LDAP-Synchronisation

Das BlueMind Professional Abonnement ermöglicht den Zugriff auf Werkzeuge, die die Integration von BlueMind in ein Informationssystem erleichtern.

Während die Verwaltungskonsole das Erstellen und Verwalten von Entitäten direkt in BlueMind ermöglicht, verfügen Informationssysteme oft über ein zentrales Verzeichnis vom Typ LDAP oder Active Directory, auf das man sich am besten stützt.

Dieser Abschnitt beschreibt den Betrieb und die Einrichtung des Moduls für den Zugriff auf ein Verzeichnis LDAP.

Die Funktionsweise des Tools

Die Funktionen

Mit dem Plugin LDAPwird die Benutzerverwaltung an ein Verzeichnis LDAP delegiert, und die Erstellung von Konten wird durch die Synchronisierung mit BlueMind automatisiert.

Diese Synchronisation ermöglicht :

• Import der Benutzer- und Gruppendatenbank aus dem Verzeichnis:
  BlueMind importiert und ermöglicht die Verwendung von Benutzern und Gruppen aus einem System LDAP. Der Import wird für jede Domäne auf der BlueMind Seite inkrementell durchgeführt.
• Authentifizierung der BlueMind-Benutzer:
  Wenn Art der Authentifizierung der Domäne als interne Authentifizierung konfiguriert ist und die Synchronisierung LDAP aktiviert ist, dann erfolgt die Authentifizierung der aus dem Verzeichnis importierten Benutzer über das Verzeichnis LDAP. Die Passwörter der importierten Benutzer werden dann auf dem Server LDAP validiert. BlueMind speichert keine Kennwörter.
• Verbindung neuer Benutzer:
  Ein neuer Benutzer kann sich mit einem BlueMind Server verbinden, auch wenn er noch nicht importiert wurde. Sein BlueMind-Konto wird automatisch erstellt, wenn der Authentifizierungsprozess erfolgreich war.

Dieses Tool vermeidet die Verwaltung einer Benutzerdatenbank in BlueMind und die Probleme mit der Vervielfältigung von Passwörtern. Das Kennwort wird zentral im Verzeichnis LDAP gespeichert und ist BlueMind weder bekannt noch wird es von BlueMind importiert.

Prinzipien der Synchronisation

Die Bereitstellung (Erstellung oder Änderung) eines Benutzers oder einer Gruppe von LDAP zu BlueMind erfolgt über :

• bei der Konfiguration des Servers mit dem anfänglichen Import
• regelmäßig im Laufe eines Tages über geplante Aufgaben
• oder wenn ein Nutzer sich automatisch im laufenden Betrieb anmeldet.

Um dies zu erreichen, arbeitet das Plugin LDAP auf drei komplementäre Weisen:

• Globaler Import
  Durchsucht alle Benutzer und Gruppen von LDAP (unter Berücksichtigung des Stammverzeichnisses und der Filter) und importiert sie in BlueMind. Diejenigen, die nicht existieren, werden erstellt und diejenigen, die bereits existierten, werden bei Bedarf geändert.
  Der globale Modus wird bei der ersten Ausführung automatisch ausgeführt, wenn der erste Import durchgeführt wird. Danach wird sie nur noch durch Klicken auf die Schaltfläche "Globale Synchronisation starten" in der Administrationskonsole (siehe Abschnitt "Konfiguration" weiter unten) ausgelöst.

  ⚠️ Je nach Anzahl der Einträge im Telefonbuch kann die gesamte Synchronisierung sehr lange dauern. Diese Aktion sollte nur in Ausnahmefällen eingeleitet werden.

• Inkrementeller Import
  Durchsucht nur die geänderten Benutzer seit dem letzten fehlerfreien Import. Nur Daten, die seit dem Datum des letzten erfolgreichen Imports in LDAP erstellt, gelöscht oder geändert wurden, werden in BlueMind importiert.
  Der inkrementelle Modus wird automatisch und regelmäßig über den geplanten Task ausgeführt. ImportLDAPJobDiese wird bei der Installation des Plugins erstellt. Weitere Informationen über die Verwaltung von geplanten Aufgaben finden Sie unter auf der Seite Planung von Aufgaben.

  💡 Mit diesem System wird die Synchronisation optimiert.

• Echtzeit-Import
  Sucht nach dem Benutzer in LDAP , wenn er in BlueMind nicht bekannt ist; wenn er ihn findet, importiert er ihn und authentifiziert ihn auf LDAP , um ihm sofortigen Zugang zu BlueMind zu gewähren.

Installation

Um auf die Funktionen zur Synchronisation mit einem LDAP-Verzeichnis zugreifen zu können, müssen Sie das Plugin ldap-import installieren.

Verbinde dich dazu mit dem Server und verwende die folgenden Befehle, um die Installation des Plugins zu starten:

Debian/Ubuntu

sudo aptitude update
sudo aptitude install bm-plugin-admin-console-ldap-import bm-plugin-core-ldap-import

RedHat/CentOS

yum update
yum install bm-plugin-admin-console-ldap-import bm-plugin-core-ldap-import

Nach Abschluss der Installation starten Sie den bm-core-Komponenten mit dem folgenden Befehl neu:

bmctl restart

Konfiguration

Nur der globale Administrator kann die LDAP-Synchronisation für eine Domäne konfigurieren.

Domänenadministratoren können die Einstellungen einsehen und die Importaufgabe ImportLDAPJob in Planung von Aufgaben starten.

Um die LDAP-Verbindung zu konfigurieren :

• Als globaler Administrator anmelden admin0@global.virt
• Gehen Sie zu Systemverwaltung > Überwachte Domänen > wählen Sie die Domäne > Registerkarte LDAP-Import:
• Aktivieren Sie das Kontrollkästchen "LDAP-Import aktivieren".
• Füllen Sie die angeforderten Informationen mit den Parametern des Verzeichnisses aus:

  Feld	Anmerkung
  Name oder IP des LDAP-Servers	IP oder FQDN des LDAP-Servers in der Form: ip-oder-fqdn[:port] Wenn der Port nicht angegeben ist, hängt der verwendete Port vom im Feld Protokoll ausgewählten Protokoll ab.
  Protokoll	Wählen Sie das zu verwendende Protokoll aus: - KLARTEXT, Standardport1: 389 - SSL, Standardport1: 636 - SSL/alle Zertifikate akzeptieren, Standardport1: 636 - TLS, Standardport1: 389 - TLS/alle Zertifikate akzeptieren, Standardport1: 389 1: Der im Feld Name oder IP des LDAP-Servers angegebene Port hat Vorrang. Wenn der Port nicht im Feld Name oder IP des LDAP-Servers angegeben ist, wird der Standardport entsprechend dem im Protokoll angegebenen Protokoll verwendet.
  Wurzel des Verzeichnisses	Geben Sie die LDAP-Root an (ReadOnly-Zugang ist eine Voraussetzung).
  DN des Nutzers	DN des root-Benutzers, der zur Anmeldung am LDAP-Server verwendet wird.
  Passwort	Passwort des Benutzers, der sich mit dem LDAP-Server verbindet.
  Filter für LDAP-Benutzer	Nur die Benutzer, die dem angewandten Filter entsprechen, werden in BlueMind importiert. Die Syntax der LDAP-Filter wird in RFC 4515 beschrieben. Zum Beispiel : - um alle Personen anzuzeigen, deren Telefonnummer in der Datenbank angegeben ist : (&(objectclass=person)(telephoneNumber=\*)) - um alle Konten anzuzeigen, die den accountStatus "MAIL" haben und nicht im MAILSHARE-Zweig des Verzeichnisses sind : (&(!(ou:dn:=MAILSHARE))(&(objectClass=posixAccount)(accountStatus=MAIL)))
  Filter für LDAP-Gruppen	Nur die Gruppen, die dem angewandten Filter entsprechen, werden in BlueMind importiert. Die Syntax der LDAP-Filter wird in RFC 4515 beschrieben. Zum Beispiel : - um die Gruppen der Zweige anzuzeigen, deren dn cn=system oder cn=users enthält : (&(objectClass=group)((cn:dn:=System)(cn:dn:=Users))) - um Gruppen mit einer Beschreibung anzuzeigen : (&(objectCategory=group)(description=\*))
  Externe ID	Ein Attribut, das einer unveränderlichen und eindeutigen LDAP-Eintragsidentifizierung entspricht. Wird verwendet, um eine Verbindung zwischen einem LDAP-Eintrag und einem BlueMind-Eintrag herzustellen.
  Segmentierungsgruppe des Bereichs	Dieses Feld kann leer sein. Dieses Feld wird ignoriert, wenn die Funktion zur Segmentierung von Domänen nicht für BlueMind konfiguriert ist. E-Mails, die an Benutzer gerichtet sind, die Mitglieder dieser Gruppe sind, werden an einen anderen Mailserver in derselben Domäne (konfiguriert über die Domänensegmentierung) weitergeleitet.
  Erfolgreiche letzte Hinrichtung	Datum des letzten Imports, der ohne Fehler durchgeführt wurde. Der inkrementelle Modus des Imports berücksichtigt Änderungen, die seit diesem Datum in LDAP vorgenommen wurden.
  Status des letzten Imports	Datum und Status der letzten Ausführung des LDAP-Imports. Wenn Fehler auftreten, finden Sie weitere Informationen in den Logs der geplanten Aufgabe zum LDAP-Import dieser Domäne unter Planung von Aufgaben
  Start inkrementelle Synchronisation	Erzwingt die Ausführung des LDAP-Imports im inkrementellen Modus. Nur Änderungen, die seit dem Datum der Letzten erfolgreichen Ausführung vorgenommen wurden, werden in LDAP berücksichtigt. Dies entspricht der Ausführung der geplanten Aufgabe für den LDAP-Import dieser Domäne, die Sie unter Planung von Aufgaben
  Globale Synchronisation starten	Erzwingt die Ausführung des LDAP-Imports im globalen Modus. In diesem Modus wird das Datum der Letzten erfolgreichen Ausführung nicht berücksichtigt. Alle Eingaben, die den Parametern des Imports entsprechen, werden verarbeitet. Dies kann je nach Anzahl der zu verarbeitenden LDAP-Einträge lange dauern.

Verbindungsmethode

info

Die LDAP-Synchronisierung ist darauf ausgelegt, ein Adressbuchschema vom Typ InetOrgPerson zu verwenden.

Standardmäßig werden alle Benutzer und Gruppen von LDAP abgerufen. Filter für die Abfrage eines Teils des Verzeichnisses können mit den folgenden Informationen konfiguriert werden:

• die Wurzel des Verzeichnisses
• Filter, die bei der Synchronisation von Benutzern und Gruppen verwendet werden sollen, um die importierten Daten einzuschränken

Ein letzter Parameter ermöglicht es Ihnen, die Segmentierungsgruppe der Domain anzugeben.

Testen Sie die Verbindung

Über die Schaltfläche "Verbindung testen" können Sie direkt überprüfen, ob das Verzeichnis zugänglich ist und der Zugang richtig konfiguriert ist.

Aus Sicherheitsgründen müssen Sie das Passwort für den Zugang zum Verzeichnis LDAP vor jedem Verbindungstest ausfüllen, auch wenn es bereits zuvor ausgefüllt und gespeichert wurde.

LDAP Mapping - BlueMind

Attribute der Nutzer

BlueMind	LDAP-Attribut	Anmerkung
Login	uid	Bei Import wird ein Mapping (Zeichenersetzung) aus Gründen der Kompatibilität durchgeführt: - Ersatz von Akzentbuchstaben durch den entsprechenden unaccented Buchstaben - Umwandlung in Kleinbuchstaben - Ersetzung von Leerzeichen durch '_'
firstname	givenName
lastname	sn
formatedName	displayName	Wenn das Attribut displayName fehlt, wird das Feld von BlueMind durch Verkettung der verschiedenen nicht leeren Teile von Vorname, Nachname, Titel, etc. auf die gleiche Weise wie Vollständiger Name in Kontaktblättern generiert.
Beschreibung	Beschreibung
Mail	mail mailLocalAddress mailAlternateAddress gosaMailAlternateAddress	Die BlueMind Standardadresse wird durch den ersten der in den folgenden Feldern gefundenen Werte definiert (in dieser Reihenfolge) : mail. mailLocalAddress. mailAlternateAddress. gosaMailAlternateAddress. Die folgenden werden als Alias verwendet. ⚠️ Wenn keines dieser Attribute ausgefüllt oder gültig ist, wird eine Adresse der folgenden Form zugewiesen: login@<Standarddomäne>
user mail quota	mailQuotaSize mailQuota gosaMailQuota	Müssen in LDAP in Bytes ausgedrückt werden. Das erste dieser gefundenen LDAP-Attribute wird verwendet: mailQuotaSize > mailQuota > gosaMailQuota
Arbeitstelefone	telephoneNumber
Heimtelefone	homePhone
Mobiltelefone	mobil
Fax	facsimileTelephoneNumber
Pager	Pager
memberOf	memberOf	Liste der Gruppen, in denen der Nutzer Mitglied ist. Der Benutzer BlueMind kann nur zu bereits importierten LDAP-Gruppen hinzugefügt werden.
photoID	jpegPhoto	Benutzerfoto: Der Inhalt dieses Attributs wird als Foto des entsprechenden Kontos importiert.
user.value.contactInfos.organizational.title	title
user.value.contactInfos.organizational.org.company	o
user.value.contactInfos.organizational.org.division	oder
user.value.contactInfos.organizational.org.department	departmentNumber
address.locality	l
address.postalCode	postalCode
address.countryName	st
address.streetAddress	postalAddress
address.postOfficeBox	postOfficeBox

Attribute der Gruppen

BlueMind	LDAP-Attribut	Anmerkung
Name	cn
Beschreibung	Beschreibung
Mail	Mail	Wenn dieses Feld nicht ausgefüllt ist, wird die Gruppe keine Nachrichten in BlueMind erhalten.
Mitglied	memberUid (Unix-Methode)	Die Gruppe im Verzeichnis enthält so viele memberUid-Attribute wie sie Mitglieder hat. Im Gegensatz zum Attribut member in AD-Verzeichnissen enthält es die Unix-UID des Benutzers. In dieser Betriebsart ist memberOf nicht möglich. Nur bereits in BlueMind importierte Benutzer und Gruppen werden zu den Gruppenmitgliedern hinzugefügt
Mitglied	member (Methode von Active Directory-Synchronisation)	Die Gruppe im Verzeichnis enthält so viele member-Attribute wie sie Mitglieder hat. Optional kann das Verzeichnis die memberOf-Informationen bereitstellen. Dieses Attribut ist im Benutzer enthalten und verweist auf alle Gruppen, denen er angehört. Nur synchronisierte Gruppen und Benutzer werden zu den Mitgliedern der Gruppe BlueMind hinzugefügt.

Gruppenverwaltungsmethode

Beide Methoden der Gruppenverwaltung (Active Directory oder Unix) können gleichermaßen verwendet werden, aber immer nur eine zur Zeit:

• oder durch Verwendung des Attributs member (und memberOf, falls verfügbar).
• oder durch Verwendung des memberUid-Attributs

Wenn das Verzeichnis beides verwendet, wird die Synchronisation nicht richtig durchgeführt.

Verwaltung der Konten

Zugang zu Anwendungen gewähren

Der Zugriff auf Anwendungen erfolgt über Rollen, die den Nutzern zugewiesen werden**. Der Import von LDAP verwaltet keine Rollen, so dass die Nutzer nach dem Import keine Rollen haben und nicht auf Anwendungen (Webmail, Kontakte, Kalender) zugreifen können.

Der einfachste und effektivste Weg, dies zu tun, ist über die Gruppen:

• Unter LDAPweisen Sie den Nutzern eine gemeinsame Gruppe zu (oder mehrere, falls gewünscht).
• Einen ersten Import starten: Die Gruppe(n) wird/werden zusammen mit den Benutzern in BlueMind importiert.
• Gehen Sie zur BlueMind Verwaltungskonsole und weisen Sie der/den Gruppe(n) die gewünschte(n) Rolle(n) zu.

Weitere Informationen über Rollen und ihre Zuweisung an Gruppen finden Sie unter finden Sie auf den Seiten :

• Rollen: Zugriffs- und Verwaltungsrechte
• Gruppen bearbeiten

Aktualisierung

Bei weiteren Importen und Synchronisierungen werden die Rollen beibehalten.

Neue Nutzer können dann einfach dieser Gruppe zugeordnet werden, um ihnen die gewünschten Rollen zuzuweisen.

Ändern von Rollen

Bei der Veröffentlichung neuer Versionen wird BlueMind regelmäßig neue Rollen einführen.

Um sicherzustellen, dass bei der Aktualisierung das neue Recht bei den bereits vorhandenen Nutzern aktiviert wird, sollten Sie die Gruppe(n), in die Sie die Nutzer von LDAP eingeordnet haben, als Standardgruppe(n) bezeichnen. Weitere Informationen über die Verwaltung von Gruppen finden Sie unter die Seite Gruppen bearbeiten

Ein Konto aussetzen

Konten, die aus einem Verzeichnis LDAP importiert wurden und den konfigurierten Filter erfüllen, werden automatisch aktiviert.

Umgekehrt können sie im Verzeichnis LDAP suspendiert oder gelöscht werden, so dass sie keinen Zugriff auf die E-Mails haben. Ein in LDAP gelöschter Benutzer wird in BlueMind einfach suspendiert.

Erzwingen oder korrigieren Sie eine UID

Die UID eines Benutzers kann auf dem Verwaltungsblatt des Benutzers in BlueMind eingegeben oder korrigiert werden.

Gehen Sie dazu in die Admin-Konsole > Verzeichnisse > Verzeichniseinträge > wählen Sie den Eintrag des Benutzers > Registerkarte Wartung: Füllen Sie das Feld ExternalID mit der UID des Benutzers in LDAP aus und speichern Sie dann.

Die Benutzerinformationen werden bei der nächsten Ausführung der Aufgabe mit dem Verzeichnis LDAP synchronisiert. ImportLDAPJobDie Daten werden in der Datenbank gespeichert und können unter Planung von Aufgaben eingesehen werden.

Präfix

Die ExternalID muss mit dem Präfix "ldap:// " versehen sein.

Zum Beispiel :

ldap://5d6b50-399a6-1e6f2-d01267d1f-0fbecb

Für weitere Informationen

Lesen Sie die BlueMind-Dokumentation in Verbindung mit

• Planung von Aufgaben
• Gruppen bearbeiten
• Rollen: Zugriffs- und Verwaltungsrechte