Temas sobre los servidores LDAP

Servidores LDAP

Los servidores LDAP sirven de alojamiento para los directorios LDAP como NetIQ eDirectory y Microsoft Active Directory, que proporcionan dos servicios importantes al sistema GroupWise:

  • Sincronización de usuarios: esta función transfiere la información de usuario modificada del directorio LDAP a GroupWise para mostrarla en la guía de direcciones de GroupWise.

    El directorio LDAP es la ubicación primaria de la información de usuario. Los cambios en los datos de usuario realizados en la consola de administración de GroupWise no se vuelven a sincronizar con el directorio.

    El MTA realiza la sincronización de todos los usuarios del dominio al que presta servicio. Seguidamente, replica la información de usuario a todos los dominios del sistema GroupWise.

  • Autenticación LDAP: esta función requiere que los usuarios de GroupWise proporcionen sus contraseñas del directorio (datos de entrada a la red) en lugar de las contraseñas de GroupWise a fin de acceder a sus buzones.

    El POA realiza la autenticación LDAP en nombre del cliente de GroupWise, la aplicación WebAccess y el GWIA en caso de que estos programas deban autenticar usuarios en GroupWise.

Lista Directorios/Servidores: muestra los directorios y los servidores LDAP definidos para usarse en el sistema GroupWise. Haga clic en un directorio o un servidor para modificar su configuración.

A no ser que haya seleccionado Autenticación de GroupWise (objeto Oficina postal > pestaña Seguridad), debe configurar al menos un directorio LDAP para usarlo en el sistema GroupWise.

Nuevo directorio: haga clic en nuevo directorio para definir un directorio LDAP nuevo (NetIQ eDirectory, Microsoft Active Directory o LDAP genérico).

Nuevo servidor LDAP: haga clic en Nuevo servidor LDAP para definir un servidor LDAP nuevo.

Debe configurar uno o varios servidores LDAP, además de un directorio LDAP si se produce alguna de estas situaciones:

  • Si desea configurar un grupo de servidores LDAP a fin de proporcionar redundancia para la autenticación LDAP (objeto Oficina postal > pestaña Seguridad).

  • Si desea proporcionar a los usuarios de GroupWise de una ubicación remota una réplica del servidor y el directorio LDAP local a fin de facilitar una autenticación LDAP más rápida.

Suprimir: seleccione uno o varios directorios o servidores y haga clic en Suprimir para eliminarlos de la lista.

Servidores LDAP > Nuevo/Editar directorio > General

Puede utilizar NetIQ eDirectory, Microsoft Active Directory o un directorio LDAP genérico con GroupWise. GroupWise y el directorio interactúan de las siguientes formas:

  • Sincronización de usuarios: esta función transfiere la información de usuario modificada del directorio LDAP a GroupWise para mostrarla en la guía de direcciones de GroupWise.

    El directorio LDAP es la ubicación primaria de la información de usuario. Los cambios en los datos de usuario realizados en la consola de administración de GroupWise no se vuelven a sincronizar con el directorio.

    El MTA realiza la sincronización de todos los usuarios del dominio al que presta servicio. Seguidamente, replica la información de usuario a todos los dominios del sistema GroupWise.

  • Autenticación LDAP: esta función requiere que los usuarios de GroupWise proporcionen sus contraseñas del directorio (datos de entrada a la red) en lugar de las contraseñas de GroupWise a fin de acceder a sus buzones.

    El POA realiza la autenticación LDAP en nombre del cliente de GroupWise, la aplicación WebAccess y el GWIA en caso de que estos programas deban autenticar usuarios en GroupWise.

  • Publicación de correo electrónico: GroupWise puede ser la ubicación primaria de las direcciones de correo electrónico de los usuarios, en lugar del directorio LDAP. Es posible configurar GroupWise para sincronizar las direcciones de correo electrónico con el directorio cuando se cambian en la consola de administración de GroupWise (Sistemas > Direccionamiento de Internet > pestaña Publicación de correo electrónico y Sistema > Servidores LDAP > directorio > pestaña Publicación de correo electrónico.

Nombre: en el caso de un directorio LDAP nuevo, especifique un nombre exclusivo y descriptivo por el que desea que se conozca este directorio en el sistema GroupWise. No es posible editar un nombre existente.

Descripción: (opcional) proporcione información útil adicional sobre el directorio LDAP.

Tipo: seleccione el tipo de directorio que va a definir para usar con GroupWise.

GroupWise es totalmente compatible con el uso de NetIQ eDirectory y Microsoft Active. Otros directorios LDAP funcionan correctamente si utilizan atributos LDAP estándar.

Atributo de imagen LDAP: permite seleccionar el atributo de imagen correspondiente a las fotos que desea importar desde el directorio. Si utiliza Active Directory, las opciones disponibles son thumbnailPhoto o jpegPhoto. Si utiliza eDirectory, las opciones disponibles son jpegPhoto o photo. GroupWise ajusta automáticamente el tamaño de las fotos importadas a 64 x 64 píxeles.

Dirección: especifique la dirección IP o el nombre de host DNS del servidor LDAP donde se encuentre el directorio.

Si la red usa IPv6, debe especificar el nombre de host DNS.

Puerto: especifique el número de puerto TCP en el que se puede comunicar el MTA con el servidor LDAP.

Si se requiere SSL, el número de puerto LDAP por defecto es el 636. Si no se requiere SSL, el número de puerto LDAP por defecto es el 389.

Usar SSL: indica que el MTA debe usar el protocolo SSL (Secure Socket Layer) para comunicarse con el servidor LDAP donde esté situado el directorio.

Certificado SSL: para el acceso de los agentes de GroupWise 18, cargue el archivo de certificado SSL en GroupWise. Para el acceso de los agentes de versiones heredadas de GroupWise, especifique la vía completa del archivo de certificado SSL.

El certificado raíz de LDAP proporcionado por el servidor LDAP solo contiene información pública. Por lo tanto y para su comodidad, se puede guardar con seguridad en una base de datos del dominio. De esta forma se replica por todo el sistema GroupWise y estará disponible para todos los MTA y POA que se basen en los servicios LDAP.

Para poder cargar el certificado raíz LDAP en una base de datos del dominio, debe ser capaz de acceder al archivo de certificado desde la estación de trabajo. Puede que tenga que transferir el archivo de certificado del servidor LDAP a la estación de trabajo local o al servidor de GroupWise al que esté conectada la consola de administración.

Ver: haga clic en Ver Icono Ver para ver el certificado raíz LDAP almacenado en la base de datos del dominio para este servidor LDAP.

Suprimir: haga clic en Suprimir Icono Suprimir para eliminar el certificado raíz LDAP almacenado en la base de datos del dominio para este servidor LDAP.

Carga: haga clic en Seleccionar Icono Seleccionar para buscar y seleccionar el archivo de certificado raíz LDAP. Puede buscar el archivo en el sistema de archivos local o acceder a él en el servidor de GroupWise al que está conectada actualmente la consola de administración.

Usuario LDAP: especifique el nombre de usuario para autenticarse en el servidor LDAP.

especifique la información en el formato usado por el servidor LDAP. Por ejemplo:

cn=user_name,ou=org_unit,o=organization|
cn=user_name,ou=users,dc=server_name,dc=company_name,dc=com

los MTA se autentican en el servidor LDAP para realizar la sincronización de usuarios.

Contraseña de usuario LDAP: especifique la contraseña del usuario LDAP.

DN de base: (opcional) especifique el contexto de base donde se encuentran en el directorio LDAP los usuarios que se van a sincronizar; por ejemplo:

ou=users,ou=org_unit,o=organization
cn=users,dc=server_name,dc=company_name,dc=com

Dominio de sincronización: seleccione el dominio cuyo MTA desea que realiza la sincronización de usuarios con el directorio LDAP.

El MTA de dominio debe estar configurado para realizar la sincronización de usuarios (objeto de MTA > pestaña Eventos programados). La información de usuario obtenida del directorio por este MTA se replicará automáticamente por todo el sistema GroupWise.

Habilitar sincronización: autoriza al directorio LDAP a comunicase con el MTA a fin de realizar la sincronización de usuarios.

Sinc: realiza una sincronización de usuario inmediata, independientemente del próximo evento programado de sincronización de usuario del MTA.

Servidores LDAP > Nuevo/Editar directorio > Autenticación LDAP

Puede configurar el sistema GroupWise para que use la autenticación de GroupWise o la autenticación LDAP cuando los usuarios entren en sus buzones (objeto de oficina postal > pestaña Seguridad).

  • Autenticación de GroupWise: esta opción usa contraseñas específicas de GroupWise almacenadas junto a los buzones de los usuarios.

  • Autenticación LDAP: esta función requiere que los usuarios de GroupWise proporcionen sus contraseñas del directorio (datos de entrada a la red) en lugar de las contraseñas de GroupWise a fin de acceder a sus buzones.

    El POA realiza la autenticación LDAP en nombre del cliente de GroupWise, la aplicación WebAccess y el GWIA en caso de que estos programas deban autenticar usuarios en GroupWise.

Método de autenticación de usuarios: seleccione cómo desea que interactúe el servidor LDAP con los POA a la hora de autenticar a los usuarios de GroupWise:

  • Enlazar: seleccione Enlazar si desea que el POA se enlace como el usuario de GroupWise al servidor LDAP para autenticar la contraseña del usuario. Si utiliza esta opción, la mayoría de los servidores LDAP aplicará las directivas de contraseña como entradas de gracia y bloqueo de intrusos, en el caso de que se hayan implementado ese tipo de directivas para el servidor LDAP.

    Para Microsoft Active Directory solo está disponible la opción Enlazar.

  • Comparar: seleccione Comparar si desea que el servidor LDAP compare la contraseña proporcionada por el POA con la contraseña del usuario en el directorio LDAP y luego devuelva los resultados para autenticar la contraseña del usuario. Si utiliza esta opción proporcionará un acceso más rápido, ya que hay menos carga involucrada.

Usuario LDAP: especifique el nombre de usuario para autenticarse en el servidor LDAP.

especifique la información en el formato usado por el servidor LDAP. Por ejemplo:

cn=user_name,ou=org_unit,o=organization|
cn=user_name,ou=users,dc=server_name,dc=company_name,dc=com

Si desea que los POA accedan al servidor LDAP con derechos específicos para el directorio, especifique un usuario LDAP que tenga los derechos oportunos.

Si no proporciona un nombre de usuario LDAP, el POA accederá al servidor LDAP con una conexión pública o anónima en el caso de las conexiones de tipo Comparar o con el nombre de usuario de GroupWise para las conexiones de tipo Enlazar. El tipo de conexión se configura para el servidor LDAP en la pestaña General.

Contraseña de usuario LDAP: (condicional) si el nombre de usuario LDAP requiere una contraseña, especifíquela.

Inhabilitar cambio de contraseña LDAP: evita que los usuarios de GroupWise puedan cambiar las contraseñas de su directorio LDAP (de red) mediante el recuadro de diálogo Contraseña en el cliente de GroupWise o en WebAccess.

Si deselecciona esta opción, los usuarios del cliente de GroupWise podrán usar el ajuste Herramientas > Opciones > Seguridad > Contraseña para cambiar sus contraseñas de GroupWise y sus contraseñas del directorio LDAP (red) al mismo tiempo. Los usuarios de WebAccess pueden usar el ajuste Opciones Icono de opciones > Contraseña.

Servidores LDAP > Nuevo/Editar directorio > Publicación de correo electrónico

Si el sistema GroupWise se basa en un directorio LDAP (como NetIQ eDirectory o Microsoft Active Directory) para proporcionar la información de usuario (Sistema > Servidores LDAP), tanto las bases de datos de GroupWise como el directorio contienen información sobre los formatos de las direcciones de correo electrónico de los usuarios.

Si cambia la configuración de formato de las direcciones de correo electrónico de GroupWise de los usuarios en la consola de administración, puede publicar los cambios en el directorio LDAP para que esta información coincida en ambos lugares.

Publicar direcciones de correo electrónico en este directorio: permite que el directorio LDAP reciba direcciones de correo electrónico publicadas mediante el ajuste Sistema > Direccionamiento de Internet > Publicación de correo electrónico.

Anular formatos de direccionamiento definidos en el nivel del sistema: permite anular los ajustes del nivel del sistema (Sistema > Direccionamiento de Internet > Publicación de correo electrónico) para este directorio.

Publicar solo la dirección de correo electrónico preferida: publica las direcciones de correo electrónico de los usuarios en el directorio LDAP solo en el formato establecido en el campo Formato de dirección preferido en la pestaña Direccionamiento en Internet > Formatos de dirección. Esta acción publica una dirección de correo electrónico por usuario en el formato establecido por el sistema GroupWise.

Publicar todas las direcciones permitidas: publica las direcciones de correo electrónico de los usuarios en el directorio LDAP en los formatos seleccionados en la lista Formato de dirección preferido de la pestaña Direccionamiento en Internet > Formatos de dirección. Esta acción publica una o más direcciones de correo electrónico por usuario en todos los formatos permitidos para el sistema GroupWise.

Publicar las siguientes direcciones: permite seleccionar las direcciones de correo electrónico y los formatos que se publicarán. Por defecto, los formatos disponibles son los seleccionados en la lista en la pestaña Direccionamiento en Internet > Formatos de dirección. De esta forma se publican una o varias direcciones de correo electrónico por usuario en los formatos seleccionados específicamente.

Publicar direcciones del apodo: publica las direcciones de correo electrónico en los formatos seleccionados más arriba que incluyen apodos. Los apodos se establecen en la pestaña Apodo de los objetos de usuario y se pueden gestionar haciendo clic en Apodos en el menú Administración.

Publicar direcciones de alias de gateway: publica las direcciones de correo electrónico en los formatos seleccionados más arriba que incluyen alias de gateway. Los alias de gateway se establecen en la pestaña Alias de gateway de los objetos de usuario. Siempre que sea posible, use los ID de correo electrónico preferidos en lugar de los alias de gateway.

Servidores LDAP > Nuevo/Editar servidor LDAP > General

Debe configurar uno o varios servidores LDAP, además de un directorio LDAP si se produce alguna de estas situaciones:

  • Si desea configurar un grupo de servidores LDAP a fin de proporcionar redundancia para la autenticación LDAP (objeto Oficina postal > pestaña Seguridad).

  • Si desea proporcionar a los usuarios de GroupWise de una ubicación remota una réplica del servidor y el directorio LDAP local a fin de facilitar una autenticación LDAP más rápida.

Nombre: en el caso de un servidor LDAP nuevo, especifique un nombre exclusivo y descriptivo por el que desea que se conozca este servidor en el sistema GroupWise. Este nombre aparece en la lista de servidores LDAP disponible cuando se configura la autenticación LDAP (objeto Oficina postal > pestaña Seguridad). No es posible editar un nombre existente.

Descripción: (opcional) proporcione información útil adicional sobre el servidor LDAP.

Directorio: seleccione el directorio LDAP en el servidor LDAP.

El directorio ya debe estar definido para usarse con GroupWise mediante el ajuste Sistema > Servidores LDAP > Nuevo directorio.

Dirección: especifique la dirección IP o el nombre de host DNS del servidor LDAP.

Si la red usa IPv6, debe especificar el nombre de host DNS.

Puerto: especifique el número de puerto TCP en el que se pueden comunicar los POA y los MTA con el servidor LDAP.

Si se requiere SSL, el número de puerto LDAP por defecto es el 636. Si no se requiere SSL, el número de puerto LDAP por defecto es el 389.

Usar SSL: indica que los POA y los MTA deben usar el protocolo SSL (nivel de zócalo seguro) para comunicarse con el servidor LDAP.

Certificado SSL: para el acceso de los agentes de GroupWise 18, cargue el archivo de certificado SSL en GroupWise. Para el acceso de los agentes de versiones heredadas de GroupWise, especifique la vía completa del archivo de certificado SSL.

El certificado raíz de LDAP proporcionado por el servidor LDAP solo contiene información pública. Por lo tanto y para su comodidad, se puede guardar con seguridad en una base de datos del dominio. De esta forma se replica por todo el sistema GroupWise y estará disponible para todos los MTA y POA que se basen en los servicios LDAP.

Para poder cargar el certificado raíz LDAP en una base de datos del dominio, debe ser capaz de acceder al archivo de certificado desde la estación de trabajo. Puede que tenga que transferir el archivo de certificado del servidor LDAP a la estación de trabajo local o al servidor de GroupWise al que esté conectada la consola de administración.

Ver: haga clic en Ver Icono Ver para ver el certificado raíz LDAP almacenado en la base de datos del dominio para este servidor LDAP.

Suprimir: haga clic en Suprimir Icono Suprimir para eliminar el certificado raíz LDAP almacenado en la base de datos del dominio para este servidor LDAP.

Carga: haga clic en Seleccionar Icono Seleccionar para buscar y seleccionar el archivo de certificado raíz LDAP. Puede buscar el archivo en el sistema de archivos local o acceder a él en el servidor de GroupWise al que está conectada actualmente la consola de administración.

Servidores LDAP > Nuevo/Editar servidor LDAP > Oficinas postales

Debe configurar uno o varios servidores LDAP, además de un directorio LDAP si se produce alguna de estas situaciones:

  • Si desea configurar un grupo de servidores LDAP a fin de proporcionar redundancia para la autenticación LDAP (objeto Oficina postal > pestaña Seguridad).

  • Si desea proporcionar a los usuarios de GroupWise de una ubicación remota una réplica del servidor y el directorio LDAP local a fin de facilitar una autenticación LDAP más rápida.

Oficinas postales seleccionadas: muestra las oficinas postales que usan actualmente este servidor LDAP para la autenticación LDAP.

Oficinas postales disponibles: muestra las oficinas postales que aún no están asociadas con un servidor LDAP.

Seleccione una oficina postal y haga clic en un botón de flecha para moverlo de una lista a otra.

Traslade las oficinas postales de la lista Oficinas postales disponibles a la lista Oficinas postales seleccionadas para asignar oficinas postales a este servidor LDAP.

También puede asignar servidor LDAP a oficinas postales en el nivel de estas (objeto Oficina postal > pestaña Seguridad).

Para obtener más información, consulte Información legal.