Einrichtung der LDAP-Anbindung

Geschätzte Lesedauer: 3 min

LDAP Credentials – Login & LDAP Synchronisation

Mit Secure Mail Gateway könne Sie auch Ihren Verzeichnisdienst wie z.B. Active Directory (AD) direkt an unser Programm anschließen. Dabei ist es möglich Ihr AD am Control Panel zu authentisieren oder dort eine Benutzersynchronisation bezüglich den Managed Services durchzuführen. Damit dies gelingt, brauchen wir zu Ihrem Verzeichnisdienst eine Anbindung, welche in der Domainverwaltung im Reiter „LDAP“ sich folgend Einrichten lässt:

Anforderungen zur LDAP-Konfiguration:

Sollten Sie sich für die Einrichtung der LDAP-Konfiguration entscheiden, kann diese dem Webfilter Service (beim Abgleich des Anmeldepassworts), dem Spamfilter Service (Untersuchen und Synchronisation der E-Mailadressen mit dem AD) und Anmeldung im Control Panel.

Secure Mail Gateway benötigt einige Daten, wenn man die Online-LDAP-Abfrage benutzen möchte. Geben Sie hierzu folgende Daten im Control Panel ein.

  • Als erstes muss ein Benutzer im Verzeichnis angelegt werden. Nehmen Sie dabei einen frei wählbaren Namen, obwohl normalerweise „Portfromance“ bevorzugt wird.
  • Nun wird für den neu erstellten Benutzer das Passwort und der LDAP-Basispfad benötigt.
  • Außerdem muss der Benutzer auch zum Einsehen von E-Mailadressen und Passwörter geeignet sein. Hierzu können Sie z.B. den Benutzer im Microsoft Verzeichnisdienst der Gruppe „RAS and IAS Servers“ zuordnen
  • Wird der LDAP-Server über den Online-Zugriff benutzt, ist es sinnvoll über den Hostname (bzw. welche IPAdresse) und welche Portnummer wir über welches Protokoll beziehen (LDAP oder Secure LDAP) bescheid zu wissen.

Erstellung einer LDAP-Verbindung über einen VPN-Tunnel oder Beschränkung des Verzeichnisdienst-Zugriffs

Zum zusätzlichen Schutz sollten Sie ihre LDAP-Verbindung verschlüsseln. Wir empfehlen Ihnen hier die Secure-LDAP von Secure Mail Gateway. Auch wäre es gut, wenn Sie Ihre Firewall von Ihrem Verzeichnisdienst auf Secure Mail Gateway beschränken

  1. Bereich: 246.65.0/24mit Subnetzmaske 255.255.255.0, entspricht 83.246.65.0 bis 83.246.65.255
  2. Bereich: 100.128.0/20mit Subnetzmaske 255.255.240.0, entspricht 94.100.128.0 bis 94.100.143.255
  3. Bereich: 140.204.0/22mit Subnetzmaske 255.255.252.0, entspricht 185.140.204.0 bis 185.140.207.255

Wenn Sie möchten, können wir mit Absprach auch eine LDAP-Verbindung über einen VPN-Tunnel erstellen. Bitte kontaktieren Sie Portformance dazu telefonisch

Einrichtung – Login Credentials aus LDAP nutzen

Bitte melden Sie sich mit Ihren Benutzerdaten und dem dazugehörigen Passwort an. Wollen Sie nicht Ihre Daten im Control Panel pflegen, ist es möglich die Login Credentials über Ihren Verzeichnisdienst abzugleichen. Weiterführend müssen Sie den LDAP-Filter angeben, wo die E-Mail-Adresse ausgelesen wird. Diese machen Sie, indem Sie bei weiteren Auswahlmöglichkeiten „Cotrol Panel Authentifizierung mittels Active Directory“ aktivieren.

Der Filter kann sich an Ihr Verzeichnisdienst anpassen. Würden Sie z.B. das AD-Attribut „proxyaddresses=*“ suchen, würden alle passenden Einträge angezeigt werden.

Daraufhin ist diese Funktion mithilfe des Klicks auf „Login Test“ prüfbar.

Dazu geben Sie einfach sowohl E-Mailadresse also auch das zugehörige Passwort aus Ihrem Verzeichnis ein. Ob der Test erfolgreich war, ist nach dem Bestätigen sichtlich.

Einrichtung – LDAP-Synchronisation für Benutzer & Gruppen

Sie können aus dem Verzeichnis Benutzer (inklusive Aliasadressen) mit dem Control Panel zusammenlegen. Damit können Sie einzelnen Benutzern automatisch Aliasadressen verteilen. Man kann dadurch nur jeder Hauptbenutzeradresse den Spamreport zuteil und aus dem Verzeichnis Gruppen importieren, z.B. zum Secure Mail Gateway Webfilters. Zuerst müssen die Gruppennamen manuell im Control Panel eingetragen werden, um eine erfolgreiche Importierung von Gruppen zu gewehrleisten. Dabei ist es wichtig die gleichen Namen der Gruppen im Verzeichnis wie im Control Panel zu haben. Bei der Speicherung werden zukünftig die Gruppen mit dem Verzeichnisdienst über eine LDAP-Synchronisation verglichen. Wichtig ist auch, dass ein Benutzer nur einmal in der selbst Gruppe ist. Sollte am nächsten Tag die Gruppen-Einstellungen leer sein, bitten wir Sie Ihre Rechtschreibung der im Control Panel eingetragenen Gruppen mit der Schreibweise der Gruppen in Ihrem Verzeichnisdienstes zu überprüfen. Sollten danach weitere Probleme mit den Gruppen auftreten, können Sie im Control die LDAP-Einstellungen überprüfen oder Kontakt mit unserem Support aufnehmen.

Zusammengefasste Information des ADs im Control Panel für die Synchronisation einrichten

Benutzer-/Gruppensynchronisation

Wollen Sie eine Benutzer-/Gruppensynchronisation per LDAP starten, aktivieren Sie einfach im Control Panel „Benutzer-/Gruppen in das Control Panel synchronisieren“, welches sich im Bereich der LDAP-Anbindung im Reiter „Benutzer-/Gruppensynchronisation“ befindet, und tragen den LDAP-Filter ein für die richtigen Benutzer und Ausnahmen ein. Achten Sie bitte bei der Eingabe des LDAP-Filters darauf, dass die Eingaben immer mit „(|(„ beginnen und mit “))“ enden. Damit muss mindestens ein Wert in den Klammern Eingetragen sein z.B. „(|(xxxxxxx=xxxxxx))“.

Nichts desto trotz werden die unterschiedlich Variablen (bzw. LDAP-Attribute) benötigt, welche sich unterhalbe des LDAP Filters eintragen lassen:

Durch das Einstehlen einer Mindestzahl von Benutzer oder Gruppen können Sie z.B. das Löschen von Benutzern nur zulassen, wenn eine bestimmte Anzahl erreicht wurde. Bei einer Synchronisation können somit schwere Fehler vermieden werden. Um Fehler bei der Synchronisation mitbekommen, ist es sinnvoll eine Notfall E-Mail-Adresse zusätzlich mit anzugeben.

Webfilter Login (Webfilter Service)

LDAP-Login ist auch für den Webfilter Service vorhanden. Hierzu aktivieren Sie diese Einstellung einfach im Control Panel unter /LDAP-Anbidungen/Webfilterlogin und legen den LDAO-Filter für die E-Mailadresse des Benutzers an.

 

War dieser Artikel hilfreich?
Dislike 0
Views: 18