Historique de la page
Sv translation | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Principe de fonctionnementBlueMind permet d'importer et d'utiliser les utilisateurs et les groupes depuis un système Active Directory. L'import Active Directory est réalisé pour chaque domaine côté BlueMind de manière incrémentale. Les mots de passe des utilisateurs importés sont validés directement auprès de l'Active Directory. BlueMind ne stocke aucun mot de passe. Un nouvel utilisateur peut se connecter à un serveur BlueMind même s'il n'a pas encore été importé. Son compte BlueMind sera créé automatiquement si le processus d'authentification réussit. Le provisioning (création ou modification) d'un utilisateur ou d'un groupe depuis l'Active Directory vers BlueMind a donc lieu :
InstallationAfin d'accéder aux fonctionnalités de synchronisation avec un annuaire AD, il est nécessaire d'installer le plugin ad-import. Pour cela, se connecter sur le serveur et taper la commande suivante pour lancer l'installation du plugin :
Une fois l'installation terminée, redémarrer le composant bm-core à l'aide de la commande suivante :
ConfigurationConfiguration de la connection Active Directory
Configuration des rôles utilisateurLorsque BlueMind est configuré pour importer sa base utilisateur d'un Active Directory, BlueMind ne contrôle plus les règles de gestion des mots de passe. BlueMind ne peut pas écrire dans l'Active Directory et ne peut donc pas modifier le mot de passe Active Directory. Pour cette raison, il est nécessaire d'enlever aux utilisateurs importés de l'Active Directory l'accès aux interfaces de modification de mot de passe (qui agit sur le mot de passe BlueMind uniquement). Les interfaces de gestion des mots de passe sont accessibles via le rôle : Général → Modifier son mot de passe (voir Les roles : droits d acces et d administration)
Méthode de connexion Le plugin BlueMind pour Active Directory n'impose aucune contrainte particulière ou aucun schéma particulier. Il suffit d'indiquer les informations suivantes :
Par défaut, l'ensemble des utilisateurs et des groupes sont récupérés de l'Active Directory. Des filtres permettant d'interroger une partie de l'annuaire peuvent être configurés, en configurant les informations suivantes :
Un dernier paramètre permet d'indiquer le groupe de segmentation du domaine. L'outil permet de vérifier directement si l'annuaire est bien accessible et l'accès bien configuré. Fonctionnement de l'outil de synchronisationComptes utilisateursLe plugin pour Active Directory fonctionne de 3 façons complémentaires :
L'import global parcourt l'intégralité des utilisateurs et groupes de l'Active Directory (en tenant compte de la racine AD et des filtres) et les importe dans BlueMind. Ceux qui n'existent pas sont créés, ceux qui existaient déjà sont modifiés si nécessaire. L'import incrémental fonctionne de la même façon, mais uniquement en parcourant les utilisateurs modifiés depuis le dernier import. Enfin, l'import à l'authentification recherche l'utilisateur dans l'Active Directory lorsqu'il n'est pas connu dans BlueMind ; s'il le trouve, il l'importe et l'authentifie sur l'Active Directory pour lui donner accès immédiatement à BlueMind. État d'un compteLes comptes importés d'un Active Directory respectant le filtre LDAP configuré sont automatiquement activés. A l'inverse, ils peuvent être suspendus ou supprimés dans l'Active Directory afin que l'accès à la messagerie leur soit interdit. Un utilisateur supprimé dans l'Active Directory est simplement suspendu dans BlueMind. Synchronisation Active Directory planifiéeImport incrémentalA l'installation du plugin Active Directory, BlueMind crée une tâche planifiée dont le but sera de synchroniser à intervalles réguliers les bases utilisateurs et groupes auprès de l'Active Directory. L'import incrémental ne traite que les données qui ont été créées, supprimées ou modifiées depuis le dernier import. Comme indiqué la copie d'écran suivante, la tâche planifiée peut être :
Suivi des tâches planifiéesL'écran de suivi des tâches planifiées permet de vérifier la bonne exécution de celles-ci. La copie d'écran suivante montre ainsi les tâches de synchronisation réalisées, leur date d'exécution et le résultat de l'opération : Mapping Active Directory - BlueMindAttributs des utilisateurs
Attributs des groupes
Attribution des droitsÀ partir de BlueMind 3.5, l'accès aux applications passe par la gestion des rôles qui sont attribués aux utilisateurs. L'import AD ne gérant pas les rôles, les utilisateurs n'en ont donc aucun une fois qu'ils ont été importés et n'accèdent pas aux applications (webmail, contacts, calendrier). La façon la plus simple et efficace de gérer cela est de passer par les groupes :
Par la suite, pour les nouveaux utilisateurs, il suffira de les affecter à ce(s) groupe(s) afin de leur attribuer les rôles souhaités. Forcer ou corriger un UIDL'UID d'un utilisateur peut être renseigné ou corrigé dans la fiche d'administration de l'utilisateur dans BlueMind. Pour cela, se rendre dans la console d'administration > Annuaires > Entrées d'annuaire > choisir la fiche de l'utilisateur > onglet Maintenance : renseigner le champ ExternalID avec l'UID de l'utilisateur dans l'AD puis enregistrer.
|
Sv translation | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
How AD synchronization worksBlueMind allows you to import and use users and groups from an Active Directory system. An Active Directory incremental import is carried out on each domain on the BlueMind side. The passwords of imported users are validated directly against the Active Directory. BlueMind does not store any passwords. New users can log into a BlueMind server even if they haven't been imported yet. Their BlueMind account will be created upon request automatically if the authentication process is successful. User or group provisioning (creation or modification) from the Active Directory to BlueMind therefore takes place:
InstallationAccess to AD directory synchronization functionalities requires the ad-import plugin to be installed. To start the plugin installation, log into the server and enter the command below:
When installation is complete, restart the bm-core component using the following command:
Set up
Connection methodThe BlueMind Active Directory plugin is not restrictive and does not require a specific schema, just the following information:
By default, all users and groups are imported from the Active Directory. Filters that are used to query part of the directory can be configured with the following information:
Finally, you can specify the split domain group. The synchronization tool allows you to check directly if the directory is available and access has been configured correctly. How the synchronization tool worksUser accountsThe Active Directory plugin has three interdependent functions:
The global import browses through all Active Directory users and groups (taking into account the AD root and filters) and imports them into BlueMind. Those that do not exist are created, and existing ones are modified if necessary. The incremental import works the same way, but only browses through the users modified since the last import. Finally, import on authentication looks for the user unknown to BlueMind in the Active Directory. If the user is found, it is imported and authenticated in the Active Directory, giving the user immediate access to BlueMind. Account statusAccounts imported from an Active Directory that complies with the LDAP filter are activated automatically. Conversely, accounts can be suspended or deleted from the Active Directory thereby forbidding them access to the mail system. A user deleted in the Active Directory is merely suspended in BlueMind. Scheduled Active Directory synchronizationIncremental importWhen the Active Directory plugin is installed, BlueMind creates a scheduled job whose purpose is to synchronize user and group databases against the Active Directory at regular intervals. Incremental imports only processes the data that has been created, deleted or modified since the last import. As shown in the screenshot below, a scheduled job can be:
Scheduled jobs monitoringThe scheduled jobs monitoring page allows you check that they are performed correctly. The screenshot below shows a log of synchronization jobs performed, execution date and results: Active Directory-BlueMind mappingUser attributes
Group attributes
Role assignmentFrom BlueMind 3.5, access to applications is subject to the roles users are assigned. As AD imports do not handle roles, imported users are not assigned any roles and they are unable to access applications (webmail, contacts, calendar). The easiest and most effective way of handling this is through groups:
In the future, simply assign new users to this/these group(s) in order to give them the desired roles. Forcing or correcting a UIDA user's UID can be populated or corrected in the user's admin page in BlueMind. To do this, go to the admin console > Directories > Directory Browser > select user > Maintenance tab: enter the user's AD UID in the ExternalID box then save.
|
Sv translation | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
FunktionsprinzipBlueMind ermöglicht den Import und die Verwendung von Benutzern und Gruppen aus einem Active Directory-System. Der Active Directory-Import wird BlueMind-seitig für jede Domain schrittweise durchgeführt. Die Passwörter der importierten Benutzer werden direkt mit dem Active Directory abgeglichen. BlueMind speichert keine Passwörter. Ein neuer Benutzer kann eine Verbindung zu einem BlueMind-Server herstellen, auch wenn dieser noch nicht importiert wurde. Sein BlueMind-Konto wird automatisch erstellt, wenn der Authentifizierungsprozess erfolgreich ist. Das Provisioning (Anlegen oder Ändern) eines Benutzers oder einer Gruppe aus dem Active Directory in BlueMind erfolgt:
InstallationUm auf die Synchronisationsfunktionen mit einem AD-Verzeichnis zugreifen zu können, muss das ad-import-Plugin installiert werden. Verbinden Sie sich dazu mit dem Server und geben Sie den folgenden Befehl ein, um die Installation des Plugins zu starten:
Starten Sie die Komponente bm-core nach Abschluss der Installation mit dem folgenden Befehl neu:
Konfiguration
VerbindungsmethodeDas BlueMind-Plugin für Active Directory legt keine bestimmte Einschränkung oder ein bestimmtes Schema fest. Die folgenden Informationen sind ausreichend:
Standardmäßig werden alle Benutzer und Gruppen aus dem Active Directory abgerufen. Filter für die Abfrage eines Teils des Verzeichnisses können durch Einstellung der folgenden Informationen konfiguriert werden:
Ein letzter Parameter wird verwendet, um die Domain-Segmentierungsgruppe anzugeben. Mit dem Tool können Sie direkt prüfen, ob das Verzeichnis erreichbar und der Zugriff richtig konfiguriert ist. So funktioniert das SynchronisationswerkzeugBenutzerkontenDas Plugin für Active Directory arbeitet auf 3 sich ergänzende Arten:
Der globale Import durchsucht alle Benutzer und Gruppen im Active Directory (unter Berücksichtigung der AD-Root und Filter) und importiert sie in BlueMind. Diejenigen, die nicht vorhanden sind, werden erstellt, die bereits vorhandenen werden ggf. geändert. Der inkrementelle Import funktioniert auf die gleiche Weise, wobei aber nur nach Benutzern gesucht wird, die seit dem letzten Import geändert wurden. Der Import sucht bei der Authentifizierung den Benutzer im Active Directory, wenn er in BlueMind nicht bekannt ist; wenn er ihn findet, importiert er ihn und authentifiziert ihn im Active Directory, um ihm sofortigen Zugriff auf BlueMind zu ermöglichen. Konto-StatusAus einem Active Directory importierte Konten, die den konfigurierten LDAP-Filter berücksichtigen, werden automatisch aktiviert. Umgekehrt können sie im Active Directory suspendiert oder gelöscht werden, um sie am Zugriff auf E-Mails zu hindern. Ein im Active Directory gelöschter Benutzer wird in BlueMind einfach suspendiert. Geplante Active Directory-SynchronisierungInkrementeller ImportWenn das Active Directory-Plugin installiert ist, erstellt BlueMind eine geplante Aufgabe, um in regelmäßigen Abständen die Benutzer- und Gruppendatenbanken mit dem Active Directory zu synchronisieren. Der inkrementelle Import verarbeitet nur Daten, die seit dem letzten Import angelegt, gelöscht oder geändert wurden. Wie im folgenden Bildschirmfoto gezeigt, kann die geplante Aufgabe:
Verfolgung der geplanten AufgabenAuf dem Bildschirm zur Verfolgung von geplanten Aufgaben können Sie überprüfen, ob diese korrekt ausgeführt wurden. Der folgende Screenshot zeigt die durchgeführten Synchronisationsaufgaben, ihr Ausführungsdatum und das Ergebnis des Vorgangs: Active Directory-Mapping - BlueMindBenutzer-Attribute
Gruppen-Attribute
Zuweisung von RechtenAb BlueMind 3.5 basiert der Zugriff auf Anwendungen auf der Verwaltung der den Benutzern zugewiesenen Rollen . Der AD-Import verwaltet keine Rollen, so dass Benutzer nach dem Import zunächst keine Rollen haben und nicht auf Anwendungen (Webmailer, Kontakte, Kalender) zugreifen können. Der einfachste und effektivste Weg, dies zu bewerkstelligen, ist über Gruppen:
Danach müssen neue Benutzern nur noch der/den Gruppe(n) zugeordnet werden, um ihnen die gewünschten Rollen zu geben. Erzwingen oder Korrigieren einer UIDDie UID eines Benutzers kann im Benutzer-Verwaltungsstammsatz in BlueMind ausgefüllt oder korrigiert werden. Gehen Sie dazu in die Administrationskonsole > Verzeichnisse > Verzeichniseinträge > wählen Sie den Benutzerdatensatz > Registerkarte Wartung: Das Feld ExternalID mit der UID des Benutzers im AD ausfüllen und speichern.
|