除了按照“
用户管理”一章中的说明手动添加用户之外,MailStore Server还可将其内部用户数据库与您公司的LDAP服务器同步。
在同步期间,将从LDAP服务器读取用户信息,例如用户名和电子邮件地址,并将其记录在MailStore Server的用户数据库中。MailStore服务器不会对LDAP服务器本身进行任何更改。同步的范围可以通过过滤器来限制。
访问目录服务集成
- 以MailStore服务器管理员身份登录到MailStore客户端。
- 单击管理工具 > 用户和特权,然后单击目录服务。
- 在“集成”部分中,将目录服务类型更改为LDAP server。
[caption id="attachment_1310" align="aligncenter" width="1280"]
通用LDAP集成-1[/caption]
连接到LDAP目录服务
为了同步,MailStore Server需要有关如何连接到LDAP目录服务以及如何从中获取所需数据的信息。
LDAP连接
名称 |
描述 |
服务器名称 |
LDAP服务器的DNS名称或IP地址 |
协议 |
配置是对端口389上的LDAP服务器的连接,端口389上的LDAP-TLS还是对端口636的LDAP-SSL进行不加密 |
忽略SSL安全警告(仅当使用LDAP-TLS或LDAP-SSL时) |
LDAP服务器使用自签名或非公共证书时允许连接 |
管理DN |
LDAP服务器上具有适当特权的用户的专有名称(DN)或用户名 |
密码 |
管理DN中指定的用户密码 |
基本DN |
LDAP基本DN(如果需要) |
用户过滤器和属性
名称 |
描述 |
过滤器(可选) |
过滤LDAP对象以仅返回具有电子邮件地址的用户对象 |
用户名 |
包含您希望MailStore使用的用户名的LDAP属性 |
仅本地部分(电子邮件地址/ UPN) |
如果未选中,MailStore将使用完整的用户名,包括域部分,例如username@example.com。如果选中,MailStore将仅使用指定的用户名的本地部分,例如用户名 |
全名(可选) |
用户的全名,用于在MailStore中显示 |
电子邮件地址(可选) |
包含用户电子邮件地址的LDAP属性。它可以包含多个逗号分隔的电子邮件地址 |
组过滤器和属性
名称 |
描述 |
过滤 |
LDAP过滤器仅返回组对象 |
名称 |
包含组通用名称的LDAP属性 |
说明(可选) |
LDAP属性,其中包含每个组的易于阅读的描述 |
成员 |
包含组成员通用名的LDAP属性 |
搜索成员过滤器 |
当未将成员指定为DN字符串作为组结果的一部分时,LDAP过滤器可解析组成员。MailStore将使用Members属性的 值填充{member}变量 |
组 |
包含MailStore Server将同步的用户的实际组 |
选件
名称 |
描述 |
自动删除MailStore服务器中的用户 |
如果启用,则基于上述LDAP过滤器设置,MailStore将在用户被删除,从已过滤组中删除或超出范围时,将从本地MailStore数据库中删除用户。 |
分配默认权限
默认情况下,已从目录服务同步到MailStore Server的用户具有登录MailStore Server的特权以及对自己的用户归档的读取访问权限。
您可以在同步之前配置这些默认特权,例如,将特权“ 存档电子邮件”分配给所有新用户。为此,请单击默认权限...
有关管理用户权限及其作用的更多信息,请参见“
用户,文件夹和设置”一章
,其中还包含有关编辑现有权限的详细信息。
配置样本
活动目录
可以将LDAP Generic连接到Active Directory,与MailStore的内置Active Directory支持相比,可以提供更大的灵活性和控制力。例如,LDAP Generic将允许您接受无效或自签名证书,使用自定义过滤器或更改MailStore使用的属性。
假定Active Directory LDAP服务可通过TCP端口389或636上的MailStore实例访问,包括在防火墙中打开端口(如果适用)。
由于大多数Active Directory配置都非常相似,因此可以复制/粘贴以下大多数示例,仅根据您的环境进行少量修改。
LDAP连接
名称 |
值 |
描述 |
服务器名称 |
dc001.example.com |
Active Directory域控制器的DNS名称或IP地址。 |
协议 |
LDAP |
不要使用传输加密 |
LDAP-TLS |
使用TLS作为传输加密 |
LDAP-SSL |
使用SSL作为传输加密 |
忽略SSL安全警告 |
已启用 |
即使证书验证失败,也要建立TLS / SSL加密连接。 |
已禁用 |
如果证书验证失败,请不要建立TLS / SSL加密连接。 |
管理DN |
mailstore@example.com |
供MailStore使用的Active Directory帐户 |
密码 |
我的密码 |
上面的 管理DN中指定的用户密码 |
基本DN |
空的 |
LDAP基本DN将在Active Directory环境中自动检测到 |
用户过滤器和属性
名称 |
值 |
描述 |
过滤器(可选) |
(objectCategory=User) |
全部用户 |
(&(objectCategory=User)(mail=*)) |
所有具有Active Directory电子邮件地址的用户 |
(&(objectCategory=User)(proxyAddresses=*)) |
所有拥有Exchange电子邮件地址的用户 |
(&(objectCategory=User)(proxyAddresses=*)(mail=*)) |
具有Exchange电子邮件地址的所有用户也在全局通讯簿中列出 |
用户名 |
userPrincipalName |
使用Active Directory用户名作为MailStore用户名 |
sAMAccountName |
使用Windows 2000之前的用户名作为MailStore用户名 |
仅本地部分(电子邮件地址/ UPN) |
已启用 |
仅使用UPN格式的Active Directory用户名中的本地部分 |
已禁用 |
使用UPN格式的完整Active Directory用户名 |
全名(可选) |
显示名称 |
用户在Active Directory中的可见名称 |
电子邮件地址(可选) |
proxyAddresses |
交流环境 |
mail |
非交换环境 |
组过滤器和属性
名称 |
值 |
描述 |
过滤 |
(objectCategory=Group) |
组Group的所有对象,通常是所有组 |
名称 |
cn |
使用LDAP属性CN的值作为组名 |
说明(可选) |
描述 |
使用LDAP属性描述的值作为组名 |
成员 |
成员 |
使用值LDAP属性成员确定组成员 |
搜索会员过滤器 |
空的 |
组成员以专有名称返回 |
组 |
MailStore用户 |
仅同步MailStore用户组中的 用户 |
OpenLDAP
OpenLDAP是常用的LDAP服务器,配置时需要了解您的LDAP环境。
假定LDAP服务可通过TCP端口389或636上的MailStore实例访问,包括在适用的情况下在防火墙中打开端口。
由于OpenLDAP非常灵活,因此服务器之间的配置选项有所不同,您可能需要对以下示例进行重大修改以适合您环境中使用的架构。
LDAP连接
名称 |
值 |
描述 |
服务器名称 |
directory.example.com |
OpenLDAP服务器的DNS名称或IP地址。 |
协议 |
LDAP |
不要使用传输加密 |
LDAP-TLS |
使用TLS作为传输加密 |
LDAP-SSL |
使用SSL作为传输加密 |
忽略SSL安全警告 |
已启用 |
即使证书验证失败,也要建立TLS / SSL加密连接。 |
已禁用 |
如果证书验证失败,请不要建立TLS / SSL加密连接。 |
管理DN |
cn=admin,dc=example,dc=com |
MailStore用于访问OpenLDAP服务器的LDAP用户名 |
密码 |
我的密码 |
上面的 管理DN中指定的用户密码 |
基本DN |
dc=example,dc=com |
LDAP目录的基本DN |
用户过滤器和属性
名称 |
值 |
描述 |
过滤器(可选) |
(objectClass=posixAccount) |
所有posixAccount类型的对象,通常是所有用户 |
(&(objectClass=posixAccount)(mail=*)) |
所有配置了电子邮件地址的用户 |
用户名 |
uid |
使用LDAP属性UID的值作为MailStore用户名 |
cn |
使用LDAP属性CN的值作为MailStore用户名 |
仅本地部分(电子邮件地址/ UPN) |
已启用 |
仅使用UPN格式的用户名中的本地部分 |
已禁用 |
使用UPN格式的完整用户名 |
全名(可选) |
显示名称 |
使用LDAP属性displayName的值作为MailStore用户名 |
电子邮件地址(可选) |
邮件 |
使用LDAP属性mail的值作为MailStore用户的电子邮件地址 |
组过滤器和属性
名称 |
值 |
描述 |
过滤 |
(objectClass=posixGroup) |
类别posixGroup的所有对象,通常是所有组 |
名称 |
cn |
使用LDAP属性CN的值作为组名 |
说明(可选) |
描述 |
使用LDAP属性描述的值作为组名 |
成员 |
成员 |
使用值LDAP属性成员确定组成员 |
搜索成员过滤器 |
空的 |
组成员以专有名称返回 |
(|(&(objectClass=posixAccount)(uid={member}))(&(objectClass=posixGroup)(cn={member}))) |
memberUid中的成员仅作为普通用户或组名给出 |
组 |
MailStore用户 |
仅同步MailStore用户组中的 用户 |
运行目录服务同步
单击“ 测试设置”以检查同步配置和目录服务返回的结果,而无需实际提交对MailStore Server用户数据库的任何更改。
要最终运行同步,请单击立即同步。结果显示为已提交到MailStore Server用户数据库的所有更改。