通用LDAP集成

作者:mailstore,发布时间:2020-05-15 13:27:41

除了按照“用户管理”一章中的说明手动添加用户之外,MailStore Server还可将其内部用户数据库与您公司的LDAP服务器同步。

在同步期间,将从LDAP服务器读取用户信息,例如用户名和电子邮件地址,并将其记录在MailStore Server的用户数据库中。MailStore服务器不会对LDAP服务器本身进行任何更改。同步的范围可以通过过滤器来限制。

 

访问目录服务集成

  • 以MailStore服务器管理员身份登录到MailStore客户端。
  • 单击管理工具 > 用户和特权,然后单击目录服务。
  • 在“集成”部分中,将目录服务类型更改为LDAP server。

通用LDAP集成-1

 

连接到LDAP目录服务

为了同步,MailStore Server需要有关如何连接到LDAP目录服务以及如何从中获取所需数据的信息。

LDAP连接

名称 描述
服务器名称 LDAP服务器的DNS名称或IP地址
协议 配置是对端口389上的LDAP服务器的连接,端口389上的LDAP-TLS还是对端口636的LDAP-SSL进行不加密
忽略SSL安全警告(仅当使用LDAP-TLS或LDAP-SSL时) LDAP服务器使用自签名或非公共证书时允许连接
管理DN LDAP服务器上具有适当特权的用户的专有名称(DN)或用户名
密码 管理DN中指定的用户密码
基本DN LDAP基本DN(如果需要)

用户过滤器和属性

名称 描述
过滤器(可选) 过滤LDAP对象以仅返回具有电子邮件地址的用户对象
用户名 包含您希望MailStore使用的用户名的LDAP属性
仅本地部分(电子邮件地址/ UPN) 如果未选中,MailStore将使用完整的用户名,包括域部分,例如username@example.com。如果选中,MailStore将仅使用指定的用户名的本地部分,例如用户名
全名(可选) 用户的全名,用于在MailStore中显示
电子邮件地址(可选) 包含用户电子邮件地址的LDAP属性。它可以包含多个逗号分隔的电子邮件地址

组过滤器和属性

名称 描述
过滤 LDAP过滤器仅返回组对象
名称 包含组通用名称的LDAP属性
说明(可选) LDAP属性,其中包含每个组的易于阅读的描述
成员 包含组成员通用名的LDAP属性
搜索成员过滤器 当未将成员指定为DN字符串作为组结果的一部分时,LDAP过滤器可解析组成员。MailStore将使用Members属性的 值填充{member}变量
包含MailStore Server将同步的用户的实际组

选件

名称 描述
自动删除MailStore服务器中的用户 如果启用,则基于上述LDAP过滤器设置,MailStore将在用户被删除,从已过滤组中删除或超出范围时,将从本地MailStore数据库中删除用户。

分配默认权限

默认情况下,已从目录服务同步到MailStore Server的用户具有登录MailStore Server的特权以及对自己的用户归档的读取访问权限。
您可以在同步之前配置这些默认特权,例如,将特权“ 存档电子邮件”分配给所有新用户。为此,请单击默认权限…
有关管理用户权限及其作用的更多信息,请参见“用户,文件夹和设置”一章其中还包含有关编辑现有权限的详细信息。

配置样本

活动目录

可以将LDAP Generic连接到Active Directory,与MailStore的内置Active Directory支持相比,可以提供更大的灵活性和控制力。例如,LDAP Generic将允许您接受无效或自签名证书,使用自定义过滤器或更改MailStore使用的属性。

假定Active Directory LDAP服务可通过TCP端口389或636上的MailStore实例访问,包括在防火墙中打开端口(如果适用)。

由于大多数Active Directory配置都非常相似,因此可以复制/粘贴以下大多数示例,仅根据您的环境进行少量修改。

LDAP连接

名称 描述
服务器名称 dc001.example.com Active Directory域控制器的DNS名称或IP地址。
协议 LDAP 不要使用传输加密
LDAP-TLS 使用TLS作为传输加密
LDAP-SSL 使用SSL作为传输加密
忽略SSL安全警告 已启用 即使证书验证失败,也要建立TLS / SSL加密连接。
已禁用 如果证书验证失败,请不要建立TLS / SSL加密连接。
管理DN mailstore@example.com 供MailStore使用的Active Directory帐户
密码 我的密码 上面的 管理DN中指定的用户密码
基本DN 空的 LDAP基本DN将在Active Directory环境中自动检测到

用户过滤器和属性

名称 描述
过滤器(可选) (objectCategory=User) 全部用户
(&(objectCategory=User)(mail=*)) 所有具有Active Directory电子邮件地址的用户
(&(objectCategory=User)(proxyAddresses=*)) 所有拥有Exchange电子邮件地址的用户
(&(objectCategory=User)(proxyAddresses=*)(mail=*)) 具有Exchange电子邮件地址的所有用户也在全局通讯簿中列出
用户名 userPrincipalName 使用Active Directory用户名作为MailStore用户名
sAMAccountName 使用Windows 2000之前的用户名作为MailStore用户名
仅本地部分(电子邮件地址/ UPN) 已启用 仅使用UPN格式的Active Directory用户名中的本地部分
已禁用 使用UPN格式的完整Active Directory用户名
全名(可选) 显示名称 用户在Active Directory中的可见名称
电子邮件地址(可选) proxyAddresses 交流环境
mail 非交换环境

组过滤器和属性

名称 描述
过滤 (objectCategory=Group) 组Group的所有对象,通常是所有组
名称 cn 使用LDAP属性CN的值作为组名
说明(可选) 描述 使用LDAP属性描述的值作为组名
成员 成员 使用值LDAP属性成员确定组成员
搜索会员过滤器 空的 组成员以专有名称返回
MailStore用户 仅同步MailStore用户组中的 用户

OpenLDAP

OpenLDAP是常用的LDAP服务器,配置时需要了解您的LDAP环境。

假定LDAP服务可通过TCP端口389或636上的MailStore实例访问,包括在适用的情况下在防火墙中打开端口。

由于OpenLDAP非常灵活,因此服务器之间的配置选项有所不同,您可能需要对以下示例进行重大修改以适合您环境中使用的架构。

LDAP连接

名称 描述
服务器名称 directory.example.com OpenLDAP服务器的DNS名称或IP地址。
协议 LDAP 不要使用传输加密
LDAP-TLS 使用TLS作为传输加密
LDAP-SSL 使用SSL作为传输加密
忽略SSL安全警告 已启用 即使证书验证失败,也要建立TLS / SSL加密连接。
已禁用 如果证书验证失败,请不要建立TLS / SSL加密连接。
管理DN cn=admin,dc=example,dc=com MailStore用于访问OpenLDAP服务器的LDAP用户名
密码 我的密码 上面的 管理DN中指定的用户密码
基本DN dc=example,dc=com LDAP目录的基本DN

用户过滤器和属性

名称 描述
过滤器(可选) (objectClass=posixAccount) 所有posixAccount类型的对象,通常是所有用户
(&(objectClass=posixAccount)(mail=*)) 所有配置了电子邮件地址的用户
用户名 uid 使用LDAP属性UID的值作为MailStore用户名
cn 使用LDAP属性CN的值作为MailStore用户名
仅本地部分(电子邮件地址/ UPN) 已启用 仅使用UPN格式的用户名中的本地部分
已禁用 使用UPN格式的完整用户名
全名(可选) 显示名称 使用LDAP属性displayName的值作为MailStore用户名
电子邮件地址(可选) 邮件 使用LDAP属性mail的值作为MailStore用户的电子邮件地址

组过滤器和属性

名称 描述
过滤 (objectClass=posixGroup) 类别posixGroup的所有对象,通常是所有组
名称 cn 使用LDAP属性CN的值作为组名
说明(可选) 描述 使用LDAP属性描述的值作为组名
成员 成员 使用值LDAP属性成员确定组成员
搜索成员过滤器 空的 组成员以专有名称返回
(|(&(objectClass=posixAccount)(uid={member}))(&(objectClass=posixGroup)(cn={member}))) memberUid中的成员仅作为普通用户或组名给出
MailStore用户 仅同步MailStore用户组中的 用户

运行目录服务同步

单击“ 测试设置”以检查同步配置和目录服务返回的结果,而无需实际提交对MailStore Server用户数据库的任何更改。

要最终运行同步,请单击立即同步。结果显示为已提交到MailStore Server用户数据库的所有更改。