelefone	homePhone otherHomePhone
Mobiltelefone	mobile otherMobile
Fax	facsimileTelephoneNumber otherFacsimileTelephoneNumber
Pager	pager otherPager
memberOf	memberOf	Liste der Gruppen, in denen der Nutzer Mitglied ist. Der Benutzer BlueMind wird nur zu bereits importierten Gruppen hinzugefügt.
Dienst	department
photoID	thumbnailPhoto	Benutzerfoto: Der Inhalt dieses Attributs wird als Foto des entsprechenden Kontos importiert.
user.value.contactInfos. organizational.org.company	Unternehmen
user.value.contactInfos. organizational.org.department	department

Attribute der Gruppen

BlueMind	Active Directory Attribut	Anmerkung
Name	sAMAccountName
Beschreibung	Beschreibung
Mail	mail proxyAdresses	Die BlueMind Standardadresse wird durch den ersten der in den folgenden Feldern gefundenen Werte definiert (in dieser Reihenfolge) : `mail`. `proxyAddresses`, nach den folgenden Regeln: der erste mit dem Präfix "SMTP:". wenn keine Adresse mit dem Präfix "SMTP:", die erste mit dem Präfix "smtp:". NB: Nur Adressen mit dem Präfix "SMTP:" oder "smtp:" werden berücksichtigt (Syntax definiert von Microsoft). ⚠️ Wenn keines dieser Felder ausgefüllt ist, hat die Gruppe keine Mailbox in BlueMind. `otherMailbox` existiert nicht für Gruppen. Die Lösung für das Hinzufügen von Alias-Nachrichten zu einer Gruppe ist, lokale Gruppen zu verwenden oder so viele Gruppen wie nötig im AD zu erstellen, jede mit einem Alias und dann die gewünschten Gruppen und/oder Nutzer als Mitglieder hinzuzufügen.
Mitglied	Mitglied	Nur synchronisierte Gruppen und Benutzer werden zu den Mitgliedern der Gruppe BlueMind hinzugefügt.

Verwaltung der Konten

Zugang zu Anwendungen gewähren

Der Zugriff auf Anwendungen erfolgt über Rollen, die den Nutzern zugewiesen werden**. Der Import von Active Directory verwaltet keine Rollen, so dass die Nutzer nach dem Import keine Rollen haben und nicht auf Anwendungen (Webmail, Kontakte, Kalender) zugreifen können.

Der einfachste und effektivste Weg, dies zu tun, ist über die Gruppen:

Unter Active Directoryweisen Sie den Nutzern eine gemeinsame Gruppe zu (oder mehrere, falls gewünscht).
Einen ersten Import starten: Die Gruppe(n) wird/werden zusammen mit den Benutzern in BlueMind importiert.
Gehen Sie zur BlueMind Verwaltungskonsole und weisen Sie der/den Gruppe(n) die gewünschte(n) Rolle(n) zu.

Weitere Informationen über Rollen und ihre Zuweisung an Gruppen finden Sie unter finden Sie auf den Seiten :

Aktualisierung

Bei weiteren Importen und Synchronisierungen werden die Rollen beibehalten.

Neue Nutzer können dann einfach dieser Gruppe zugeordnet werden, um ihnen die gewünschten Rollen zuzuweisen.

Ändern von Rollen

Bei der Veröffentlichung neuer Versionen wird BlueMind regelmäßig neue Rollen einführen.

Um sicherzustellen, dass bei der Aktualisierung das neue Recht bei den bereits vorhandenen Nutzern aktiviert wird, sollten Sie die Gruppe(n), in die Sie die Nutzer von Active Directory eingeordnet haben, als Standardgruppe(n) bezeichnen. Weitere Informationen über die Verwaltung von Gruppen finden Sie unter die Seite Gruppen bearbeiten

Ein Konto aussetzen

Konten, die aus einem Verzeichnis Active Directory importiert wurden und den konfigurierten Filter erfüllen, werden automatisch aktiviert.

Umgekehrt können sie im Verzeichnis Active Directory suspendiert oder gelöscht werden, so dass sie keinen Zugriff auf die E-Mails haben. Ein in Active Directory gelöschter Benutzer wird in BlueMind einfach suspendiert.

Erzwingen oder korrigieren Sie eine UID

Die UID eines Benutzers kann auf dem Verwaltungsblatt des Benutzers in BlueMind eingegeben oder korrigiert werden.

Gehen Sie dazu in die Admin-Konsole > Verzeichnisse > Verzeichniseinträge > wählen Sie den Eintrag des Benutzers > Registerkarte Wartung: Füllen Sie das Feld ExternalID mit der UID des Benutzers in Active Directory aus und speichern Sie dann.

Die Benutzerinformationen werden bei der nächsten Ausführung der Aufgabe mit dem Verzeichnis Active Directory synchronisiert. ImportADJobDie Daten werden in der Datenbank gespeichert und können unter Planung von Aufgaben eingesehen werden.

Präfix

Die ExternalID muss mit dem Präfix "ad:// " versehen sein.

Zum Beispiel :

ad://5d6b50-399a6-1e6f2-d01267d1f-0fbecb

Für weitere Informationen

Lesen Sie die BlueMind-Dokumentation in Verbindung mit

Filter: Weitere Informationen zu Gruppen- und Benutzerfiltern finden Sie in :
- Microsoft Artikel: LDAP Syntax Filters
- die Beispiele für LDAP Gruppen- und Benutzerfilter auf der Seite LDAP-Synchronisation > Konfiguration*. ↩ ↩²

Die Funktionsweise des Tools​

Die Funktionen​

Prinzipien der Synchronisation​

Installation​

Konfiguration​

Verbindungsmethode​

Mapping Active Directory - BlueMind​

Attribute der Nutzer​

Attribute der Gruppen​

Verwaltung der Konten​

Zugang zu Anwendungen gewähren​

Ein Konto aussetzen​

Erzwingen oder korrigieren Sie eine UID​

Für weitere Informationen​