Principe de fonctionnement

BlueMind permet d'importer et d'utiliser les utilisateurs et les groupes depuis un système Active Directory.

L'import Active Directory est réalisé pour chaque domaine côté BlueMind de manière incrémentale.

Les mots de passe des utilisateurs importés sont validés directement auprès de l'Active Directory. BlueMind ne stocke aucun mot de passe.

Un nouvel utilisateur peut se connecter à un serveur BlueMind même s'il n'a pas encore été importé. Son compte BlueMind sera créé automatiquement si le processus d'authentification réussit.

Le provisioning (création ou modification) d'un utilisateur ou d'un groupe depuis l'Active Directory vers BlueMind a donc lieu :

• à de la configuration du serveur, lors de l'import initial
• régulièrement au cours d'une journée, via les tâches planifiées
• ou lorsqu'un utilisateur se connecte, automatiquement, à la volée.

Installation

Afin d'accéder aux fonctionnalités de synchronisation avec un annuaire AD, il est nécessaire d'installer le plugin ad-import.

Pour cela, se connecter sur le serveur et taper la commande suivante pour lancer l'installation du plugin :

sudo aptitude update
sudo aptitude install bm-plugin-admin-console-ad-import bm-plugin-core-ad-import

yum update
yum install bm-plugin-admin-console-ad-import bm-plugin-core-ad-import

Une fois l'installation terminée, redémarrer le composant bm-core à l'aide de la commande suivante :

bmctl restart

Configuration

• Se connecter sur le serveur BlueMind cible en tant qu'administrateur global admin0

• Se rendre dans Gestion du système > Domaines supervisés > choisir le domaine > onglet Import AD :

• Cocher la case "Activer l'import AD" (à partir de la version 4.3.0 de BlueMind)

• Remplir les informations demandées avec les paramètres Active Directory :

  Paramètres demandé	Valeur Active Directory
  Nom d'utilisateur AD	Login utilisé pour effectuer des requêtes sur le serveur Active Directory Il est possible d'utiliser n'importe quel compte utilisateur ayant les droits de parcours de l'arborescence Active Directory en mode lecture seule. Un mapping (remplacement de caractères) est réalisé lors de l'import pour des raisons de compatibilité : remplacement des lettre accentuées par la lettre non accentuée correspondante passage en minuscule remplacement des espaces par des '_'
  Mot de passe de l'utilisateur AD	Mot de passe associé au compte renseigné dans le champ AD user login
  Nom ou IP du serveur AD	Adresse IP ou FQDN du serveur Active Directory. Ce champ peut être vide s'il est possible de déterminer la localisation du serveur en utilisant l'enregistrement DNS de type SRV Bloc de code _ldap._tcp.dc.msdcs.domain (cf. cet article Technet)
  Racine de l'annuaire AD	Racine pour la recherche Active Directory. Si vide, les recherches sont effectuées en utilisant le DN racine. Utilisé pour limiter la recherche à une sous-partie de l'arborescence Active Directory
  Filtre des utilisateurs AD	Filtre pour la recherche des entrées utilisateurs dans l'AD. La syntaxe des filtres LDAP peut être utilisée. Par exemple pour afficher toutes les personnes ayant leur numéro de téléphone renseigné dans la base : Bloc de code (&(objectclass=person)(telephoneNumber=*)) cf. http://ldapbook.labs.libre-entreprise.org/book/html/ch03s02.html Ou encore tous les comptes qui ont le accountStatus "MAIL" et qui ne sont pas dans la branche MAILSHARE de l'annuaire : Bloc de code (&(!(ou:dn:=MAILSHARE))(&(objectClass=posixAccount)(accountStatus=MAIL)))
  Filtre des groupes AD	Filtre pour la recherche des entrées de type groupe dans l'AD. La syntaxe des filtres LDAP peut être utilisée. Par exemple, pour n'afficher que les groupes des branches dont le dn contient cn=system ou cn=users : Bloc de code (&(objectClass=group)(|(cn:dn:=System)(cn:dn:=Users))) Ou encore les groupes ayant une description : Bloc de code (&(objectCategory=group)(description=*)) cf. https://social.technet.microsoft.com/wiki/contents/articles/5392.active-directory-ldap-syntax-filters.aspx#Examples
  Groupe de segmentation du domaine	Ce champ peut être vide. Ce champ sera ignoré si la fonctionnalité de segmentation de domaine n'est pas configurée pour BlueMind. Les mails destinés aux utilisateurs membres de ce groupe sont redirigés vers un autre serveur de messagerie du même domaine (configuré via la segmentation de domaine).

Méthode de connexion

Le plugin BlueMind pour Active Directory n'impose aucune contrainte particulière ou aucun schéma particulier. Il suffit d'indiquer les informations suivantes :

• le nom d'hôte (ou l'adresse IP) du serveur Active Directory
• un couple "nom d'utilisateur" / "mot de passe" sur l'annuaire AD permettant d'opérer des connexions.

Par défaut, l'ensemble des utilisateurs et des groupes sont récupérés de l'Active Directory. Des filtres permettant d'interroger une partie de l'annuaire peuvent être configurés, en configurant les informations suivantes :

• la racine de l'annuaire
• les filtres à utiliser pour la synchronisation des utilisateurs et des groupes, permettant de restreindre les données importées.

Un dernier paramètre permet d'indiquer le groupe de segmentation du domaine.

L'outil permet de vérifier directement si l'annuaire est bien accessible et l'accès bien configuré.

Fonctionnement de l'outil de synchronisation

Comptes utilisateurs

Le plugin pour Active Directory fonctionne de 3 façons complémentaires :

• import global de l'ensemble des utilisateurs
• import incrémental
• import en temps réel à l'authentification

L'import global parcourt l'intégralité des utilisateurs et groupes de l'Active Directory (en tenant compte de la racine AD et des filtres) et les importe dans BlueMind. Ceux qui n'existent pas sont créés, ceux qui existaient déjà sont modifiés si nécessaire.

L'import incrémental fonctionne de la même façon, mais uniquement en parcourant les utilisateurs modifiés depuis le dernier import.

Enfin, l'import à l'authentification recherche l'utilisateur dans l'Active Directory lorsqu'il n'est pas connu dans BlueMind ; s'il le trouve, il l'importe et l'authentifie sur l'Active Directory pour lui donner accès immédiatement à BlueMind.

État d'un compte

Les comptes importés d'un Active Directory respectant le filtre LDAP configuré sont automatiquement activés.

A l'inverse, ils peuvent être suspendus ou supprimés dans l'Active Directory afin que l'accès à la messagerie leur soit interdit. Un utilisateur supprimé dans l'Active Directory est simplement suspendu dans BlueMind.

Synchronisation Active Directory planifiée

Import incrémental

A l'installation du plugin Active Directory, BlueMind crée une tâche planifiée dont le but sera de synchroniser à intervalles réguliers les bases utilisateurs et groupes auprès de l'Active Directory.

L'import incrémental ne traite que les données qui ont été créées, supprimées ou modifiées depuis le dernier import.

Comme indiqué la copie d'écran suivante, la tâche planifiée peut être :

• automatique : activée selon des critères propres aux imports déjà réalisés, à une fréquence maximale de 4h ;
• planifiée, selon un format de type cron, permettant ainsi n'importe quelle fréquence d'activation
• désactivée : dans ce cas, la tâche planifiée n'est pas exécutée.

Suivi des tâches planifiées

L'écran de suivi des tâches planifiées permet de vérifier la bonne exécution de celles-ci. La copie d'écran suivante montre ainsi les tâches de synchronisation réalisées, leur date d'exécution et le résultat de l'opération :

Mapping Active Directory - BlueMind

Attributs des utilisateurs

Attributs des groupes

Attribution des droits

À partir de BlueMind 3.5, l'accès aux applications passe par la gestion des rôles qui sont attribués aux utilisateurs.

L'import AD ne gérant pas les rôles, les utilisateurs n'en ont donc aucun une fois qu'ils ont été importés et n'accèdent pas aux applications (webmail, contacts, calendrier).

La façon la plus simple et efficace de gérer cela est de passer par les groupes :

• dans l'AD, attribuer un groupe commun aux utilisateurs (ou plusieurs, si souhaité)
• lancer un 1er import : le(s) groupe(s) est importé dans BlueMind avec les utilisateurs
• se rendre dans l'administration et affecter les rôles souhaités au groupe

Par la suite, pour les nouveaux utilisateurs, il suffira de les affecter à ce(s) groupe(s) afin de leur attribuer les rôles souhaités.

Forcer ou corriger un UID

L'UID d'un utilisateur peut être renseigné ou corrigé dans la fiche d'administration de l'utilisateur dans BlueMind.

Pour cela, se rendre dans la console d'administration > Annuaires > Entrées d'annuaire > choisir la fiche de l'utilisateur > onglet Maintenance : renseigner le champ ExternalID avec l'UID de l'utilisateur dans l'AD puis enregistrer.

ad://5d6b50-399a6-1e6f2-d01267d1f-0fbecb

How AD synchronization works

BlueMind allows you to import and use users and groups from an Active Directory system.

An Active Directory incremental import is carried out on each domain on the BlueMind side.

The passwords of imported users are validated directly against the Active Directory. BlueMind does not store any passwords.

New users can log into a BlueMind server even if they haven't been imported yet. Their BlueMind account will be created upon request automatically if the authentication process is successful. 

User or group provisioning (creation or modification) from the Active Directory to BlueMind therefore takes place:

• when the server is configured, during the initial import,  
• periodically during the day, through scheduled jobs
• or automatically when a user logs in.

Installation

Access to AD directory synchronization functionalities requires the ad-import plugin to be installed.

To start the plugin installation, log into the server and enter the command below:

sudo aptitude update
sudo aptitude install bm-plugin-admin-console-ad-import bm-plugin-core-ad-import

yum update
yum install bm-plugin-admin-console-ad-import bm-plugin-core-ad-import

When installation is complete, restart the bm-core component using the following command:

bmctl restart

Set up

• Log into the target BlueMind server as global administrator.

• Browse the admin console to System Management > Modify Domain > select the domain > AD import tab: 
  

• Check "Enable AD import" (from BlueMind 4.3.0)
• Fill in the information requested with the Active Directory parameters provided in the table below: 

_ldap._tcp.dc._msdcs.domain

(&(objectclass=person)(telephoneNumber=*))

(&(!(ou:dn:=MAILSHARE))(&(objectClass=posixAccount)(accountStatus=MAIL)))

(&(objectClass=group)(|(cn:dn:=System)(cn:dn:=Users)))

(&(objectCategory=group)(description=*))

Connection method

The BlueMind Active Directory plugin is not restrictive and does not require a specific schema, just the following information:

• the hostname (or IP address) of the Active Directory server
• AD directory credentials ("username" and "password") to allow logging in.

By default, all users and groups are imported from the Active Directory. Filters that are used to query part of the directory can be configured with the following information:

• root directory
• filters to use for user and group synchronization, to apply restrictions to imported data.

Finally, you can specify the split domain group.

The synchronization tool allows you to check directly if the directory is available and access has been configured correctly.

How the synchronization tool works

User accounts

The Active Directory plugin has three interdependent functions:

• global import of all users
• incremental import 
• real-time import on authentication 

The global import browses through all Active Directory users and groups (taking into account the AD root and filters) and imports them into BlueMind. Those that do not exist are created, and existing ones are modified if necessary. 

The incremental import works the same way, but only browses through the users modified since the last import.

Finally, import on authentication looks for the user unknown to BlueMind in the Active Directory. If the user is found, it is imported and authenticated in the Active Directory, giving the user immediate access to BlueMind.

Account status 

Accounts imported from an Active Directory that complies with the LDAP filter are activated automatically.

Conversely, accounts can be suspended or deleted from the Active Directory thereby forbidding them access to the mail system. A user deleted in the Active Directory is merely suspended in BlueMind.

Scheduled Active Directory synchronization

Incremental import 

When the Active Directory plugin is installed, BlueMind creates a scheduled job whose purpose is to synchronize user and group databases against the Active Directory at regular intervals.

Incremental imports only processes the data that has been created, deleted or modified since the last import.

As shown in the screenshot below, a scheduled job can be:

• automatic: activated based on criteria from earlier imports, at 4-hour intervals at the most;
• scheduled: with a cron-type scheduling format, which allows any activation frequency;
• disabled: in this case, the scheduled job is not executed.

Scheduled jobs monitoring

The scheduled jobs monitoring page allows you check that they are performed correctly. The screenshot below shows a log of synchronization jobs performed, execution date and results:

Active Directory-BlueMind mapping

User attributes

Group attributes 

Role assignment

From BlueMind 3.5, access to applications is subject to the roles users are assigned. As AD imports do not handle roles, imported users are not assigned any roles and they are unable to access applications (webmail, contacts, calendar).

The easiest and most effective way of handling this is through groups:

• in AD, assign one (or several, if desired) common group to users
• launch a first import: group(s) are imported into BlueMind along with users
• go to the admin section and assign the desired roles to the group(s)

In the future, simply assign new users to this/these group(s) in order to give them the desired roles.

Forcing or correcting a UID

A user's UID can be populated or corrected in the user's admin page in BlueMind.

To do this, go to the admin console > Directories > Directory Browser > select user > Maintenance tab: enter the user's AD UID in the ExternalID box then save.

ad://5d6b50-399a6-1e6f2-d01267d1f-0fbecb

Funktionsprinzip

BlueMind ermöglicht den Import und die Verwendung von Benutzern und Gruppen aus einem Active Directory-System.

Der Active Directory-Import wird BlueMind-seitig für jede Domain schrittweise durchgeführt.

Die Passwörter der importierten Benutzer werden direkt mit dem Active Directory abgeglichen. BlueMind speichert keine Passwörter.

Ein neuer Benutzer kann eine Verbindung zu einem BlueMind-Server herstellen, auch wenn dieser noch nicht importiert wurde. Sein BlueMind-Konto wird automatisch erstellt, wenn der Authentifizierungsprozess erfolgreich ist.

Das Provisioning (Anlegen oder Ändern) eines Benutzers oder einer Gruppe aus dem Active Directory in BlueMind erfolgt:

• bei Serverkonfiguration, während des ersten Imports
• regelmäßig im Laufe eines Tages, über geplante Aufgaben
• oder automatisch, wenn sich ein Benutzer anmeldet.

Installation

Um auf die Synchronisationsfunktionen mit einem AD-Verzeichnis zugreifen zu können, muss das ad-import-Plugin installiert werden.

Verbinden Sie sich dazu mit dem Server und geben Sie den folgenden Befehl ein, um die Installation des Plugins zu starten:

sudo aptitude update
sudo aptitude install bm-plugin-admin-console-ad-import bm-plugin-core-ad-import

yum update
yum install bm-plugin-admin-console-ad-import bm-plugin-core-ad-import

Starten Sie die Komponente bm-core nach Abschluss der Installation mit dem folgenden Befehl neu:

bmctl restart

Konfiguration

• Verbinden Sie sich mit dem BlueMind-Zielserver als globaler Administrator admin0

• Gehen Sie zu Systemadministration > Überwachte Domains > Domain wählen > Registerkarte AD-Import:

• Aktivieren Sie das Kontrollkästchen "AD-Import aktivieren" (ab BlueMind Version 4.3.0)

• Füllen Sie die angeforderten Informationen mit den Active Directory-Einstellungen aus:

  Angeforderte Parameter	Active Directory-Wert
  Benutzername AD	Login, das für Abfragen auf dem Active Directory-Server verwendet wird Jedes Benutzerkonto mit Rechten zum Durchsuchen der Active Directory-Baumstruktur kann im schreibgeschützten Modus verwendet werden. Beim Import wird aus Kompatibilitätsgründen ein Mapping (Zeichenersetzung) durchgeführt: Ersetzen von Buchstaben mit diakritischen Zeichen durch den entsprechenden Buchstaben ohne diakritisches Zeichen Umwandlung in Kleinbuchstaben- Ersetzen von Leerzeichen durch '_'
  AD-Benutzer-Passwort	Passwort, das mit dem im Feld AD user login ausgefüllten Konto verknüpft ist
  Name oder IP des AD-Servers	IP-Adresse oder FQDN des Active Directory-Servers. Dieses Feld kann leer sein, wenn der Serverstandort über die DNS-Speicherung vom Typ SRV ermittelt werden kann Bloc de code _ldap._tcp.dc.msdcs.domain (siehe diesen Technet-Artikel)
  Root des AD-Verzeichnisses	Root der Active Directory-Suche. Wenn leer, wird die Suche mit dem Root-DN durchgeführt. Wird verwendet, um die Suche auf einen Teilbereich der Active Directory-Baumstruktur zu beschränken
  AD-Benutzerfilter	Filter für die Suche nach Benutzereinträgen im AD. Es kann die Syntax von LDAP-Filtern verwendet werden. Zum Beispiel, um alle Personen anzuzeigen, deren Telefonnummer in der Datenbank eingetragen ist: Bloc de code (&(objectclass=person)(telephoneNumber=*)) siehe http://ldapbook.labs.libre-entreprise.org/book/html/ch03s02.html Oder alle Konten, die den accountStatus "MAIL" haben und sich nicht im MAILSHARE-Zweig des Verzeichnisses befinden: Bloc de code (&(!(ou:dn:=MAILSHARE))(&(objectClass=posixAccount)(accountStatus=MAIL)))
  AD-Gruppenfilter	Filter für die Suche nach Gruppeneinträgen im AD. Es kann die Syntax von LDAP-Filtern verwendet werden. Zum Beispiel, um nur die Gruppen von Zweigen anzuzeigen, deren DN cn=system oder cn=users enthält: Bloc de code (&(objectClass=group)(|(cn:dn:=System)(cn:dn:=Users))) Oder Gruppen mit der Beschreibung: Bloc de code (&(objectCategory=group)(description=*)) siehe https://social.technet.microsoft.com/wiki/contents/articles/5392.active-directory-ldap-syntax-filters.aspx#Examples
  Domain-Segmentierungsgruppe	Dieses Feld darf leer sein. Dieses Feld wird ignoriert, wenn die Domainsegmentierungsfunktion für BlueMind nicht konfiguriert ist. Mails für Benutzer in dieser Gruppe werden an einen anderen Mailserver in derselben Domain umgeleitet (konfiguriert über Domainsegmentierung).

Verbindungsmethode

Das BlueMind-Plugin für Active Directory legt keine bestimmte Einschränkung oder ein bestimmtes Schema fest. Die folgenden Informationen sind ausreichend:

• Hostname (oder die IP-Adresse) des Active Directory-Servers
• ein "Benutzername"/"Passwort"-Paar auf dem AD-Verzeichnis, das die Herstellung von Verbindungen ermöglicht.

Standardmäßig werden alle Benutzer und Gruppen aus dem Active Directory abgerufen. Filter für die Abfrage eines Teils des Verzeichnisses können durch Einstellung der folgenden Informationen konfiguriert werden:

• Root des Verzeichnisses
• die für die Benutzer- und Gruppensynchronisation zu verwendenden Filter, mit denen die importierten Daten eingeschränkt werden können.

Ein letzter Parameter wird verwendet, um die Domain-Segmentierungsgruppe anzugeben.

Mit dem Tool können Sie direkt prüfen, ob das Verzeichnis erreichbar und der Zugriff richtig konfiguriert ist.

So funktioniert das Synchronisationswerkzeug

Benutzerkonten

Das Plugin für Active Directory arbeitet auf 3 sich ergänzende Arten:

• Globaler Import aller Benutzer
• Inkrementeller Import
• Import in Echtzeit bei Authentifizierung

Der globale Import durchsucht alle Benutzer und Gruppen im Active Directory (unter Berücksichtigung der AD-Root und Filter) und importiert sie in BlueMind. Diejenigen, die nicht vorhanden sind, werden erstellt, die bereits vorhandenen werden ggf. geändert.

Der inkrementelle Import funktioniert auf die gleiche Weise, wobei aber nur nach Benutzern gesucht wird, die seit dem letzten Import geändert wurden.

Der Import sucht bei der Authentifizierung den Benutzer im Active Directory, wenn er in BlueMind nicht bekannt ist; wenn er ihn findet, importiert er ihn und authentifiziert ihn im Active Directory, um ihm sofortigen Zugriff auf BlueMind zu ermöglichen.

Konto-Status

Aus einem Active Directory importierte Konten, die den konfigurierten LDAP-Filter berücksichtigen, werden automatisch aktiviert.

Umgekehrt können sie im Active Directory suspendiert oder gelöscht werden, um sie am Zugriff auf E-Mails zu hindern. Ein im Active Directory gelöschter Benutzer wird in BlueMind einfach suspendiert.

Geplante Active Directory-Synchronisierung

Inkrementeller Import

Wenn das Active Directory-Plugin installiert ist, erstellt BlueMind eine geplante Aufgabe, um in regelmäßigen Abständen die Benutzer- und Gruppendatenbanken mit dem Active Directory zu synchronisieren.

Der inkrementelle Import verarbeitet nur Daten, die seit dem letzten Import angelegt, gelöscht oder geändert wurden.

Wie im folgenden Bildschirmfoto gezeigt, kann die geplante Aufgabe:

• automatisch sein: aktiviert nach spezifischen Kriterien für die bereits getätigten Importe, mit einer maximalen Häufigkeit von 4 Stunden;
• geplant sein: in einem Cron-Format, das eine beliebige Häufigkeit der Aktivierung erlaubt
• deaktiviert sein: in diesem Fall wird die geplante Aufgabe nicht ausgeführt.

Verfolgung der geplanten Aufgaben

Auf dem Bildschirm zur Verfolgung von geplanten Aufgaben können Sie überprüfen, ob diese korrekt ausgeführt wurden. Der folgende Screenshot zeigt die durchgeführten Synchronisationsaufgaben, ihr Ausführungsdatum und das Ergebnis des Vorgangs:

Active Directory-Mapping - BlueMind

Benutzer-Attribute

Gruppen-Attribute

Zuweisung von Rechten

Ab BlueMind 3.5 basiert der Zugriff auf Anwendungen auf der Verwaltung der den Benutzern zugewiesenen Rollen .

Der AD-Import verwaltet keine Rollen, so dass Benutzer nach dem Import zunächst keine Rollen haben und nicht auf Anwendungen (Webmailer, Kontakte, Kalender) zugreifen können.

Der einfachste und effektivste Weg, dies zu bewerkstelligen, ist über Gruppen:

• in der DA weisen Sie den Benutzern eine gemeinsame Gruppe zu (oder mehrere, falls gewünscht)
• einen 1. Import starten: die Gruppe(n) wird/werden in BlueMind mit den Benutzern importiert
• gehen Sie in die Administration und weisen Sie der Gruppe die gewünschten Rollen zu

Danach müssen neue Benutzern nur noch der/den Gruppe(n) zugeordnet werden, um ihnen die gewünschten Rollen zu geben.

Erzwingen oder Korrigieren einer UID

Die UID eines Benutzers kann im Benutzer-Verwaltungsstammsatz in BlueMind ausgefüllt oder korrigiert werden.

Gehen Sie dazu in die Administrationskonsole > Verzeichnisse > Verzeichniseinträge > wählen Sie den Benutzerdatensatz > Registerkarte Wartung: Das Feld ExternalID mit der UID des Benutzers im AD ausfüllen und speichern.

ad://5d6b50-399a6-1e6f2-d01267d1f-0fbecb