Themen zu LDAP-Servern

LDAP-Server

Auf LDAP-Servern befinden sich LDAP-Verzeichnisse (z. B. NetIQ eDirectory oder Microsoft Active Directory), die zwei wichtige Services für Ihr GroupWise-System erbringen:

  • Benutzersynchronisierung: Bei der Benutzersynchronisierung werden bearbeitete Benutzerinformationen aus dem LDAP-Verzeichnis an GroupWise übertragen und werden dort im GroupWise-Adressbuch angezeigt.

    Das LDAP-Verzeichnis ist der primäre Speicherort für Benutzerinformationen. Alle Änderungen an den Benutzerinformationen, die Sie in der GroupWise-Verwaltungskonsole vornehmen, werden nicht mit dem Verzeichnis synchronisiert.

    Der MTA führt die Benutzersynchronisierung für alle Benutzer in der vom MTA betreuten Domäne durch. Anschließend repliziert der MTA die Benutzerinformationen an alle Domänen in Ihrem GroupWise-System.

  • LDAP-Authentifizierung: Zur LDAP-Authentifizierung müssen die GroupWise-Benutzer ihr Passwort für das Verzeichnis (die Netzwerkanmeldung) anstelle des GroupWise-Passworts angeben, damit sie auf ihre Mailboxen zugreifen können.

    Wenn der GroupWise-Client, die WebAccess-Anwendung oder der GWIA Benutzer gegenüber GroupWise authentifizieren müssen, führt der POA die LDAP-Authentifizierung im Namen dieser Programme durch.

Liste „Verzeichnisse/Server“: Zeigt eine Liste der LDAP-Verzeichnisse und LDAP-Server an, die für die Verwendung mit Ihrem GroupWise-System konfiguriert sind. Zum Bearbeiten der Konfiguration eines Verzeichnisses oder Servers klicken Sie auf das gewünschte Verzeichnis bzw. auf den gewünschten Server.

Falls Sie nicht die Option GroupWise-Authentifizierung (Post-Office-Objekt > Registerkarte Sicherheit) aktiviert haben, müssen Sie mindestens ein LDAP-Verzeichnis für die Verwendung mit dem GroupWise-System konfigurieren.

Neues Verzeichnis: Zum Definieren eines neuen LDAP-Verzeichnisses (NetIQ eDirectory, Microsoft Active Directory oder generisches LDAP) klicken Sie auf Neues Verzeichnis.

Neuer LDAP-Server: Klicken Sie auf Neuer LDAP-Server, um einen neuen LDAP-Server zu definieren.

Wenn eine oder beide der nachfolgenden Bedingungen erfüllt sind, müssen Sie neben einem LDAP-Verzeichnis zusätzlich mindestens einen LDAP-Server konfigurieren:

  • Sie möchten einen Pool von LDAP-Servern konfigurieren, der Redundanz bei der LDAP-Authentifizierung bewirken soll (Post-Office-Objekt > Registerkarte Sicherheit).

  • Sie möchten GroupWise-Benutzern an einem Remote-Standort eine Reproduktion eines lokalen LDAP-Servers und -Verzeichnisses anbieten und so die rasche LDAP-Authentifizierung erleichtern.

Löschen: Wählen Sie ein oder mehrere Verzeichnisse oder Server aus und klicken Sie auf Löschen, um diese aus der Liste zu entfernen.

LDAP-Server > Verzeichnisse erstellen/bearbeiten > Allgemein

Sie können wahlweise NetIQ eDirectory, Microsoft Active Directory oder ein generisches LDAP-Verzeichnis zusammen mit GroupWise nutzen. GroupWise und das Verzeichnis arbeiten wie folgt zusammen:

  • Benutzersynchronisierung: Bei der Benutzersynchronisierung werden bearbeitete Benutzerinformationen aus dem LDAP-Verzeichnis an GroupWise übertragen und werden dort im GroupWise-Adressbuch angezeigt.

    Das LDAP-Verzeichnis ist der primäre Speicherort für Benutzerinformationen. Alle Änderungen an den Benutzerinformationen, die Sie in der GroupWise-Verwaltungskonsole vornehmen, werden nicht mit dem Verzeichnis synchronisiert.

    Der MTA führt die Benutzersynchronisierung für alle Benutzer in der vom MTA betreuten Domäne durch. Anschließend repliziert der MTA die Benutzerinformationen an alle Domänen in Ihrem GroupWise-System.

  • LDAP-Authentifizierung: Zur LDAP-Authentifizierung müssen die GroupWise-Benutzer ihr Passwort für das Verzeichnis (die Netzwerkanmeldung) anstelle des GroupWise-Passworts angeben, damit sie auf ihre Mailboxen zugreifen können.

    Wenn der GroupWise-Client, die WebAccess-Anwendung oder der GWIA Benutzer gegenüber GroupWise authentifizieren müssen, führt der POA die LDAP-Authentifizierung im Namen dieser Programme durch.

  • Email-Veröffentlichung: GroupWise kann anstelle des LDAP-Verzeichnisses als primärer Speicherort für die Email-Adressen der Benutzer fungieren. Sie können GroupWise so konfigurieren, dass die Email-Adressen mit dem Verzeichnis synchronisiert werden, wenn Sie sie in der GroupWise-Verwaltungskonsole ändern (System > Internet-Adressierung > Registerkarte „Email-Veröffentlichung“ und System > LDAP-Server > Verzeichnis > Registerkarte „Email-Veröffentlichung“.

Name: Geben Sie für ein neues LDAP-Verzeichnis einen eindeutigen und aussagekräftigen Namenein, unter dem dieses Verzeichnis im GroupWise-System bekannt sein soll. Ein vorhandener Name kann nicht bearbeitet werden.

Beschreibung: (Optional) Geben Sie weitere nützliche Informationen zum LDAP-Verzeichnis ein.

Typ: Wählen Sie den Typ des Verzeichnisses aus, das für die Verwendung mit GroupWise definiert werden soll.

NetIQ eDirectory und Microsoft Active Directory werden uneingeschränkt zur Nutzung mit GroupWise unterstützt. Andere LDAP-Verzeichnisse sind ebenfalls problemlos möglich, wenn sie standardmäßige LDAP-Attribute verwenden.

LDAP-Image-Attribut: Erlaubt die Auswahl des Image-Attributs, das zu den Fotos gehört, die Sie aus Ihrem Verzeichnis importieren möchten. Sofern Sie Active Directory verwenden, lauten die Optionen „thumbnailPhoto“ oder „jpegPhoto“. Sofern Sie eDirectory verwenden, lauten die Optionen „jpegPhoto“ oder „photo“. GroupWise passt die Größe der importierten Fotos automatisch auf 64 x 64 Pixel an.

Adresse: Geben Sie entweder die IP-Adresse oder den DNS-Hostnamen des LDAP-Servers an, auf dem sich das Verzeichnis befindet.

Wenn IPv6 im Netzwerk verwendet wird, muss der DNS-Hostname angegeben werden.

Port: Geben Sie die Nummer des TCP-Ports an, an dem der MTA mit dem LDAP-Server kommuniziert.

Wenn SSL erforderlich ist, lautet die standardmäßige LDAP-Portnummer 636. Wenn SSL nicht erforderlich ist, lautet die standardmäßige LDAP-Portnummer 389.

SSL verwenden: Gibt an, dass der MTA das SSL-Protokoll (Secure Socket Layer) bei der Kommunikation mit dem LDAP-Server, auf dem sich das Verzeichnis befindet, verwenden muss.

SSL-Zertifikat: Für den Zugriff durch GroupWise 18-Agenten laden Sie die SSL-Zertifikatsdatei in GroupWise hoch. Für den Zugriff durch ältere GroupWise-Agenten geben Sie den vollständigen Pfadnamen der SSL-Zertifikatsdatei an.

Das LDAP-Stammzertifikat vom LDAP-Server enthält nur öffentliche Informationen. Es kann daher ohne Sicherheitsrisiko in eine Domänendatenbank hochgeladen werden. Damit wird es im gesamten GroupWise-System reproduziert, sodass es allen MTAs und POAs zur Verfügung steht, die die LDAP-Services nutzen.

Zum Hochladen des LDAP-Stammzertifikats in eine Domänendatenbank müssen Sie von Ihrer Arbeitsstation aus zur Zertifikatsdatei wechseln können. Unter Umständen müssen Sie die Zertifikatsdatei vom LDAP-Server auf Ihre lokale Arbeitsstation bzw. auf den GroupWise-Server, mit dem die Verwaltungskonsole verbunden ist, übertragen.

Anzeigen: Mit Anzeigen Symbol „Anzeigen“ rufen Sie das LDAP-Stammzertifikat ab, das in der Domänendatenbank für diesen LDAP-Server gespeichert ist.

Löschen: Mit Löschen Symbol „Löschen“ entfernen Sie das LDAP-Stammzertifikat, das in der Domänendatenbank für diesen LDAP-Server gespeichert ist.

Heraufladen: Klicken Sie auf Auswählen Symbol „Auswählen“, wechseln Sie zur LDAP-Stammzertifikatsdatei und wählen Sie diese aus. Sie können Ihr lokales Dateisystem nach dieser Datei durchsuchen oder auf dem GroupWise-Server, mit dem die Verwaltungskonsole derzeit verbunden ist, auf die Datei zugreifen.

LDAP-Benutzer: Geben Sie den Benutzernamen für die Authentifizierung gegenüber dem LDAP-Server an.

Beachten Sie dabei das Format, das vom LDAP-Server für diese Informationen verwendet wird. Beispiel:

cn=user_name,ou=org_unit,o=organization|
cn=user_name,ou=users,dc=server_name,dc=company_name,dc=com

MTAs authentifizieren sich gegenüber dem LDAP-Server zur Benutzersynchronisierung.

LDAP-Benutzerpasswort: Geben Sie das Passwort für den LDAP-Benutzer an.

Basis-DN: (Optional) Geben Sie den Basiskontext an, in dem sich die zu synchronisierenden Benutzer im LDAP-Verzeichnis befinden, beispielsweise:

ou=users,ou=org_unit,o=organization
cn=users,dc=server_name,dc=company_name,dc=com

Domäne synchronisieren: Wählen Sie die Domäne aus, deren MTA die Benutzersynchronisierung mit dem LDAP-Verzeichnis vornehmen soll.

Der MTA der Domäne muss für die Benutzersynchronisierung konfiguriert sein(MTA-Objekt > Registerkarte Routineereignisse). Die Benutzerinformationen, die der MTA aus diesem Verzeichnis erhält, werden dann anschließend im gesamten GroupWise-System reproduziert.

Synchronisierung aktivieren: Autorisiert das LDAP-Verzeichnis, mit dem MTA zu kommunizieren und die Benutzersynchronisierung auszuführen.

Sync: Startet die Benutzersynchronisierung sofort, unabhängig vom nächsten geplanten MTA-Ereignis für die Benutzersynchronisierung.

LDAP-Server > Verzeichnisse erstellen/bearbeiten > LDAP-Authentifizierung

Sie können Ihr GroupWise-System so konfigurieren, dass die GroupWise-Authentifizierung oder die LDAP-Authentifizierung erforderlich ist, wenn sich die Benutzer bei ihren Mailboxen anmelden (Post-Office-Objekt > Registerkarte Sicherheit).

  • GroupWise-Authentifizierung: Bei der GroupWise-Authentifizierung werden GroupWise-spezifische Passwörter verwendet, die zusammen mit den Mailboxen der Benutzer gespeichert werden.

  • LDAP-Authentifizierung: Zur LDAP-Authentifizierung müssen die GroupWise-Benutzer ihr Passwort für das Verzeichnis (die Netzwerkanmeldung) anstelle des GroupWise-Passworts angeben, damit sie auf ihre Mailboxen zugreifen können.

    Wenn der GroupWise-Client, die WebAccess-Anwendung oder der GWIA Benutzer gegenüber GroupWise authentifizieren müssen, führt der POA die LDAP-Authentifizierung im Namen dieser Programme durch.

Benutzerauthentifizierungsmethode: Geben Sie an, wie der LDAP-Server mit den POAs bei der Authentifizierung von GroupWise-Benutzern zusammenarbeiten soll:

  • Bind: Wählen Sie Bindaus, wenn Sie festlegen möchten, dass der POA als GroupWise-Benutzer mit dem LDAP-Server verbunden werden soll, um das Benutzerpasswort zu authentifizieren. Mit der Option Bind erzwingen die meisten LDAP-Server Passwortrichtlinien, beispielsweise Kulanzanmeldungen und Sperren gegen unbefugte Benutzer, falls derartige Richtlinien für den LDAP-Server implementiert wurden.

    Für Microsoft Active Directory steht nur Bind zur Verfügung.

  • Vergleichen: Wählen Sie Vergleichen, wenn Sie festlegen möchten, dass der LDAP-Server das Passwort, das vom POA angeboten wird, mit dem Benutzerpasswort im LDAP-Verzeichnis vergleichen und anschließend die Vergleichsergebnisse zurückgeben soll, um das Benutzerpasswort zu authentifizieren. Mit der Option Vergleichen wird ein schnellerer Zugriff ermöglicht, weil dieser Vorgang weniger aufwändig ist.

LDAP-Benutzer: Geben Sie den Benutzernamen für die Authentifizierung gegenüber dem LDAP-Server an.

Beachten Sie dabei das Format, das vom LDAP-Server für diese Informationen verwendet wird. Beispiel:

cn=user_name,ou=org_unit,o=organization|
cn=user_name,ou=users,dc=server_name,dc=company_name,dc=com

Wenn die POAs mit bestimmten Rechten für das Verzeichnis auf den LDAP-Server zugreifen sollen, geben Sie einen LDAP-Benutzer an, der über die gewünschten Rechte verfügt.

Wenn Sie keinen LDAP-Benutzernamen angeben, greift der POA mit einer öffentlichen oder anonymen Verbindung für eine Vergleichs-Verbindung oder mit dem Benutzernamen des GroupWise-Benutzers für eine BIND-Verbindung auf den LDAP- Server zu. Der Verbindungstyp für den LDAP-Server wird auf der Registerkarte Allgemein konfiguriert.

LDAP-Benutzerpasswort: (Bedingt) Wenn für den LDAP-Benutzernamen ein Passwort erforderlich ist, geben Sie das Passwort ein.

Funktion zur Änderung des LDAP-Passworts deaktivieren: Hindert GroupWise-Benutzer bei Verwendung des Dialogfelds „Passwort“ im GroupWise-Client oder in WebAccess daran, ihr Passwort für das LDAP-Verzeichnis (Netzwerk) zu ändern.

Wenn Sie diese Option deaktivieren, können die GroupWise-Client-Benutzer ihr GroupWise-Passwort und ihr Passwort für das LDAP-Verzeichnis (Netzwerk) mit Werkzeuge > Optionen > Sicherheit > Passwort gleichzeitig ändern. WebAccess-Benutzer können Optionen Symbol „Optionen“ > Passwort verwenden.

LDAP-Server > Verzeichnisse erstellen/bearbeiten > Email-Veröffentlichung

Wenn Ihr GroupWise-System die Benutzerinformationen aus einem LDAP-Verzeichnis bezieht (z. B. NetIQ eDirectory oder Microsoft Active Directory) System > LDAP-Server), enthalten sowohl die GroupWise-Datenbanken als auch das Verzeichnis Informationen zu den Email-Adressformaten der Benutzer.

Wenn Sie die Formateinstellungen für die GroupWise-Email-Adressen der Benutzer in der Verwaltungskonsole ändern, können Sie die Änderungen im LDAP-Verzeichnis veröffentlichen, um zu gewährleisten, dass die Email-Adressinformationen der Benutzer an beiden Orten identisch sind.

Veröffentlicht Email-Adressen in dieses Verzeichnis: Hiermit kann das LDAP-Verzeichnis Email-Adressen empfangen, die über System > Internet-Adressierung > Email-Veröffentlichung veröffentlicht werden.

Auf Systemebene definierte Adressierformate überschreiben: Hiermit können Sie die Einstellungen für dieses Verzeichnis auf Systemebene (System > Internet-Adressierung > Email-Veröffentlichung) überschreiben.

Nur bevorzugte Email-Adresse veröffentlichen: Die Email-Adressen von Benutzern in eDirectory werden ausschließlich in dem Format veröffentlicht, das im Feld Bevorzugtes Adressformat auf der Registerkarte Internet-Adressierung > Adressierungsformate festgelegt wurde. Hiermit wird pro Benutzer eine Email-Adresse im bevorzugten Format veröffentlicht, das für Ihr GroupWise-System festgelegt wurde.

Alle zulässigen Adressen veröffentlichen: Die Email-Adressen von Benutzern in eDirectory werden in allen Formaten veröffentlicht, die in der Liste Zulässige Adressformate auf der Registerkarte Internet-Adressierung > Adressformate ausgewählt wurden. Hiermit werden pro Benutzer eine oder mehrere Email-Adressen in den Formaten veröffentlicht, die für Ihr GroupWise-System zulässig sind.

Folgende Adressen veröffentlichen: Wählen Sie die zu veröffentlichenden Email-Adressen und Formate aus. Standardmäßig werden als verfügbare Formate diejenigen in der Liste verwendet, die auf der Registerkarte Internet-Adressierung > Adressformate ausgewählt wurden. Hiermit werden pro Benutzer eine oder mehrere Email-Adressen in den explizit ausgewählten Formaten veröffentlicht.

Kurznamenadressen veröffentlichen: Hiermit werden alle Email-Adressen in den oben ausgewählten Formaten veröffentlicht, die einen Kurznamen enthalten. Kurznamen werden auf der Registerkarte Kurzname in Benutzerobjekten festgelegt. Zum Verwalten klicken Sie auf Kurznamen im Menü Verwaltung.

Gateway-Alias-Adressen veröffentlichen: Hiermit werden alle Email-Adressen in den oben ausgewählten Formaten veröffentlicht, die einen Gateway-Aliasnamen enthalten. Gateway-Aliasnamen werden auf der Registerkarte Gateway-Aliasnamen in Benutzerobjekten festgelegt. Nach Möglichkeit sollten Sie bevorzugte Email-IDs anstelle der Gateway-Aliasnamen verwenden.

LDAP-Server > LDAP-Server erstellen/bearbeiten > Allgemein

Wenn eine oder beide der nachfolgenden Bedingungen erfüllt sind, müssen Sie neben einem LDAP-Verzeichnis zusätzlich mindestens einen LDAP-Server konfigurieren:

  • Sie möchten einen Pool von LDAP-Servern konfigurieren, der Redundanz bei der LDAP-Authentifizierung bewirken soll (Post-Office-Objekt > Registerkarte Sicherheit).

  • Sie möchten GroupWise-Benutzern an einem Remote-Standort eine Reproduktion eines lokalen LDAP-Servers und -Verzeichnisses anbieten und so die rasche LDAP-Authentifizierung erleichtern.

Name: Geben Sie für einen neuen LDAP-Server einen eindeutigen und aussagekräftigen Namen ein, unter dem dieser Server im GroupWise-System bekannt sein soll. Dieser Name wird in der Liste der LDAP-Server aufgeführt, die beim Konfigurieren der LDAP-Authentifizierung (Post-Office-Objekt > Registerkarte Sicherheit) angezeigt wird. Ein vorhandener Name kann nicht bearbeitet werden.

Beschreibung: (Optional) Geben Sie weitere nützliche Informationen zum LDAP-Server ein.

Verzeichnis: Wählen Sie das LDAP-Verzeichnis auf dem LDAP-Server aus.

Das Verzeichnis muss bereits mit System > LDAP-Server > Neues Verzeichnis für die Verwendung mit GroupWise definiert sein.

Adresse: Geben Sie entweder die IP-Adresse oder den DNS-Hostnamen des LDAP-Servers an.

Wenn IPv6 im Netzwerk verwendet wird, muss der DNS-Hostname angegeben werden.

Port: Geben Sie die Nummer des TCP-Ports an, an dem die POAs und MTAs mit dem LDAP-Server kommunizieren.

Wenn SSL erforderlich ist, lautet die standardmäßige LDAP-Portnummer 636. Wenn SSL nicht erforderlich ist, lautet die standardmäßige LDAP-Portnummer 389.

SSL verwenden: Gibt an, dass die POAs und MTAs das SSL-Protokoll (Secure Socket Layer) bei der Kommunikation mit dem LDAP-Server verwenden müssen.

SSL-Zertifikat: Für den Zugriff durch GroupWise 18-Agenten laden Sie die SSL-Zertifikatsdatei in GroupWise hoch. Für den Zugriff durch ältere GroupWise-Agenten geben Sie den vollständigen Pfadnamen der SSL-Zertifikatsdatei an.

Das LDAP-Stammzertifikat vom LDAP-Server enthält nur öffentliche Informationen. Es kann daher ohne Sicherheitsrisiko in eine Domänendatenbank hochgeladen werden. Damit wird es im gesamten GroupWise-System reproduziert, sodass es allen MTAs und POAs zur Verfügung steht, die die LDAP-Services nutzen.

Zum Hochladen des LDAP-Stammzertifikats in eine Domänendatenbank müssen Sie von Ihrer Arbeitsstation aus zur Zertifikatsdatei wechseln können. Unter Umständen müssen Sie die Zertifikatsdatei vom LDAP-Server auf Ihre lokale Arbeitsstation bzw. auf den GroupWise-Server, mit dem die Verwaltungskonsole verbunden ist, übertragen.

Anzeigen: Mit Anzeigen Symbol „Anzeigen“ rufen Sie das LDAP-Stammzertifikat ab, das in der Domänendatenbank für diesen LDAP-Server gespeichert ist.

Löschen: Mit Löschen Symbol „Löschen“ entfernen Sie das LDAP-Stammzertifikat, das in der Domänendatenbank für diesen LDAP-Server gespeichert ist.

Heraufladen: Klicken Sie auf Auswählen Symbol „Auswählen“, wechseln Sie zur LDAP-Stammzertifikatsdatei und wählen Sie diese aus. Sie können Ihr lokales Dateisystem nach dieser Datei durchsuchen oder auf dem GroupWise-Server, mit dem die Verwaltungskonsole derzeit verbunden ist, auf die Datei zugreifen.

LDAP-Server > LDAP-Server erstellen/bearbeiten > Post-Offices

Wenn eine oder beide der nachfolgenden Bedingungen erfüllt sind, müssen Sie neben einem LDAP-Verzeichnis zusätzlich mindestens einen LDAP-Server konfigurieren:

  • Sie möchten einen Pool von LDAP-Servern konfigurieren, der Redundanz bei der LDAP-Authentifizierung bewirken soll (Post-Office-Objekt > Registerkarte Sicherheit).

  • Sie möchten GroupWise-Benutzern an einem Remote-Standort eine Reproduktion eines lokalen LDAP-Servers und -Verzeichnisses anbieten und so die rasche LDAP-Authentifizierung erleichtern.

Ausgewählte Post-Offices: Zeigt eine Liste der Post-Offices an, die derzeit diesen LDAP-Server für die LDAP-Authentifizierung verwenden.

Verfügbare Post-Offices: Zeigt eine Liste der Post-Offices an, die noch keinem LDAP-Server zugewiesen sind.

Wählen Sie ein Post-Office aus und klicken Sie dann auf eine Pfeilschaltfläche. Das Post-Office wird in die jeweils andere Liste verschoben.

Zum Zuweisen von Post-Offices zu diesem LDAP-Server verschieben Sie die gewünschten Post-Offices aus der Liste Verfügbare Post-Offices in die Liste Ausgewählte Post-Offices.

Alternativ können Sie LDAP-Server auf der Post-Office-Ebene zu Post-Offices zuweisen (Post-Office-Objekt > Registerkarte Sicherheit).

Weitere Informationen hierzu finden Sie unter Rechtliche Hinweise.