通用LDAP集成
除了按照“用户管理”一章中的说明手动添加用户之外,MailStore Server还可将其内部用户数据库与您公司的LDAP服务器同步。
在同步期间,将从LDAP服务器读取用户信息,例如用户名和电子邮件地址,并将其记录在MailStore Server的用户数据库中。MailStore服务器不会对LDAP服务器本身进行任何更改。同步的范围可以通过过滤器来限制。
访问目录服务集成
- 以MailStore服务器管理员身份登录到MailStore客户端。
- 单击管理工具 > 用户和特权,然后单击目录服务。
- 在“集成”部分中,将目录服务类型更改为LDAP server。
通用LDAP集成-1
连接到LDAP目录服务
为了同步,MailStore Server需要有关如何连接到LDAP目录服务以及如何从中获取所需数据的信息。
LDAP连接
| 名称 | 描述 |
|---|---|
| 服务器名称 | LDAP服务器的DNS名称或IP地址 |
| 协议 | 配置是对端口389上的LDAP服务器的连接,端口389上的LDAP-TLS还是对端口636的LDAP-SSL进行不加密 |
| 忽略SSL安全警告(仅当使用LDAP-TLS或LDAP-SSL时) | LDAP服务器使用自签名或非公共证书时允许连接 |
| 管理DN | LDAP服务器上具有适当特权的用户的专有名称(DN)或用户名 |
| 密码 | 管理DN中指定的用户密码 |
| 基本DN | LDAP基本DN(如果需要) |
用户过滤器和属性
| 名称 | 描述 |
|---|---|
| 过滤器(可选) | 过滤LDAP对象以仅返回具有电子邮件地址的用户对象 |
| 用户名 | 包含您希望MailStore使用的用户名的LDAP属性 |
| 仅本地部分(电子邮件地址/ UPN) | 如果未选中,MailStore将使用完整的用户名,包括域部分,例如username@example.com。如果选中,MailStore将仅使用指定的用户名的本地部分,例如用户名 |
| 全名(可选) | 用户的全名,用于在MailStore中显示 |
| 电子邮件地址(可选) | 包含用户电子邮件地址的LDAP属性。它可以包含多个逗号分隔的电子邮件地址 |
组过滤器和属性
| 名称 | 描述 |
|---|---|
| 过滤 | LDAP过滤器仅返回组对象 |
| 名称 | 包含组通用名称的LDAP属性 |
| 说明(可选) | LDAP属性,其中包含每个组的易于阅读的描述 |
| 成员 | 包含组成员通用名的LDAP属性 |
| 搜索成员过滤器 | 当未将成员指定为DN字符串作为组结果的一部分时,LDAP过滤器可解析组成员。MailStore将使用Members属性的 值填充{member}变量 |
| 组 | 包含MailStore Server将同步的用户的实际组 |
选件
| 名称 | 描述 |
|---|---|
| 自动删除MailStore服务器中的用户 | 如果启用,则基于上述LDAP过滤器设置,MailStore将在用户被删除,从已过滤组中删除或超出范围时,将从本地MailStore数据库中删除用户。 |
分配默认权限
默认情况下,已从目录服务同步到MailStore Server的用户具有登录MailStore Server的特权以及对自己的用户归档的读取访问权限。
您可以在同步之前配置这些默认特权,例如,将特权“ 存档电子邮件”分配给所有新用户。为此,请单击默认权限…
有关管理用户权限及其作用的更多信息,请参见“用户,文件夹和设置”一章,其中还包含有关编辑现有权限的详细信息。
配置样本
活动目录
可以将LDAP Generic连接到Active Directory,与MailStore的内置Active Directory支持相比,可以提供更大的灵活性和控制力。例如,LDAP Generic将允许您接受无效或自签名证书,使用自定义过滤器或更改MailStore使用的属性。
假定Active Directory LDAP服务可通过TCP端口389或636上的MailStore实例访问,包括在防火墙中打开端口(如果适用)。
由于大多数Active Directory配置都非常相似,因此可以复制/粘贴以下大多数示例,仅根据您的环境进行少量修改。
LDAP连接
| 名称 | 值 | 描述 |
|---|---|---|
| 服务器名称 | dc001.example.com | Active Directory域控制器的DNS名称或IP地址。 |
| 协议 | LDAP | 不要使用传输加密 |
| LDAP-TLS | 使用TLS作为传输加密 | |
| LDAP-SSL | 使用SSL作为传输加密 | |
| 忽略SSL安全警告 | 已启用 | 即使证书验证失败,也要建立TLS / SSL加密连接。 |
| 已禁用 | 如果证书验证失败,请不要建立TLS / SSL加密连接。 | |
| 管理DN | mailstore@example.com | 供MailStore使用的Active Directory帐户 |
| 密码 | 我的密码 | 上面的 管理DN中指定的用户密码 |
| 基本DN | 空的 | LDAP基本DN将在Active Directory环境中自动检测到 |
用户过滤器和属性
| 名称 | 值 | 描述 |
|---|---|---|
| 过滤器(可选) | (objectCategory=User) | 全部用户 |
| (&(objectCategory=User)(mail=*)) | 所有具有Active Directory电子邮件地址的用户 | |
| (&(objectCategory=User)(proxyAddresses=*)) | 所有拥有Exchange电子邮件地址的用户 | |
| (&(objectCategory=User)(proxyAddresses=*)(mail=*)) | 具有Exchange电子邮件地址的所有用户也在全局通讯簿中列出 | |
| 用户名 | userPrincipalName | 使用Active Directory用户名作为MailStore用户名 |
| sAMAccountName | 使用Windows 2000之前的用户名作为MailStore用户名 | |
| 仅本地部分(电子邮件地址/ UPN) | 已启用 | 仅使用UPN格式的Active Directory用户名中的本地部分 |
| 已禁用 | 使用UPN格式的完整Active Directory用户名 | |
| 全名(可选) | 显示名称 | 用户在Active Directory中的可见名称 |
| 电子邮件地址(可选) | proxyAddresses | 交流环境 |
| 非交换环境 |
组过滤器和属性
| 名称 | 值 | 描述 |
|---|---|---|
| 过滤 | (objectCategory=Group) | 组Group的所有对象,通常是所有组 |
| 名称 | cn | 使用LDAP属性CN的值作为组名 |
| 说明(可选) | 描述 | 使用LDAP属性描述的值作为组名 |
| 成员 | 成员 | 使用值LDAP属性成员确定组成员 |
| 搜索会员过滤器 | 空的 | 组成员以专有名称返回 |
| 组 | MailStore用户 | 仅同步MailStore用户组中的 用户 |
OpenLDAP
OpenLDAP是常用的LDAP服务器,配置时需要了解您的LDAP环境。
假定LDAP服务可通过TCP端口389或636上的MailStore实例访问,包括在适用的情况下在防火墙中打开端口。
由于OpenLDAP非常灵活,因此服务器之间的配置选项有所不同,您可能需要对以下示例进行重大修改以适合您环境中使用的架构。
LDAP连接
| 名称 | 值 | 描述 |
|---|---|---|
| 服务器名称 | directory.example.com | OpenLDAP服务器的DNS名称或IP地址。 |
| 协议 | LDAP | 不要使用传输加密 |
| LDAP-TLS | 使用TLS作为传输加密 | |
| LDAP-SSL | 使用SSL作为传输加密 | |
| 忽略SSL安全警告 | 已启用 | 即使证书验证失败,也要建立TLS / SSL加密连接。 |
| 已禁用 | 如果证书验证失败,请不要建立TLS / SSL加密连接。 | |
| 管理DN | cn=admin,dc=example,dc=com | MailStore用于访问OpenLDAP服务器的LDAP用户名 |
| 密码 | 我的密码 | 上面的 管理DN中指定的用户密码 |
| 基本DN | dc=example,dc=com | LDAP目录的基本DN |
用户过滤器和属性
| 名称 | 值 | 描述 |
|---|---|---|
| 过滤器(可选) | (objectClass=posixAccount) | 所有posixAccount类型的对象,通常是所有用户 |
| (&(objectClass=posixAccount)(mail=*)) | 所有配置了电子邮件地址的用户 | |
| 用户名 | uid | 使用LDAP属性UID的值作为MailStore用户名 |
| cn | 使用LDAP属性CN的值作为MailStore用户名 | |
| 仅本地部分(电子邮件地址/ UPN) | 已启用 | 仅使用UPN格式的用户名中的本地部分 |
| 已禁用 | 使用UPN格式的完整用户名 | |
| 全名(可选) | 显示名称 | 使用LDAP属性displayName的值作为MailStore用户名 |
| 电子邮件地址(可选) | 邮件 | 使用LDAP属性mail的值作为MailStore用户的电子邮件地址 |
组过滤器和属性
| 名称 | 值 | 描述 |
|---|---|---|
| 过滤 | (objectClass=posixGroup) | 类别posixGroup的所有对象,通常是所有组 |
| 名称 | cn | 使用LDAP属性CN的值作为组名 |
| 说明(可选) | 描述 | 使用LDAP属性描述的值作为组名 |
| 成员 | 成员 | 使用值LDAP属性成员确定组成员 |
| 搜索成员过滤器 | 空的 | 组成员以专有名称返回 |
| (|(&(objectClass=posixAccount)(uid={member}))(&(objectClass=posixGroup)(cn={member}))) | memberUid中的成员仅作为普通用户或组名给出 | |
| 组 | MailStore用户 | 仅同步MailStore用户组中的 用户 |
运行目录服务同步
单击“ 测试设置”以检查同步配置和目录服务返回的结果,而无需实际提交对MailStore Server用户数据库的任何更改。
要最终运行同步,请单击立即同步。结果显示为已提交到MailStore Server用户数据库的所有更改。