...
Sv translation |
---|
|
InstallationTo access LDAP synchronization functionalities, you must install the plugin "ldap-import". To do this, log into the server and use the following command to start installation: Bloc de code |
---|
language | bash |
---|
title | Debian/Ubuntu |
---|
| sudo aptitude update
sudo aptitude install bm-plugin-admin-console-ldap-import bm-plugin-core-ldap-import |
Bloc de code |
---|
language | bash |
---|
title | RedHat/CentOS |
---|
| yum update
yum install bm-plugin-admin-console-ldap-import bm-plugin-core-ldap-import |
Once installation is complete, restart the "bm-core" component using the following command: Bloc de code |
---|
| bmctl restart |
Set upOnly the global administrator is able to configure LDAP synchronization for a domain. Domain administrators are able to view settings and launch import jobs. - Log in as global administrator admin0@global.virt
- Go to System Management > Modify Domains and select the domain you want to set up
- Go to the "Directories" tab
Field | Note |
---|
LDAP server name or IP address | LDAP server host name or IP address. | Protocol | Choose which protocol to use: - PLAIN
- SSL
- SSL/accept all certificates
- TLS
- TLS/accept all certificates
Depending on the protocol, the port will automatically be set to: - PLAIN : 389
- SSL : 636
- TLS : 389
| Root directory | Specify the LDAP root directory | User DN | DN of the root user used to connect to the LDAP server | Password | The user password used to connect to the LDAP server | LDAP filter for users | Only users validated by this filter will be imported into BlueMind | LDAP filter for groups | Only groups validated by this filter will be imported into BlueMind | External ID | Attribute of an invariant and unique LDAP entry identifier used to bind an LDAP entry to a BlueMind entry. | Split domain group | This field can be left empty. It will be ignored if the split domain functionality is not configured for BlueMind. Emails sent to members of this group will be redirected to another mail server in the same domain (through split domain configuration). |
LDAP-BlueMind mappingUser attributes BlueMind | LDAP Attribute | Note |
---|
login | uid | Values are mapped on import for compatibility reasons: - accented letters are replaced by their non-accented equivalent
- all letters are changed to lowercase
- spaces are replaced by '_'
| firstname | givenName |
| lastname | sn |
| description | description |
| mail | mail mailLocalAddress mailAlternateAddress gosaMailAlternateAddress | BlueMind's default email address is defined from the first LDAP attribute of the following: "mail", "mailLocalAddress", "mailAlternateAddress", or "gosaMailAlternateAddress". The others will be used as alias email addresses. If none of these fields is filled in, the user will not have a mail service. | user mail quota | mailQuotaSize mailQuota gosaMailQuota | Must be expressed in bytes in LDAP. The first of these LDAP attributes to be found is used : mailQuotaSize > mailQuota > gosaMailQuota | work phones | telephoneNumber |
| home phones | homePhone |
| mobile phones | mobile |
| fax | facsimileTelephoneNumber |
| pager | pager |
| memberOf | memberOf | List of groups the user is a member of. BlueMind users can only be added to LDAP groups imported previously. | photoID | jpegPhoto | Profile picture: attribute content is imported as profile picture for related account | user.value.contactInfos.organizational.title | title |
| user.value.contactInfos.organizational.org.company | o |
| user.value.contactInfos.organizational.org.division | ou |
| user.value.contactInfos.organizational.org.department | departmentNumber |
| address.locality | l |
| address.postalCode | postalCode |
| address.countryName | st |
| address.streetAddress | postalAddress |
| address.postOfficeBox | postOfficeBox |
| Group attributes BlueMind | Attribut LDAP | Note |
---|
name | cn |
| description | description |
| mail | mail |
| member | memberUid | Only users and groups already imported into BlueMind will be added to the group | Assigning roles From BlueMind 3.5, access to applications is subject to the roles users are assigned. As LDAP imports do not handle roles, imported users are not assigned any roles and they are unable to access applications (webmail, contacts, calendar). The easiest and most effective way of handling this is through groups: - in LDAP, assign one (or several, if desired) common group to users
- launch a first import: the group(s) are imported into BlueMind along with users
- go to the admin section and assign the desired roles to the group(s)
Info |
---|
Roles are maintained during subsequent imports and updates. |
In the future, simply assign new users to this/ese group(s) in order to give them the desired roles. Astuce |
---|
| As new versions are released, new roles and feature improvements are regularly added to BlueMind. E.g. BlueMind version 3.5.9 allows administrators to enable or disable the ability for BlueMind users to connect to Thunderbird through new roles. In earlier versions, all users had this ability. To make sure that after the update the new right will be enabled for existing users, you must set the group(s) in which LDAP users have been assigned to are as default group. To do this, go to the group(s)' admin page, check the "Default group" box and save:
|
Forcing or correcting a UIDA user's UID can be filled in or corrected in the user's admin page in BlueMind. To do this, go to the admin console > Directories > Directory Browser > select user > Maintenance tab: enter the user's LDAP UID in the ExternalID box then save. Remarque |
---|
The ExternalID must be prefixed with "ldap://". For example : Bloc de code |
---|
ldap://5d6b50-399a6-1e6f2-d01267d1f-0fbecb |
|
|
Sv translation |
---|
|
Installation
Um auf die Synchronisationsfunktionen mit einem ldap-Verzeichnis zugreifen zu können, muss das ldap-import-Plugin installiert werden.
Verbinden Sie sich dazu mit dem Server und geben Sie den folgenden Befehl ein, um die Installation des Plugins zu starten:
Bloc de code |
---|
language | bash |
---|
title | Debian/Ubuntu |
---|
|
sudo aptitude update
sudo aptitude install bm-plugin-admin-console-ldap-import bm-plugin-core-ldap-import |
Bloc de code |
---|
language | bash |
---|
title | RedHat/CentOS |
---|
|
yum update
yum install bm-plugin-admin-console-ldap-import bm-plugin-core-ldap-import |
Starten Sie die Komponente bm-core nach Abschluss der Installation mit dem folgenden Befehl neu:
Bloc de code |
---|
|
bmctl restart |
Konfiguration
Nur der globale Administrator kann die LDAP-Synchronisierung für eine Domain konfigurieren. Domain-Administratoren können die Einstellungen einsehen und die Importaufgabe starten.
- Anmeldung als globaler Administrator admin0@global.virt
- Gehen Sie in das Menü Systemadministration > Überwachte Domains und wählen Sie die zu konfigurierende Domain aus
- Gehen Sie auf die Registerkarte "Verzeichnisse"
Image Removed
Feld | Hinweis |
---|
Name oder IP des LDAP-Servers | IP oder FQDN des LDAP-Servers |
Protokoll | Wählen Sie das zu verwendende Protokoll:- PLAIN
- SSL
- SSL/Alle Zertifikate akzeptieren
- TLS
- TLS/Alle Zertifikate akzeptieren
Je nach Auswahl ist der verwendete Port automatisch: - PLAIN: 389
- SSL: 636
- TLS: 389
|
Verzeichnis-Root | Festlegen des LDAP-Stammverzeichnisses |
Benutzer-DN | DN des Root-Benutzers, der zur Verbindung mit dem LDAP-Server verwendet wird |
Passwort | Passwort des Benutzers, der für die Verbindung zum LDAP-Server verwendet wird |
LDAP-Benutzerfilter | Nur durch diesen Filter validierte Benutzer werden in BlueMind importiert |
LDAP-Gruppenfilter | Nur die durch diesen Filter validierten Gruppen werden in BlueMind importiert |
Externe ID | Attribut, das einem unveränderlichen und eindeutigen LDAP-Eingangsbezeichner entspricht. Wird verwendet, um einen LDAP-Eintrag mit einem BlueMind-Eintrag zu verknüpfen |
Domain-Segmentierungsgruppe | Dieses Feld darf leer sein. Dieses Feld wird ignoriert, wenn die Domainsegmentierungsfunktion für BlueMind nicht konfiguriert ist. Mails für Benutzer in dieser Gruppe werden an einen anderen Mailserver in derselben Domain umgeleitet (konfiguriert über Domainsegmentierung). |
LDAP-Mapping - BlueMind
Benutzer-Attribute
BlueMind | LDAP-Attribut | Hinweis |
---|
Login | uid | Beim Import wird aus Kompatibilitätsgründen ein Mapping (Zeichenersetzung) durchgeführt: - Ersetzen von Buchstaben mit diakritischen Zeichen durch den entsprechenden Buchstaben ohne diakritisches Zeichen
- Umwandlung in Kleinbuchstaben-
- Ersetzen von Leerzeichen durch '_'
|
firstname | givenName | lastname | sn | Beschreibung | Beschreibung | mail | mail mailLocalAddress mailAlternateAddress gosaMailAlternateAddress | Die Standard-E-Mail-Adresse von BlueMind ist die erste, die unter den LDAP Mail-Attributen definiert ist, entweder mailLocalAddress oder mailAlternateAddress oder gosaMailAlternateAddress. Die anderen werden als E-Mail-Alias verwendet. Image Removed Wenn keines dieser Felder ausgefüllt ist, hat der Benutzer keinen Posteingang in BlueMind |
user mail quota | mailQuotaSize mailQuota gosaMailQuota | Muss in LDAP in Bytes ausgedrückt werden. Das erste dieser gefundenen LDAP-Attribute wird verwendet: mailQuotaSize > mailQuota > gosaMailQuota |
work phones | telephoneNumber | home phones | homePhone | mobile phones | mobile | fax | facsimileTelephoneNumber | pager | pager | memberOf | memberOf | Liste der Gruppen, in denen der Benutzer Mitglied ist. Der BlueMind-Benutzer kann nur zu LDAP-Gruppen hinzugefügt werden, die bereits importiert wurden |
photoID | jpegFoto | Foto des Benutzers: Der Inhalt dieses Attributs wird als das Foto des entsprechenden Kontos importiert |
user.value.contactInfos.organizational.title | title | user.value.contactInfos.organizational.org.company | o | user.value.contactInfos.organizational.org.division | oder | user.value.contactInfos.organizational.org.department | departmentNumber | address.locality | l | address.postalCode | postalCode | address.countryName | st | address.streetAddress | postalAddress | address.postOfficeBox | postOfficeBox | Gruppen-Attribute
BlueMind | LDAP-Attribut | Hinweis |
---|
name | cn | Beschreibung | Beschreibung | mail | mail | member | memberUid | Nur bereits in BlueMind importierte Benutzer und Gruppen werden zu den Gruppenmitgliedern hinzugefügt |
Zuweisung von Rechten
Ab BlueMind 3.5 basiert der Zugriff auf Anwendungen auf der Verwaltung der den Benutzern zugewiesenen Rollen . Der LDAP-Import verwaltet keine Rollen, so dass Benutzer nach dem Import zunächst keine Rollen haben und nicht auf Anwendungen (Webmailer, Kontakte, Kalender) zugreifen können.
Der einfachste und effektivste Weg, dies zu bewerkstelligen, ist über Gruppen:
- Den Benutzern in idap eine gemeinsame Gruppe zuweisen (oder mehrere, falls gewünscht)
- einen 1. Import starten: die Gruppe(n) wird/werden in BlueMind mit den Benutzern importiert
- gehen Sie in die Administration und weisen Sie der Gruppe die gewünschten Rollen zu
Info |
---|
Bei den folgenden Importen und Updates werden die Rollen beibehalten. |
Danach müssen neue Benutzern nur noch der/den Gruppe(n) zugeordnet werden, um ihnen die gewünschten Rollen zu geben.
Astuce |
---|
title | Modifizierung der Rollen |
---|
|
Neue Versionen von BlueMind führen regelmäßig neue Rollen mit Verbesserungen ein, insbesondere für Funktionen, die die Benutzer bereits verwenden. In der BlueMind-Version 3.5.9 kann der Administrator beispielsweise die Möglichkeit für seine Benutzer aktivieren oder deaktivieren, Thunderbird über eine neue Rolle zu verbinden. Bis zu dieser Version hatten alle Benutzer diese Möglichkeit. Um sicherzustellen, dass das neue Recht bei der Aktualisierung für die vorhandenen Benutzer aktiviert wird, sollte(n) die Gruppe(n), in der/denen die Benutzer aus dem LDAP platziert wurden, als Standardgruppe(n) festgelegt werden. Rufen Sie dazu das Gruppenverwaltungsstammsatz auf, kreuzen Sie das entsprechende Kästchen an und speichern Sie den Stammsatz: Image Removed |
Erzwingen oder Korrigieren einer UID
Die UID eines Benutzers kann im Benutzer-Verwaltungsstammsatz in BlueMind ausgefüllt oder korrigiert werden.
Gehen Sie dazu in die Administrationskonsole > Verzeichnisse > Verzeichniseinträge > wählen Sie den Benutzerstammsatz > Registerkarte Wartung: Das Feld ExternalID mit der UID des Benutzers im LDAP ausfüllen und speichern.
Remarque |
---|
Der ExternalID muss das Präfix "ldap:" vorangestellt werden Zum Beispiel: Bloc de code |
---|
ldap://5d6b50-399a6-1e6f2-d01267d1f-0fbecb |
|