Abgleich der Benutzerkonten mit einem Active Directory

Home / Verwaltung / Abgleich der Benutzerkonten mi..../

Abgleich der Benutzerkonten mit einem Active Directory

Neben der manuellen Anlage von Benutzern (diese wird im Kapitel Verwalten von Benutzern beschrieben), kann mailSAFE seine interne Benutzerdatenbank auch mit dem Active Directory Ihres Unternehmens abgleichen.

Bei der Synchronisierung werden Benutzerinformationen, wie z.B. Benutzernamen und E-Mail-Adressen, aus dem Active Directory in die mailSAFE-Benutzer­datenbank kopiert. Dadurch können sich z.B. Benutzer mit ihren Active Directory-Zugangsdaten auch an mailSAFE anmelden und E-Mails den Benutzerarchiven automatisch zugeordnet werden. Es werden von mailSAFE keine Änderungen am Active Directory selbst vorgenommen. Der Umfang der Synchronisierung lässt sich über Filter einschränken.

Aufruf der Verzeichnisdienste-Integration

  • Melden Sie sich als mailSAFE-Administrator über den mailSAFE Client an.
  • Klicken Sie auf Verwaltung > Benutzer und Archive > Verzeichnisdienste.
  • Wählen Sie im Bereich Integration den Verzeichnisdienste-Typ Active Directory.

Verbindung zum Active Directory

Für die Synchronisierung benötigt mailSAFE Informationen darüber, wie das Active Directory angesprochen werden kann.

  • Servername
    Der Hostname oder die IP-Adresse eines Active Directory-Domänencontrollers.
  • Protokoll
    Das zu verwendende Protokoll zur Kommunikation mit dem Active Directory-Domänencontroller. Folgende Protokolle stehen zur Auswahl:

    • LDAP
      Das Standardprotokoll zum Zugriff auf das Active Directory. Auch wenn Teile der Verbindung unverschlüsselt sind, werden die eigentlichen Nutzdaten verschlüsselt.
    • LDAPS
      Die zusätzlich mit SSL-gesicherte Variante. Beachten Sie, dass dies eine funktionierende Zertifikatsinfrastruktur benötigt, bei welcher mailSAFE das SSL-Zertifikat der Domänencontrollers als vertrauenswürdig einstufen muss.
  • Basis-DN
    Der Basis-DN Ihres Active Directories. Dieser lässt sich häufig vom Namen Ihrer Active Directory-Domäne ableiten. Ist der Name Ihrer Active Directory-Domäne beispielsweise meinefirma.local lautet der Basis-DN in der Regel dc=meinefima, dc=local. Der Basis-DN kann auch über die Schaltfläche neben dem Eingabefeld ausgewählt werden, sofern ein Zugriff auf einen Active Directory-Domänencontroller möglich ist.
  • Authentifizierung
    Die Nutzung der Standard-Authentifizierung ist erforderlich. Füllen Sie die Felder Benutzername und Kennwort aus. Geben Sie den Benutzernamen in der UPN-Notation an, z.B. Administrator@meinefirma.local.

Synchronisierung der Benutzerdatenbank

Nachdem Sie die Verbindungseinstellungen wie oben beschrieben angegeben haben, können Sie in diesem Abschnitt Filterkriterien für den Abgleich mit dem Active Directory festlegen.

  • Nur Microsoft Exchange-Benutzer synchronisieren
    Hierdurch werden bei der Synchronisierung nur Benutzerkonten mit im Active Directory hinterlegten E-Mail-Adressen berücksichtigt. Nehmen Sie dieses Häkchen nur dann heraus, wenn Sie wirklich alle im Active Directory angelegten Benutzer auch als mailSAFE-Benutzer anlegen lassen wollen.

    • Nur in Adresslisten sichtbare Benutzer synchronisieren
      Hierdurch werden bei der Synchronisierung nur Active Directory Benutzerkonten berücksichtigt, deren Exchange-Postfächer in den Exchange Adresslisten nicht ausgeblendet sind. Diese Option kann nur aktiviert werden, wenn die Option Nur Microsoft Exchange-Benutzer synchronisieren ebenfalls aktiviert ist.
  • Nur aktivierte Benutzer synchronisieren
    Hierdurch werden bei der Synchronisierung nur aktive Active Directory Benutzerkonten berücksichtigt. Das Deaktivieren dieser Option kann sinnvoll sein, wenn z.B. bestimmte Exchange-Postfächer archiviert werden sollen, deren zugehörige Active Directory Benutzerkonten standardmäßig deaktiviert sind.
  • Nur diese Gruppen:
    Wählen Sie eine oder mehrere Active Directory-Sicherheitsgruppen aus, wenn Sie nur deren Mitglieder als mailSAFE-Benutzer anlegen wollen. Dadurch lässt sich z.B. verhindern, dass System-Konten nach mailSAFE synchronisiert werden.

Hinweis: Wenn mailSAFE Mitglied einer anderen Domäne ist, als die, aus der die Benutzer synchronisiert werden sollen, können Universal Groups unter Umständen nicht synchronisiert werden. Ein Fehler mit dem Fehlercode 1355 wird dann angezeigt.

  • Benutzernamen-Format
    Legen Sie fest, wie die mailSAFE Benutzernamen gebildet werden sollen:

    • SAM Account Name
      Der Prä-Windows 2000 Benutzername.
    • User Principal Name (UPN)
      Der Windows Benutzername einschließlich der Domäne, z.B. max.mustermann@example.com
    • User Principal Name (UPN) Local Part
      Der Windows Benutzername nach entfernen der Domäne, z.B. max.mustermann

Authentifizierung

  • Methode
    Hier kann gewählt werden, wie Benutzer, die aus dem Active Directory synchronisiert worden sind, authentifiziert werden.

    • Kerberos / NTLM
      Mit dieser Einstellung können sich Benutzer mit ihren Active Directory-Zugangsdaten direkt an mailSAFE anmelden. Die eingegebenen Zugangsdaten werden dabei von mailSAFE an Active Directory weitergeleitet und dort geprüft.
    • AD FS (OpenID Connect)
      Kommen in Ihrem Unternehmen die Active Directory Federation Services (AD FS) zum Einsatz, können Benutzer sich auch mittels OpenID Connect über AD FS an mailSAFE anmelden. Hierzu müssen die AD FS entsprechend unserer Anleitung konfiguriert und anschliessend die folgenden Werte in mailSAFE eingetragen werden.

      • Discovery URI
        Der URI, unter dem die AD FS erreichbar sind. In der Regel ist dies der vollständige DNS-Name des AD FS-Servers, gefolgt vom Pfad /adfs, z.B. https://adfs.example.com/adfs. Dem Zertifikat der AD FS muss vertraut werden.
      • Client-ID
        Die Client-ID der Anwendungsgruppe, die in den AD FS für mailSAFE angelegt worden ist.
      • Weiterleitungs-URI
        Der Weiterleitungs-URI, der auch in der Anwendungsgruppe hinterlegt worden ist.
      • Anmeldedaten bei jedem Login erforderlich
        Ist diese Option aktiviert, müssen Benutzer sich bei jeder Anmeldung an mailSAFE erneut über die AD FS authentifizieren.

Hinweis: Erfolgt die Anmeldung an mailSAFE über AD FS (OpenID Connect), ist der Zugriff auf das Archiv mittels IMAP aus technischen Gründen nicht möglich.

Optionen

  • Automatisch Benutzer in mailSAFE löschen
    Hier kann gewählt werden, ob Benutzer, die im Active Directory gelöscht wurden, durch die Synchro­nisierung auch in der mailSAFE-Benutzerdatenbank automatisch gelöscht werden sollen. Benutzer, die aus dem Betrachtungsbereich der Einstellungen fallen, werden ebenfalls gelöscht.
    Es werden nur mailSAFE-Benutzer gelöscht, deren Authentifizierungs­methode auf Verzeichnisdienste eingestellt ist.
    Enthält der Archivordner eines solchen Benutzers bereits archivierte E-Mails, wird nur der Benutzereintrag, nicht aber sein Archivordner in mailSAFE gelöscht.

Standard-Berechtigungen festlegen

Benutzer, die aus einem Active Directory nach mailSAFE synchronisiert wurden, besitzen standard­mässig das Recht zum Anmelden am mailSAFE Server und haben lesenden Zugriff auf ihr eigenes Benutzer­archiv.

Sie haben die Möglichkeit, die Standard-Berechtigungen vor der Synchronisierung anzupassen, um z.B. allen neuen Benutzern das Recht E-Mails archivieren zu geben. Klicken Sie dazu auf die Schaltfläche Standard-Berechtigungen....

Weitere Informationen über die Verwaltung von Benutzerrechten und deren Auswirkungen finden Sie im Kapitel Benutzer, Archive und Berechtigungen. Dort finden Sie auch Hinweise zum Anpassen existierender Berechtigungen.

Die Synchronisierung durchführen

Mit Klick auf Sync testen können Sie die Synchronisierungseinstellungen und das vom Active Directory zurückgelieferte Ergebnis überprüfen, ohne dass Änderungen an der mailSAFE-Benutzerdatenbank durchgeführt werden.

Um die Synchronisierung letztendlich durchzuführen, klicken Sie auf Synchronisieren. Das Ergebnis wird dann mit allen an der mailSAFE-Benutzerdatenbank vollzogenen Änderungen angezeigt.

Sie können die Authentifizierung für einen bestimmten Benutzer testen, indem Sie diesen in der Liste auswählen und dann auf die entsprechende Schaltfläche links unten klicken. Geben Sie anschließend das Kennwort dieses Benutzers ein. Sie erhalten eine Rückmeldung, ob die Authentifizierung erfolgreich war.

Anmeldung mit Active Directory-Zugangsdaten

Nach der Synchronisierung können sich mailSAFE-Benutzer unter Verwendung ihres Active Directory-Benutzernamens und ihres Active Directory-Kennworts an mailSAFE anmelden. Auch sind weitere Konfigurationsschritte notwendig, die in den Artikeln mailSAFE Client Deployment und mailSAFE Outlook Add-In Deployment beschrieben sind.

Verwaltung

Weitere Knowledge Base Beiträge