Historique de la page
...
Sv translation | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
How AD synchronization worksBlueMind allows you to import and use users and groups from an Active Directory system. An Active Directory incremental import is carried out on each domain on the BlueMind side. The passwords of imported users are validated directly against the Active Directory. BlueMind does not store any passwords. New users can log into a BlueMind server even if they haven't been imported yet. Their BlueMind account will be created upon request automatically if the authentication process is successful. User or group provisioning (creation or modification) from the Active Directory to BlueMind therefore takes place:
InstallationAccess to AD directory synchronization functionalities requires the ad-import plugin to be installed. To start the plugin installation, log into the server and enter the command below:
When installation is complete, restart the bm-core component using the following command:
Set up
Connection methodThe BlueMind Active Directory plugin is not restrictive and does not require a specific schema, just the following information:
By default, all users and groups are imported from the Active Directory. Filters that are used to query part of the directory can be configured with the following information:
Finally, you can specify the split domain group. The synchronization tool allows you to check directly if the directory is available and access has been configured correctly. How the synchronization tool worksUser accountsThe Active Directory plugin has three interdependent functions:
The global import browses through all Active Directory users and groups (taking into account the AD root and filters) and imports them into BlueMind. Those that do not exist are created, and existing ones are modified if necessary. The incremental import works the same way, but only browses through the users modified since the last import. Finally, import on authentication looks for the user unknown to BlueMind in the Active Directory. If the user is found, it is imported and authenticated in the Active Directory, giving the user immediate access to BlueMind. Account statusAccounts imported from an Active Directory that complies with the LDAP filter are activated automatically. Conversely, accounts can be suspended or deleted from the Active Directory thereby forbidding them access to the mail system. A user deleted in the Active Directory is merely suspended in BlueMind. Scheduled Active Directory synchronizationIncremental importWhen the Active Directory plugin is installed, BlueMind creates a scheduled job whose purpose is to synchronize user and group databases against the Active Directory at regular intervals. Incremental imports only processes the data that has been created, deleted or modified since the last import. As shown in the screenshot below, a scheduled job can be:
Scheduled jobs monitoringThe scheduled jobs monitoring page allows you check that they are performed correctly. The screenshot below shows a log of synchronization jobs performed, execution date and results: Active Directory-BlueMind mappingUser attributes
Group attributes
Role assignmentFrom BlueMind 3.5, access to applications is subject to the roles users are assigned. As AD imports do not handle roles, imported users are not assigned any roles and they are unable to access applications (webmail, contacts, calendar). The easiest and most effective way of handling this is through groups:
In the future, simply assign new users to this/these group(s) in order to give them the desired roles. Forcing or correcting a UIDA user's UID can be populated or corrected in the user's admin page in BlueMind. To do this, go to the admin console > Directories > Directory Browser > select user > Maintenance tab: enter the user's AD UID in the ExternalID box then save.
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Sv translation | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Bloc de code | ||||
---|---|---|---|---|
| ||||
sudo aptitude update
sudo aptitude install bm-plugin-admin-console-ad-import bm-plugin-core-ad-import |
Bloc de code | ||||
---|---|---|---|---|
| ||||
yum update
yum install bm-plugin-admin-console-ad-import bm-plugin-core-ad-import |
Starten Sie die Komponente bm-core nach Abschluss der Installation mit dem folgenden Befehl neu:
Bloc de code | ||
---|---|---|
| ||
bmctl restart |
Konfiguration
- Verbinden Sie sich mit dem BlueMind-Zielserver als globaler Administrator admin0
- Gehen Sie zu Systemadministration > Überwachte Domains > Domain wählen > Registerkarte AD-Import:
Füllen Sie die angeforderten Informationen mit den Active Directory-Einstellungen aus:
Login, das für Abfragen auf dem Active Directory-Server verwendet wird
Jedes Benutzerkonto mit Rechten zum Durchsuchen der Active Directory-Baumstruktur kann im schreibgeschützten Modus verwendet werden.
Beim Import wird aus Kompatibilitätsgründen ein Mapping (Zeichenersetzung) durchgeführt:
- Ersetzen von Buchstaben mit diakritischen Zeichen durch den entsprechenden Buchstaben ohne diakritisches Zeichen
- Umwandlung in Kleinbuchstaben-
- Ersetzen von Leerzeichen durch '_'
IP-Adresse oder FQDN des Active Directory-Servers. Dieses Feld kann leer sein, wenn der Serverstandort über die DNS-Speicherung vom Typ SRV ermittelt werden kann
Bloc de code |
---|
_ldap._tcp.dc.msdcs.domain |
(siehe diesen Technet-Artikel)
Wird verwendet, um die Suche auf einen Teilbereich der Active Directory-Baumstruktur zu beschränken
Filter für die Suche nach Benutzereinträgen im AD.
Es kann die Syntax von LDAP-Filtern verwendet werden.
Zum Beispiel, um alle Personen anzuzeigen, deren Telefonnummer in der Datenbank eingetragen ist:
Bloc de code |
---|
(&(objectclass=person)(telephoneNumber=*)) |
siehe http://ldapbook.labs.libre-entreprise.org/book/html/ch03s02.html
Oder alle Konten, die den accountStatus "MAIL" haben und sich nicht im MAILSHARE-Zweig des Verzeichnisses befinden:
Bloc de code |
---|
(&(!(ou:dn:=MAILSHARE))(&(objectClass=posixAccount)(accountStatus=MAIL))) |
Filter für die Suche nach Gruppeneinträgen im AD.
Es kann die Syntax von LDAP-Filtern verwendet werden.
Zum Beispiel, um nur die Gruppen von Zweigen anzuzeigen, deren DN cn=system oder cn=users enthält:
Bloc de code |
---|
(&(objectClass=group)(|(cn:dn:=System)(cn:dn:=Users))) |
Oder Gruppen mit der Beschreibung:
Bloc de code |
---|
(&(objectCategory=group)(description=*)) |
Dieses Feld darf leer sein.
Dieses Feld wird ignoriert, wenn die Domainsegmentierungsfunktion für BlueMind nicht konfiguriert ist.
Mails für Benutzer in dieser Gruppe werden an einen anderen Mailserver in derselben Domain umgeleitet (konfiguriert über Domainsegmentierung).
Verbindungsmethode
Das BlueMind-Plugin für Active Directory legt keine bestimmte Einschränkung oder ein bestimmtes Schema fest. Die folgenden Informationen sind ausreichend:
- Hostname (oder die IP-Adresse) des Active Directory-Servers
- ein "Benutzername"/"Passwort"-Paar auf dem AD-Verzeichnis, das die Herstellung von Verbindungen ermöglicht.
Standardmäßig werden alle Benutzer und Gruppen aus dem Active Directory abgerufen. Filter für die Abfrage eines Teils des Verzeichnisses können durch Einstellung der folgenden Informationen konfiguriert werden:
- Root des Verzeichnisses
- die für die Benutzer- und Gruppensynchronisation zu verwendenden Filter, mit denen die importierten Daten eingeschränkt werden können.
Ein letzter Parameter wird verwendet, um die Domain-Segmentierungsgruppe anzugeben.
Mit dem Tool können Sie direkt prüfen, ob das Verzeichnis erreichbar und der Zugriff richtig konfiguriert ist.
So funktioniert das Synchronisationswerkzeug
Benutzerkonten
Das Plugin für Active Directory arbeitet auf 3 sich ergänzende Arten:
- Globaler Import aller Benutzer
- Inkrementeller Import
- Import in Echtzeit bei Authentifizierung
Der globale Import durchsucht alle Benutzer und Gruppen im Active Directory (unter Berücksichtigung der AD-Root und Filter) und importiert sie in BlueMind. Diejenigen, die nicht vorhanden sind, werden erstellt, die bereits vorhandenen werden ggf. geändert.
Der inkrementelle Import funktioniert auf die gleiche Weise, wobei aber nur nach Benutzern gesucht wird, die seit dem letzten Import geändert wurden.
Der Import sucht bei der Authentifizierung den Benutzer im Active Directory, wenn er in BlueMind nicht bekannt ist; wenn er ihn findet, importiert er ihn und authentifiziert ihn im Active Directory, um ihm sofortigen Zugriff auf BlueMind zu ermöglichen.
Konto-Status
Aus einem Active Directory importierte Konten, die den konfigurierten LDAP-Filter berücksichtigen, werden automatisch aktiviert.
Umgekehrt können sie im Active Directory suspendiert oder gelöscht werden, um sie am Zugriff auf E-Mails zu hindern. Ein im Active Directory gelöschter Benutzer wird in BlueMind einfach suspendiert.
Geplante Active Directory-Synchronisierung
Inkrementeller Import
Wenn das Active Directory-Plugin installiert ist, erstellt BlueMind eine geplante Aufgabe, um in regelmäßigen Abständen die Benutzer- und Gruppendatenbanken mit dem Active Directory zu synchronisieren.
Der inkrementelle Import verarbeitet nur Daten, die seit dem letzten Import angelegt, gelöscht oder geändert wurden.
Wie im folgenden Bildschirmfoto gezeigt, kann die geplante Aufgabe:
- automatisch sein: aktiviert nach spezifischen Kriterien für die bereits getätigten Importe, mit einer maximalen Häufigkeit von 4 Stunden;
- geplant sein: in einem Cron-Format, das eine beliebige Häufigkeit der Aktivierung erlaubt
- deaktiviert sein: in diesem Fall wird die geplante Aufgabe nicht ausgeführt.
Bm_legend | ||
---|---|---|
| ||
Verfolgung der geplanten Aufgaben
Auf dem Bildschirm zur Verfolgung von geplanten Aufgaben können Sie überprüfen, ob diese korrekt ausgeführt wurden. Der folgende Screenshot zeigt die durchgeführten Synchronisationsaufgaben, ihr Ausführungsdatum und das Ergebnis des Vorgangs:
Active Directory-Mapping - BlueMind
Benutzer-Attribute
Avertissement |
---|
Der BlueMind AD-Import basiert zur Ermittlung von Zugehörigkeiten auf member und memberOf und unterstützt daher keine primäre Gruppenverwaltung. Darüber hinaus ist es nicht ratsam, die primäre Benutzergruppe außer in besonderen Fällen zu ändern. |
lastname
otherMailbox
proxyAddresses
Das Active Directory Mail-Attribut wird als Standard-E-Mail-Adresse in BlueMind definiert.
Wenn dieses Feld nicht vorhanden oder nicht ausgefüllt ist, wird die Standard-BlueMind-Adresse durch den ersten der in den folgenden Feldern gefundenen Werte definiert (in dieser Reihenfolge) :
- den ersten Wert des Feldes otherMailbox
- den Wert des Feldes proxyAddresses:
- den ersten mit dem Präfix "SMTP:"
- die erste Rückgabe mit Präfix "smtp:", wenn keine E-Mail mit Präfix "SMTP:" vorliegt
Wenn keines dieser Felder ausgefüllt ist, hat der Benutzer keinen Posteingang in BlueMind
telephoneNumber
otherTelephone
homePhone
otherHomePhone
mobile
otherMobile
facsimileTelephoneNumber
otherFacsimileTelephoneNumber
pager
otherPager
Gruppen-Attribute
Zuweisung von Rechten
Ab BlueMind 3.5 basiert der Zugriff auf Anwendungen auf der Verwaltung der den Benutzern zugewiesenen Rollen .
Der AD-Import verwaltet keine Rollen, so dass Benutzer nach dem Import zunächst keine Rollen haben und nicht auf Anwendungen (Webmail, Kontakte, Kalender) zugreifen können.
Der einfachste und effektivste Weg, dies zu bewerkstelligen, ist über Gruppen:
- in der DA weisen Sie den Benutzern eine gemeinsame Gruppe zu (oder mehrere, falls gewünscht)
- einen 1. Import starten: die Gruppe(n) wird/werden in BlueMind mit den Benutzern importiert
- gehen Sie in die Administration und weisen Sie der Gruppe die gewünschten Rollen zu
Astuce |
---|
Bei den folgenden Importen und Updates werden die Rollen beibehalten. |
Danach müssen neue Benutzern nur noch der/den Gruppe(n) zugeordnet werden, um ihnen die gewünschten Rollen zu geben.
Erzwingen oder Korrigieren einer UID
Die UID eines Benutzers kann im Benutzer-Verwaltungsstammsatz in BlueMind ausgefüllt oder korrigiert werden.
Gehen Sie dazu in die Administrationskonsole > Verzeichnisse > Verzeichniseinträge > wählen Sie den Benutzerdatensatz > Registerkarte Wartung: Das Feld ExternalID mit der UID des Benutzers im AD ausfüllen und speichern.
Remarque | ||
---|---|---|
Der ExternalID muss "ad://" vorangestellt werden. Zum Beispiel:
|