LDAP Sync - Avaya Support

LDAP Sync
Tool für die C3000 Exchange 5.5/2000/2003 Integration mit
synchronisierter Userverwaltung in Microsoft ADAM/ADS
Version 3.0
© 2005
INHALTSVERZEICHNIS
1
EINFÜHRUNG .................................................................................................... 3
1.1
C3000, Microsoft ADS und Schemaerweiterung ................................................................... 3
1.2
Gründe die eine Schemaerweiterung verhindern ................................................................. 4
1.3
Microsoft ADAM (Active Directory Application Mode) ......................................................... 5
1.4
C3000 LDAP Sync..................................................................................................................... 6
2
INSTALLATION .................................................................................................. 7
2.1
Installation Microsoft ADAM ................................................................................................... 7
2.1.1 Installation ADAM Server ....................................................................................................... 7
2.1.2 C3000 Schemaerweiterung im ADAM Directory.................................................................. 17
2.1.3 C3000 Konfiguration für Zugriff auf ADAM .......................................................................... 20
2.1.4 C3000 Systemadministrator im ADAM Directory ................................................................. 21
2.1.5 Password verändern über LDAP ......................................................................................... 22
2.1.6 C3000 User im ADAM.......................................................................................................... 23
2.2
3
Installation C3000 LDAP Sync .............................................................................................. 25
KONFIGURATION ............................................................................................ 28
3.1
Konfiguration und Einstellungen C3000 LDAP Sync ......................................................... 28
3.1.1 General - Allgemeine Einstellungen..................................................................................... 29
3.1.2 Einstellungen Source - Quell LDAP Server ......................................................................... 32
3.1.3 Einstellungen Destination..................................................................................................... 35
3.1.4 Einstellungen Defaults - Vorgaben ...................................................................................... 40
3.2
Unterschiede zwischen MSX 2000/ 2003 und MSX 5.5 Synchronisationen mit ADAM ... 44
3.3
Synchronisieren von ADS MSX 2000/ 2003 in ADS ADS MSX 2000/ 2003........................ 45
2
1 Einführung
1.1 C3000, Microsoft ADS und Schemaerweiterung
Ab Windows 2000 Server basiert die Domänen Userverwaltung auf dem X.500 konformen Directory
Service ADS (Active Directory Service). Im so genannten Directory Schema, wird die
Organisationsstruktur des Unternehmens abgebildet, beginnenden bei dem Unternehmensnamen bis
runter zu den einzelnen Berechtigungen des Users.
Das von Microsoft bei der Installation von ADS vorgegebene Schema mit seinen entsprechenden
Attributen für die User Berechtigungen, kann beliebig um Objekte für andere Applikationen, gemäß
des ITU X.500 Standards, erweitert werden.
Deutlich sein darauf hin gewiesen, dass ein X.500 Directory speziell für die Erweiterung konzipiert
worden ist, mit dem Ziel der Vermeidung der redundanten Datenhaltung über verschiedene System.
Der X.500 Standard garantiert hierbei dass es zu keinen Konflikten kommen kann.
Beim Einsatz von Exchange 2000/2003 wird das Directory Schema um die entsprechenden Exchange
Objekte erweitert. Diese Erweiterung ist für den Betrieb eines Exchange 2000/2003 Server zwingend.
Das C3000 Unified Messaging System erweitert das Directory Schema um ca. 70 Attribute die für die
Useradministration der Unified Messaging System nötig sind.
Technisch gesehen ist die direkte Schemaerweiterung der vorhandenen ADS die einfachste und
optimale Lösung.
3
1.2 Gründe die eine Schemaerweiterung verhindern
Aus unternehmensbedingten, strukturellen und organisatorischen Gründen kommt es aber immer
wieder zur Situation, dass diese Schemaerweiterung an dem zentralen Directory nicht durchgeführt
werden kann. Die Gründe liegen meist im Folgenden begründet.
-
Der zentrale ADS Domänencontroller liegt nicht in der Hoheit des Unternehmensbereiches
welche das UMS System einführt (Muttergesellschaft im Ausland, strikte Aufteilung von IT und
TK Bereichen).
-
Der zentrale ADS Domänencontroller wird von einem externen Dienstleister (Outsourcing)
betrieben, welcher keine Erweiterung am Schema zulässt (Vertragsprobleme)
Diese Szenarien würden meist dazu führen das ein redundante Datenhaltung und -pflege erforderlich
werden würde. Das C3000 System bietet die Möglichkeit auch ohne Directory oder mit einen
getrennten ADS oder Novell NDS Directory betrieben zu werden. Hierbei stellt sich aber der Einsatz
ein zusätzlichen ADS Directory auf dem C3000 Server als problematisch heraus, da die Installation
von ADS voraussetzt, dass der Windows 2000/2003 Server als Domänen Controller konfiguriert wird
und ein DNS Server mitinstalliert wird. Somit kann der Server kein Mitglied der Kundendomain werden
da er selber ein DC ist. Dies ist verständlicher Weise meist nicht gewünscht.
Die Fragestellung bzw. Aufgabenstellung lautet wie können die folgenden Punkte miteinander
in Einklang gebracht werden:
1. Keine Schemaerweiterung des zentralen ADS Directory
2. Kein C3000 Server als Domänen Controller mit DNS Server
3. Keine redundante Userverwaltung
4
1.3 Microsoft ADAM (Active Directory Application Mode)
Mit dem Windows 2003 Server liefert Microsoft das ADS Directory in einer Variante als unabhängig
installierbaren Service mit. Diese Version des ADS heißt ADAM (Active Directory Application Mode)
ADAM wird nicht als Betriebssystemdienst ausgeführt und muss daher nicht auf einem
Domänencontroller bereitgestellt werden.
Außerdem können aus diesem Grund mehrere ADAM-Instanzen gleichzeitig auf einem einzelnen
Server ausgeführt werden, und jede Instanz kann unabhängig von den anderen konfiguriert werden.
Bis um diese Unterschiede sind ADS und ADAM identisch. Das ADAM Directory kann lokal auf dem
C3000 Server installiert und mit der C3000 Schemaerweiterung um die entsprechenden Attribute
erweitert werden.
5
1.4 C3000 LDAP Sync
Mit dem vorherigen Schritt wären die Probleme 1 und 2 gelöst.
Jetzt wäre es aber erforderlich an zwei Stellen die administrativen Userdaten zu pflegen und somit
wäre Punkt 3 nicht erfüllt. Um dieses Problem zu lösen hat Tenovis ein zusätzliche C3000
Komponente entwickelt, den C3000 LDAP Sync.
Der C3000 LDAP Sync ist ein Windows Service welcher es ermöglicht Objekte und Attribute von
einem X.500 Directory in ein anderes zu synchronisieren. Hierbei beschränken sich der die
Anbindungsmöglichkeiten nicht auf ADS und ADAM. Es kommen auch andere X.500 konforme
Directory verwendet werden wie z.B. Novell NDS oder Netscape zu Einsatz kommen. Der LDAP Sync
ermöglicht es weiterhin Attribute aus dem Quelldirectory auf beliebige andere Attribute im Zieldirectory
zuzuordnen.
Es können hierbei auch die Inhalte der Attribute erweitert und ergänzt werden.
Beispiel – Erstellung Userdurchwahl für UMS Fax Voice:: Nehme die letzten vier Stellen der
Usertelefonnummer aus der zentralen ADS packe ein Neun davor und schriebe dieses als UMS Fax
Voice Nummer in das ADAM Directory
Es können ebenfalls Bedienungen definiert werden wann ein ADS User in das UMS ADAM Directory
importiert bzw.als UMS User aktiviert wird.
Beispiel – Import und Aktivierung UMS User: Alle User mit dem Organisations Kürzel PK49 mit
Standort Hamburg werden als aktive C3000 UMS User in das ADAM Directory importiert.
Das Synchronisationsintervall LDAP Sync kann den Anforderungen entsprechenden eingestellt
werden. Es ist möglich aus mehreren Containern User aus der ADS zu importieren und es können auf
einen Rechner mehrere C3000 LDAP Sync’s parallel betrieben werden um ggf. Daten aus
verschiedenen Directory zusammenzuholen.
Durch den Einsatz des C3000 LDAP Sync sind alle drei Problemstellung erfüllt. Jetzt kann das C3000
System ohne Schemaerweiterung der zentralen ADS und trotzdem ohne redundante Datenpflege
betrieben werden.
6
2 Installation
Im Folgenden wird in einzelnen Schritten erläutert wie der C3000 LDAP Sync und der ADAM Server
installiert werden. Es wird mit der Installation des ADAM Server begonnen, dann ohne ADAM Server
die Installation und Einrichtung des LDAP Sync wenig Sinn macht.
2.1 Installation Microsoft ADAM
Der Microsoft ADAM Server lässt sich nur auf Windows 2003 Server oder Windows XP installieren,
eine Installation unter Windows 2000 ist nicht möglich.
2.1.1 Installation ADAM Server
Folgende Schritte sind für die ADAM Installation durchzuführen:
1.
2.
3.
4.
Führen Sie die im ADAM Directory enthaltene „adamsetup.exe“ aus.
Klicken Sie „weiter“
Stimmen Sie den Lizenzbedingungen zu und klicken Sie „weiter“
Wählen Sie „ADAM und ADAM-Verwaltungsprogramme“ aus und klicken Sie „weiter“
5. Wählen Sie „Eine eindeutige Instanz installieren“ und klicken „weiter“
7
6. Vergeben Sie den Instanznamen. Der Instanzname wird später auch der Anzeigename des
ADAM Dienstes sein und klicken Sie „weiter“.
7. Geben Sie die LDAP-Portnummer und SSL-Portnummer an. Es wird empfohlen die
vorgegebenen Standard Ports beizubehalten (LDAP = 389, SSL = 636). Ein abweichender
LDAP Port wäre nur erforderlicher wenn der Server schon ein ADS beinhalten würde, da
diese den gleichen Port belegt.
8.
Wählen Sie „Ja, eine Anwendungsverzeichnispartition erstellen und tragen Sie den Namen
der Directory Partition ein (Beispiel: DC=UMS). Klicken Sie „weiter“
8
9. Setzen Sie die Pfade für die Datendateien und den Datenwiederherstellungsdateien. Klicken
Sie „weiter“
10. Wählen Sie das Windowskonto aus unter dem der ADAM Server laufen soll und klicken Sie
weiter.
11. Wählen aus der Liste der verfügbaren Standard LDIF Dateien, MS-User.ldf und MSInetOrgPerson.ldf aus, indem Sie die beiden Dateien auf die linke Seite verschieben. Die LDIF
Dateien enthalten Schemaerweiterung für eine Windows Userverwaltung untter ADAM.
Klicken Sie weiter
12. Nach einer weiteren „weiter“ Bestätigung läuft des Setup jetzt durch und installiert den ADAM
Server.
9
Unter der Diensteverwaltung findet sich nach Abschluss der Installation der ADAM Server. Dieser ist
nach der Installation sofort gestartet. Damit sich C3000 über LDAP anmelden kann muss ein
Administrator User eingerichtet werden. Zu besseren Übersicht wird zusätzlich für diesen User ein
neuer Container angelegt.
Die Administration des ADAM Directory erfolgt über das mitinstallierte Administrationstool „ADAMadsiedit.
1. Rufen Sie das Programm „ADAM-adsiedit“ auf.
2. Klicken Sie mit der rechten Maustaste im linken Fenster auf „ADAM-adsi Editor“
3. Wählen Sie aus dem Kontextmenü „Verbindung herstellen“ aus.
4. Vergeben Sie einen Verbindungsnamen (Beispiel „C3000“)
5. Wählen Sie den Radio Button „Definierter Name (DN) oder Nameskontext:“ aus
6. Tragen Sie die bei der Installation vergebenen Partitionsnamen ein (Beispiel DC=UMS)
7. Klicken Sie OK.
10
Die Verbindung wird hergestellt und die Partition angezeigt. Legen Sie jetzt den neuen Container an
der unsere User aufnehmen soll. Für das anlegen eines neuen Containers führen Sie bitte folgende
Schritte aus:
1. Klicken Sie mit der rechten Maustaste auf den zuvor verbundenen Partitionsnamen
2. Wählen Sie im Kontextmenü „New“ und „Objekt“ aus
3. Wählen Sie „container“ aus.
4. Vergeben Sie einen Namen für den neuen Container (Beispiel: Users)
5. Klicken Sie „Finish“
11
IIn den neu erstellen Container wird jetzt der Administrator User für C3000 angelegt. Hier führen Sie
bitte folgende Schritte aus:
1. Klicken Sie mit der rechten Maustaste auf den zuvor erstellten Container
2. Wählen Sie im Kontextmenü „New“ und „Objekt“ aus
3. Wählen Sie „user“ aus.
4. Vergeben Sie einen Namen für den User (Beispiel: Adiminstrator)
5. Klicken Sie „Finish“
Bei der Anmeldung prüft C3000 alle User gegen den IDENT dieser entspricht im ADS dem Attribut
userPrinzipalName. Beim anlegen eines ADAM Users wird dieses Attribute aber nicht automatisch
gefüllt, daher ist es notwendig für den Administartor User dieses manuell durchzuführen. Hier führen
Sie bitte folgende Schritte aus:
1. Markieren Sie mit der Maus der anlegten User im angelegten Container auf der rechten Seite
im ADAM-adsiedit
2. Klicken Sie auf die rechte Maustaste und wählen Sie „Properties“ aus
3. Wählen Sie aus der Liste das Attribut „userPrinzipalName“ aus und klicken Sie doppelt mit der
linken Maustaste auf das Attribut.
4. Tragen Sie den Namen ein (Beispiel: Administrator) und klicken Sie zweimal auf „OK“
12
Im nächsten Schritt muss der User noch der Gruppe der Directory Administratoren
(CN=Administrators,CN=Roles,DC=UMS) zugewiesen werden. Hierfür führen bitte folgende Schritte
aus:
1. Klicken Sie auf der linken Seite in ADAM-adsiedit auf den Container „CN=Roles“
2. Markieren Sie mit der Maus der die Gruppe der Administratoren (CN=Administrators) auf der
rechten Seite im ADAM-adsiedit
3. Klicken Sie auf die rechte Maustaste und wählen Sie „Properties“ aus
4. Wählen Sie aus der Liste das Attribut „member“ aus und klicken Sie doppelt mit der linken
Maustaste auf das Attribut.
5. Klicken Sie auf „ADAM-Konto hinzufügen“
13
6. Geben Sie den angelegten Administrator User mit seinem vollen Distinguished Name (DN)
ein. (Beispiel: CN=Administrator,CN=Users,DC=UMS) und klicken Sie dreimal OK um alle
Fenster wieder zu schließen.
Jetzt fehlt dem Administrator User noch ein Passwort. Dieses vergeben Sie mit den folgenden
Schritten:
1. Markieren Sie mit der Maus der anlegten User im angelegten Container auf der rechten Seite
im ADAM-adsiedit.
2. Wählen Sie über die linke Maustaste im Kontextmenü „Kennwort zurücksetzen“.
3. Vergeben Sie ein entsprechendes Kennwort und klicken Sie OK.
Damit ist die Einrichtung des ADAM Server mit einem C3000 Administrator User abgeschlossen. Der
C3000 Server wird sich jetzt erfolgreich anmelden können.
Noch nicht funktionieren wird die Anmeldung über den C3000 WebAdmin, hierfür sind weitere
konfigurative Schritte erforderlich. Diese werden in den folgenden Kapitel ebenfalls ausführlich
beschrieben.
14
Zur Kontrolle ob eine erfolgreiche Anmeldung mit dem eingerichteten Administrator Account auf das
Directory ADAM Server möglich ist verwenden Sie das mitgelieferte Tool LDP.
Hier führen Sie bitte folgende Schritte aus.
1. Öffnen Sie eine Windows Kommandozeile und starten Sie drücken eintippen von LDP das
Tool.
2. Wählen Sie unter „Connection“ den Punkt „Connect“ aus.
3. Geben Sie den ADAM Servernamen und Portnamen ein und klicken Sie OK.
Der erfolgreiche Connect wird mit einer ähnlichen Ausgabe wie im Screen Shot dargestellt.
4. Wählen Sie unter „Connection“ den Punkt „Bind“ aus.
5. Tragen Sie den angelegten Administrator User und sein Passwort ein.
Im LDP wird jetzt in der letzten Zeile ausgegeben ob die Anmeldung erfolgreich war.
15
6. Wählen Sie im LDP Menü „View“ aus und dort den Punkt „Tree“ aus.
7. Wählen Sie die angelegte ADAM Partition aus (Beispiel: DC=UMS)
8. Auf der linken Seite des LDP können Sie jetzt durch das ADAM Directory navigieren.
16
2.1.2 C3000 Schemaerweiterung im ADAM Directory
Um den ADAM Server mit den C3000 Attributen zu erweitern können Sie nicht das normale C3000
Setup für die ADS Schemaerweiterung verwenden. Mit der LDAP Sync Installation wird ein
alternatives Installationsskript und die nötigen LDIF Files mitgeliefert. Führen
Sie folgende Schritte aus um diese zu installieren:
1. Öffnen Sie eine Windows Kommandozeile gehen Sie in Installationsverzeichnis des LDAP
Syncs
2. Dort, in dem Verzeichnis \Tools\AdamConfig\AdamSchemaExtensions, finden den Batch File
„AdamConfig.cmd“
3. Führen Sie den Batch „AdamConfig.cmd“ aus.
Nach dem erfolgreichen Durchlaufen des Batch Files ist die Schemaerweiterung angeschlossen.
17
Alternativ können Sie bei Problemen auch die einzelnen LDIF Files manuell installieren. Dieses wird
im Folgenden im Detail noch einmal erläutert.
Bei der normalen Schemaerweiterung in einem Active Directory wird mit folgenden Zeilen die
Erweiterung vorgenommen.
ldifde -i -k -f "c3kattributes.ldif" -c "<c3kdomain>" "customerdomain"
ldifde -i -k -f "c3kclasses.ldif" -c "<c3kdomain>" "customerdomain"
ldifde -i -k -f "c3kschema.ldif" -c "<c3kdomain>" "customerdomain"
Wobei customerdomain mit dem Root des Directory ersetzt wird. Für ADAM würde dies bedeuten:
ldifde -i -k -f "c3kattributes.ldif" -c "<c3kdomain>" "DC=UMS"
ldifde -i -k -f "c3kclasses.ldif" -c "<c3kdomain>" " DC=UMS "
ldifde -i -k -f "c3kschema.ldif" -c "<c3kdomain>" " DC=UMS "
Durch den Parameter –c werden alle vorkommen von <c3kdomain> in den angegebenen ldif Files
durch DC=UMS ersetzt.
Schaut man sich aber z.b. das File c3kattributes.ldif an findet man an erste stelle die Zeile
dn: CN=gender,CN=Schema,CN=Configuration,<c3kdomain>
was somit zu dem Obkjekt CN=gender,CN=Schema,CN=Configuration,DC=UMS führt.
Schaut man sich nun mit ADAM-ADSI-Edit die Konfigurationsdatenbank an
erkennt man, dass der Pfad nicht stimmt
Das heißt die richtige Syntax lautet für dieses Beispiel
18
ldifde -i -k -f "c3kattributes.ldif" -c "<c3kdomain>" " CN={24CA2A55-BAD7-4425-B2323F2B8A1B341C}" -s w2003dc
ldifde -i -k -f "c3kclasses.ldif" -c "<c3kdomain>" " CN={24CA2A55-BAD7-4425-B232-3F2B8A1B341C}"
-s w2003dc
ldifde -i -k -f "c3kschema.ldif" -c "<c3kdomain>" " CN={24CA2A55-BAD7-4425-B2323F2B8A1B341C}" -s w2003dc
der Parameter –s w2004dc ist erforderlich, da sonst versucht wird das Schemaupdate im Activ
Directory zu machen. Nach dem Update muss über den ADAM-ADSI-Edit das Schema aktualisiert
werden.
Jetzt sollten bei einem Userobjekt die neuen Attribute vorhanden sein.
19
2.1.3 C3000 Konfiguration für Zugriff auf ADAM
Normalerweise holt sich C3000 die Basis für einen LDAP zugriff aus dem Attribute
defaultNamingContext der bei einem Connect an ein Active Directory zurückgegeben wird. Ist dieser
Wert nicht vorhanden wird der erste Eintrag unter „namingContexts“ benutzt. Unten Sieht man die
Rückmeldungen eines normalen Active Directory Servers.
IIm Vergleich dazu die Meldung eines ADAM Directorys
Es fällt auf das es keinen Wert „defaultNamingContext“ gibt. Der erste Eintrag unter namingContexts
weist auf die Konfigurationspartition und nicht auf die gewünschte DC=UMS.
Daher muss in der Registry des C3000 Servers unter
hklm\software\com:on\C3000 Server\Config
die Zeichenkette LDAPBASE mit dem Wert DC=UMS gesetzt werden. Der Registry Key wird mit dem
ausführen des Batch Files „AdamConfig.cmd“ automatisch gesetzt. Bitte prüfen ob dieser korrekt in
der Registry eingetragen ist.
20
2.1.4 C3000 Systemadministrator im ADAM Directory
Damit der administrator@UMS sich am WebInterface anmelden kann muss er für C3000 aktiviert sein
und das Systemrecht Admin haben. Dieses kann wieder mit dem ADAM-ADSI Edit eingerichtet
werden. Dazu mit einem doppelklick den administrator öffnen und das Attribut comOnC3kActivated#
auf Wahr (true) setzen.
Weiterhin das Attribut comOnC3kRightsSys auf die unten gezeigten Werte setzen.
Nun kann sich der administrator@UMS über das Webinterface anmelden!
21
2.1.5 Password verändern über LDAP
In der default Konfiguration ist es nicht möglich über einen LDAP Befehl das Password eines Users zu
verändern. Die Konfiguration des Directory untersagt Operationen zur Password Modifikation über
unsichere Verbindungen.
Diese muss eingeschaltet werden damit über das Attribut „userPassword“ eine Änderung erfolgen
kann. Dazu im ADAM Verzeichnis über die Kommandozeile das Tool dsmgmt aufrufen.
Man muss als jemand eingelogt sein der Mitglied in der Administrators Rolle ist.
Jetzt die im Screenshot aufgezeigten Befehle absetzten.
HINWEIS:
Im Verzeichnis \LDAPSync\Tools\AdamConfig\AllowUnsecuredPasswordChange liegt ein cmd Skript
mit dem dieser dsmgmt Befehl automatisch ausgeführt wird.
22
2.1.6 C3000 User im ADAM
Damit die User aus dem ADAM Directory sich über das Webinterface anmelden können muss es
Ihnen gestattet werden Ihre Attribute per LDAP zu lesen und eventuell sogar zu schreiben. Dazu wird
jeder User beim Anlegen ein Mitglied der Rolle (Gruppe) CN=Users,CN=Roles;DC=UMS.
Mit dem Tool dsacls kann man überprüfen welche Rechte aktuell vergeben sind.
Mit dsacls „\\w2003dc\OU=C3000 User,DC=UMS“ läst man sich die Rechte auf das Objekt
OU=C3000 User,DC=UMS auf dem Server w2003dc anzeigen. In diesem Beispiel werden dort alle
User angelegt. Man erkennt das nur die Administratoren volle Rechte haben.
Als nächstes wird der Rolle Users das Recht gegeben Objekte in dieser Organisation Unit
überhaupt zu sehen. Das heist noch nicht das die eigentlichen Attribute (wie comOnC3kActivated)
gelesen werden können.
23
Dieses Recht wird als nächstes vergeben.
Achtung aus Sicherheitsgründen gibt es für die User nur Leserechte. Damit währe es aber auch
möglich die PIN von anderen Usern per LDAP auszulesen!! Hier bedarf es gegebenenfalls noch
Handlungsbedarf.
24
2.2 Installation C3000 LDAP Sync
WICHTIGER HINWEIS! :
Vor der Installation muss das LDAPSync Verzeichnis auf den lokalen Rechner kopiert werden.
Andernfalls schlägt die Installation fehl.
Bitte prüfen Sie vor der Installation des Sync’s ihre Anforderungen.
Das Setup des C3000 LDAP Sync bietet die Möglichkeit zwischen drei unterschiedlichen Versionen
des Sync’s zu wählen:
Setup
LDAP Sync Version
Besonderheiten
MSX200x
Synchronisation eines
Exchange 2000/ 2003 ADS
Directory in ein ADAM Directory
(Details siehe Kapitel 3.2)
Keine
MSX200xADS
Synchronisation eines
Exchange 2000/ 2003 ADS
Directory in ein ADS Directory
(Details siehe Kapitel 3.3)
Im Gegensatz zum ADAM müssen in der ADS
zu anlgen eines User die Attribute “cn”,
“sAmAccountName“ und userPrinzipalName“
gefüllt werden.
MSX5.5
Synchronisation eines
Exchange 5.5 Directory in ein
ADAM Directory
(Details siehe Kapitel 3.2)
Der eindeutige Bezeichner für einen Mailuser
steht bei Exchange 5.5 im Attribute
„otherMailbox“ und nicht nicht wie bei
Exchange 2000 /2003 ADS im Attribute
„mailNickName“
Mit dem LDAP Sync werden folgende Tools mitgeliefert.
C3000 Manager
Tool zur Konfiguration des LDAP Sync. Der Manager muss nur installiert werden wenn der LDAP
Sync auf einen Rechner installiert wird auf dem noch keiner vorhanden ist. Bei einer C3000
Installation wird dieser immer mitinstalliert
ADAM Konfiguration Batch Dateien
Nach Auswahl und Installation finden sich im Verzeichnis \LDAPSync\Tools\ADAMconfig\ die LDIF
Files um das ADAM Schema mit den C3000 Attributen zu erweitern. Hierfür führen Sie bitte
\LDAPSync\Tools\ADAMconfig\AdamSchemaExtensions\AdamConfig.cmd Batch Datei aus.
Des weiteren findet sich unter \LDAPSync\Tools\AdamConfig\AllowUnsecuredPasswordChange\ die
Batch Datei „doAllow.cmd“. Durch ausführen dieser Batch Datei wird im ADAM eingestellt das dass
User Passwort über eine unsichere Verbindung geändert werden kann. Dies ist erforderlich damit per
LDAPSync das Passwort im ADAM gesetzt werden kann. Hierzu siehe Kapitel 2.1 Installation ADAM.
LDP Tool
LDP ist ein einfaches Tool von Microsoft um auf einen LDAP Server zuzugreifen. LDP wird in dieser
Anleitung bei der Installation und Konfiguartion an verschiedenen Stellen als Hilfsmittel verwendet um
benötigte Informationen von den LDAP Server (ADS/ ADAM) zu ermitteln.
25
Um den den LDAP Sync zu installieren führen Sie bitte folgende Schritte durch
1. Rufen Sie die Setup.exe
2. Wählen Sie die Sprache des Setups aus.
3. Wählen Sie die LDAP Sync Variante aus, die Sie benötigen
Setup LDAP Sync – Syncvarianten
4. Wählen Sie benötigen Tools aus.
Setup LDAP Sync 2 - Tools
26
5. Klicken Sie “weiter”
6. Wählen Sie den Installationspfad aus.
Setup LDAP Sync – Pfadangabe
7. Beobachten Sie ob das Setup ohne Fehlermeldung durchläuft
8. Klicken Sie „Beenden“
Damit ist die Installation des LDAP Sync abgeschlossen.
27
3 Konfiguration
3.1 Konfiguration und Einstellungen C3000 LDAP Sync
Der Standard C3000 LDAP Sync wird vollständig über den C3000 Manager konfiguriert. Im Folgenden
werden die einzelnen Einstellungen ausführlich erläutert.
HINWEIS:
Sollten spezielle Kundenanforderungen beim synchronisieren der Directory (spezielle
Bedingungen oder besondere Attribute Mappings) nicht mit den
Standardkonfigurationsmöglichkeiten abgedeckt werden können, so besteht die Möglichkeit,
das kundenindividuelle Modifikation am Synchronisationsscript vorgenommen werden können.
Hierfür wenden Sie sich bitte an die technischen Support der Tenovis Comergo.
LDAP Sync Konfiguration C3000 Manager – Monitor
28
3.1.1 General - Allgemeine Einstellungen
Folgende Parameter lassen sich Manager unter dem Reiter „allgemein“ konfigurieren.
Parameter
Pause
Typ
Integer
Wertebereich
0 – 999999
Beschreibung
Intervall zwischen zwei Synchronisationsläufen
in Sekunden
Einstellen des Log Levels für die Logausgabe
im C3000 Manager
Integer
OFF, ERROR,
WARN, INFO,
DEBUG
1 – 999
Log Level Manager
Max Log Messages
Anzahl der maximalen Log Ausgaben im
C3000 Manager.
Hier sollte der Wert nicht zu hoch gewählt
werden, da alle Manager Log Ausgaben in die
Registry geschrieben werden.
Main Logging
Facilities
String
C3kmgr, ttrace
Einstellung ob die Logausgabe in TTrace, den
C3000 Manager oder in beide erfolgen soll.
Sync Mode
String
changed , all
Einstellung ob einen Synchronisationsdurchlauf
nur geänderte User synchronisiert werden
sollen oder alle User.
Das Feature ließt aus der ADS, zur Erkennung
welche User geändert wurden, das Attribut
„uSChanged“ aus.
Dieses Feature funktioniert nicht für Exchange
5.5. Hier werden immer alle User
synchronisiert.
Trace Log File Path
String
<Dateiname>
oder
Leer
Dateiname der Trace Datei. Die Trace Datei
wird in den Pfad des Activity Logs geschrieben.
Dieses Log enhält alle Logausgaben des LDAP
Sync’s.
Wird das Feld leer gelassen wird kein Trace
Log geschrieben.
29
Replace names with
values at
String
<Attributename
>
Angabe der C3000 LDAP Attributnamen die
durch Werte aus dem Quell LDAP gefüllt
werden sollen.
Die Werte aus dem Quell LDAP werden unter
dem Reiter „Defaults – General“ mit den
entsprechenden Prefix und Sufix Zeichen
angegeben.
Es lassen sich prinzipiell alle c3k Felder
nutzen. Die die nicht unter „Defaults – General“
zu finden sind müssen über die Registry
eingetragen werden.
Das Eingrenzen der für die Ersetzung zu
überprüfenden Felder erfolgt aus Performance
Gründen.
Replace Prefix
String
Beispiel: -#--
Angabe des eindeutigen Prefix der den Beginn
eines Attributnamens aus dem Quell LDAP in
den C3000 Vorgabe Feldern markiert.
z. B. -#--Company--#- -#-facsimileTelephoneNumber--#eintragen in das Feld Faxabsenderkennung
(comOnC3kFax3SenderInfo)
Replace Suffix
String
Beispiel: --#-
Angabe des Suffix der das Ende eines
Attributnamens aus dem Quell LDAP in den
C3000 Vorgabe Feldern markiert.
Pause between two
sync objects
Integer
0 – 99
Pause zwischen der Synchronisation einzelner
Syncobjekte (User) in Sekunden
Pause between two
object checks
Integer
0 – 99
Pause zwischen zwei Gültigkeitsprüfungen
einzelner Syncobjekte (User) in Sekunden
30
HINWEIS:
Alle C3000 Manager Felder können nur maximal 1023 Zeichen aufnehmen.
LDAP Sync Konfiguration C3000 Manager – General
31
3.1.2 Einstellungen Source - Quell LDAP Server
Der Quell LDAP Server kann, je nach ausgewählter Syncvariante, ein ADS Exchange 2000/ 2003
Server oder ein Exchange 5.5 Server. In Kapitel 3.2 – 3.4 wird auf die verschiedenen Varianten des
Syncs im Detail eingegangen.
Folgende Parameter sind für den Quell LDAP Server einzustellen.
Parameter
SourceLDAP Host
Typ
String
Port
Integer
User
String
Wertebereich
<IP_Adresse>
oder
<RechnerNam
e>
<LDAP_Port>
Beschreibung
IP Adresse oder Rechnername des Quell
LDAP Servers
<LDAP_Attribu
te>
Administrator User mit Leserechten auf das
Quell LDAP.
Portnummer des Quell LDAP Servers
Bei Windows 2000/ 2003 in der Form
„name@domain“ anzugeben, bei
Windows NT in der Form „domain\name“
Authentification
Option
Boolea
n
O,1
Der Parameter legt fest ob sich der LDAP Sync
verschlüsselt oder unverschlüsselt beim Quell
LDAP Server autorisiert.
0 = unverschlüsselt
1= verschlüsselt
Default bei ADS als Quell LDAP ist „mit
Verschlüsselung“.
Bei einem ADAM Server ist der Deflaut „ohne
Verschlüssung“.
Base Container
String
<LDAP_Attribu
te>
Angabe des Quell Containers im Quell LDAP
der die zu synchronisierenden C3000 Users
enthält
Beispiel:
CN=Hamburg,DC=exchange,DC=intern
User Containers
String
<LDAP_Attribu
te>
Angabe eines oder mehrerer Quell User
Container. Bei der Angabe von mehreren
Containern sind diese durch komma zu
trennen.
Beispiel: CN=UsersHamburg,CN=UsersBerlin
Im ADS/Exchange 2000/2003 finden sich im
Standard die User im Container „CN=Users“.
Im NT/Exchange 5.5 finden sich die User im
Standard unter „CN=Recipients“
32
Parameter
Base filter
Typ
String
Wertebereich
<operator>
Beschreibung
Angabe der Filterregel welche User aus dem
Quell LDAP in das Ziel LDAP synchronisiert
werden sollen.
Als Deflaut ist eingetragen, dass alle User die zur
ObjectClass „person“ gehören und das Feld
Faxnummer einen Wert enthält synchronisiert
werden.
HINWEIS: In den Einstellungen des Ziel LDAP
kann über die Prüfung der Faxnummer die
Importmenge weiter gefiltert werden.
Beispiel:
(&(objectClass=person)(facsimileTelephoneNum
ber=*))
Notation der Regel erfolgt gemäß RFC1558
(Polnische Notation)
Attributename used
as destination id
String
<LDAP_Attribu
te>
Angabe des Attribute aus dem Quell LDAP
Server der den eindeutigen Bezeichner des User
für den Ziel LDAP Server enthält.
Beim ADS Exchange 2000/ 2003 ist dies im
Default immer das Attribute „mailNickName“
Beim NT Exchange 5.5 ist dies im Default immer
das Attribute „otherMailbox“
Anhand des eindeutigen Bezeichners wird nach
der ersten Initialen Synchronisation festgestellt
ob der User schon im Ziel LDAP vorhanden ist.
Attributes to sync
String
<LDAP_Attribu
te>
Liste der LDAP Attribute aus dem Quell LDAP,
die eins zu eins synchronisiert werden sollen. Die
einzelnen Attribute sind durch Komma zu
trennen.
33
LDAP Sync Konfiguration C3000 Manager – Source
34
3.1.3 Einstellungen Destination
Der Ziel LDAP Server kann, je nach ausgewählter Syncvariante, ein ADAM Server oder ein Exchange
ADS Server sein. In Kapitel 3.2 – 3.4 wird auf die verschiedenen Varianten des Syncs im Detail
eingegangen.
Folgende Parameter sind für den Ziel LDAP Server einzustellen.
Parameter
Destination LDAP
Host
Typ
String
Wertebereich
<IP_Adresse>
oder
<RechnerNam
e>
<LDAP_Port>
Beschreibung
IP Adresse oder Rechnername des Quell
LDAP Servers
Port
Integer
User
String
<LDAP_Attribu
te>
Administrator User mit Leserechten auf das
Quell LDAP. Bei Windows 2000/ 2003 in der
Form „name@domain“ anzugeben, bei
Windows NT in der Form „domain\name“
Authentification
Option
Boolea
n
O,1
Der Paramater legt fest ob sich der LDAP Sync
verschlüsselt oder unverschlüsselt beim Quell
LDAP Server authentisiert.
Portnummer des Quell LDAP Servers
0 = unverschlüsselt
1= verschlüsselt
Default bei ADS als Quell LDAP ist immer mit
Verschlüsselung.
Bei einem ADAM Server ist der Default ohne
Verschlüsslung.
User Container
String
<LDAP_Attribu
te>
Angabe des Ziel Containers im Ziel LDAP der
die zu synchronisierenden C3000 Users
aufnimmt. Angabe erfolgt in Form des vollen
Distinguished Name
Beispiel:
CN=C3000Users,CN=Users,DC=UMS
User Group
String
<LDAP_Attribu
te>
Angabe der Benutzergruppe in der die User im
Ziel LDAP eingetragen werden sollen. Angabe
erfolgt in Form des vollen Distinguished Name
Beispiel:
CN=Users,CN=Rules,DC=UMS
Das eintragen der User in eine Rechtegruppe
ist nötig wenn die User sich über den
WebAdmin am C3000 System anmelden
sollen.
35
Parameter
Check Filter
Typ
String
Wertebereich
<Operator>
Beschreibung
Angabe der Filterregel welche User aus dem
Quell LDAP in das Ziel LDAP synchronisiert
werden sollen.
Als Deflaut ist eingetragen, dass alle User die
der ObjectClass „user“ angehören und bei den
das Attribut comOnC3kActivated=TRUE ist, als
gültige User klassifiziert werden.
Die Behandlung der ungültigen User wird dem
folgenden Parameter festgelegt.
Beispiel:
(&(objectClass=user)
(comOnC3kActivated=TRUE))
Notation der Regel erfolgt gemäß RFC1558
(Polnische Notation)
Invaild object
handling
String
Löschen,
Deaktivieren
Über die Drop Down Box wird eingestellt wie
die Objekte (User) zu behandeln sind, die von
der Gültigkeitsprüfung als ungültig klassifiziert
worden sind.
Die User Können im Ziel LDAP vollständig
gelöscht oder deaktiviert
(comOnC3kActivated=FALSE) werden.
Attribute Name Fax
Number
String
<LDAP_Attribu
te>
Angabe des Attributs welches die Faxnummer
im Quell LDAP enthält. Im Standard ist dies bei
Exchange 5.5/2000/2003 das Attribute
„facsimileTelephoneNumber“
Basierend auf diesem Feld wird nach den
angegebenen Bedingungen in den Felder Base
Number, Interconnection und Nr. of extension
digits das C3000 Attribut
„comOnC3kextension“ im Ziel LDAP gefüllt
Wenn kein Attribut angegeben wird, entfallen
auch die folgenden drei Überprüfung der
Faxnummer und es wird kein Wert in
„comOnC3kextension“ geschrieben
Base Number (Fax)
Integer
Keine
Beschränkung
Angabe der Faxbasisrufnummer. Es wird
überprüft ob diese im Quell LDAP im
angegebenen Faxnummernattribut enthalten
ist. Wenn diese nicht der Fall ist wird der User
als ungültig klassifiziert.
Die Überprüfung erfolgt gegen den rein
numerischen aus dem Faxnummerattribut. Alle
Sonderzeichen (z.B. / +) werden zur aus dem
String entfernt.
Nach der Bereinigung wird der Wert von links
geprüft.
36
Interconnection
(Fax)
Integer
9999
Angabe des Faxquerverbinders. Die
Faxquerverbindernummer wird ebenfalls zur
Gültigkeitsprüfung des Users herangezogen.
Ist die Nummer nicht identisch wird der User
als ungültig klassifiziert.
Die Ermittlung der Faxbasisrufnummer erfolgt
indem die Anzahl der Durchwahlziffern von der,
um Sonderzeichen bereinigten Faxnummer,
von rechts abgezogen wird.
Nr. of extension
digits (Fax)
Integer
1-6
Angabe der Anzahl der Faxdurchwahlziffer. Die
Anzahl der Faxdurchwahl wird ebenfalls zur
Gültigkeitsprüfung des Users herangezogen.
Ist die ermittelte Durchwahl zu lang oder zu
kurz Fall wird der User als ungültig klassifiziert.
Der Wert der Faxdurchwahlnummer wird
ermittelt indem von rechts die Basisrufnummer
und der Querverbinder abgezogen wird.
In das Ziel LDAP Attribut
„comOnC3kexentsion“ wird die gültige
Querverbindernummer plus die gültige
Faxdurchwahlnummer, als C3000 Fax Nummer
von LDAP Sync eingetragen.
Attribute Name
Voice Number
String
<LDAP_Attribu
te>
Angabe des Attributs welches die
Voicenummer im Quell LDAP enthält. Im
Standard ist dies bei Exchange 5.5/2000/2003
das Attribute „TelephoneNumber“
Base Number
(Voice)
Integer
Keine
Beschränkung
Angabe der Voicebasisrufnummer. Es wird
überprüft ob diese im Quell LDAP im
angegebenen Voicenummernattribut enthalten
ist. Wenn diese nicht der Fall ist wird der User
als ungültig klassifiziert.
Die Überprüfung erfolgt gegen den rein
numerischen aus dem Voicenummerattribut.
Alle Sonderzeichen (z.B. / +) werden zur aus
dem String entfernt.
Nach der Bereinigung wird der Wert von links
geprüft.
37
Parameter
Interconnection
(Voice)
Typ
Integer
Wertebereich
9999
Beschreibung
Angabe des Voicequerverbinders. Die
Voicequerverbindernummer wird ebenfalls zur
Gültigkeitsprüfung des Users herangezogen.
Ist die Nummer nicht identisch wird der User als
ungültig klassifiziert.
Die Ermittlung der Voicebasisrufnummer erfolgt
indem die Anzahl der Durchwahlziffern von der,
um Sonderzeichen bereinigten Voicenummer,
von rechts abgezogen wird.
Nr. of extension
digits (Voice)
Integer
1-6
Angabe der Anzahl der Voicedurchwahlziffer. Die
Anzahl der Voicedurchwahl wird ebenfalls zur
Gültigkeitsprüfung des Users herangezogen.
Ist die ermittelte Durchwahl zu lang oder zu kurz
Fall wird der User als ungültig klassifiziert.
Der Wert der Voicedurchwahlnummer wird
ermittelt indem von rechts die Basisrufnummer
und der Querverbinder abgezogen wird.
In das Ziel LDAP Attribut „comOnC3kexentsion“
wird die gültige Querverbindernummer plus die
gültige Faxdurchwahlnummer, als C3000 Fax
Nummer von LDAP Sync eingetragen.
38
LDAP Sync Konfiguration C3000 Manager – Ziel LDAP
39
3.1.4 Einstellungen Defaults - Vorgaben
Über die Vorgabefelder des LDAP Sync können die C3000 Attribute im Ziel LDAP Server mit
entsprechenden Defaultwerten, beim erstmaligen anlegen eines Userobjektes, vorbelegt werden.
Die Vorgabewerte können aus statischen Werten bestehen oder mit Attributen aus dem Quell LDAP
gefüllt werden. Es können ebenfalls statische Werte mit Quell LDAP Attributen gemischt werden. Die
Quell LDAP Attribute müssen über die, unter dem Konfigurationsreiter „Allgemein“ zu definierenden,
Attribut Prefix und Suffix gekennzeichnet werden (Beispiel -#--Company--#-).
Alle Parameter die Quell LDAP Attribute enthalten müssen unter dem Konfigurationsreiter „Allgemein“
in das Feld „Attributnamen durch Werte ersetzen bei“ eingetragen werden. Dies dient der
Verbesserung der Synchronisationsperformance. Hierdurch wird vermieden, dass alle Vorgabefelder
durchgegangen werden müssen.
Folgende Felder stehen zur Verfügung.
Bezeichnung
LDAP Attribute
Default Einstellung
Paper Info
<comOnC3kPaperInfo>
Account
<comOnC3Account>
Fax Sender Info
<comOnC3kFax3SenderInfo>
Location
<comOnC3kLocation>
C3000 Rights
<comOnC3kRightsServices>
MSX;FAX3;VOICE;SMS;
System Rights
<comOnC3kRights>
C3000Rights:c3000UserRole/;
IVRRights://;
C3000 Voice Config
<comOnC3kVoiceConfig>
PIN
<comOnC3kPIN>
MAPI
Message Store
<comOnC3kTUIMessageProtokol>
MAPI
Host
<comOnC3kTUIMessageHost>
User ID Message
Account
<comOnC3kTUIMailboxName>
40
-#--Comany--#- -#-facsimileTelephoneNumber--#-
-#--comOnC3kMSXailSystemID--#-
LDAP Sync Konfiguration C3000 Manager – Deflauts General
LDAP Sync Konfiguration C3000 Manager – Deflauts Rights
41
LDAP Sync Konfiguration C3000 Manager – Deflauts – Phone and TUI
42
Sonderfall Routing Rules
Das C3000 Attribut für die C3000 Routing Rules <comOnc3kRoutingRule> lässt sich nicht über den
Manager vorbelegen, da der Inhalt dieses Attributes die maximale Eingabelänge des C3000
Managers überschreitet.
Der Wert muss direkt in die Registry eingetragen werden. Der Key comOnc3kRoutingRule muss
unter HKEY_LOCAL_MACHINE/HARDWARE/SOFTWARE/COM:ON/C3000 LDAP Sync/Config
angelegt werden und mit dem entsprechenden Inhalt gefüllt werden.
LDAP Sync Registry Einträge Manager
43
3.2 Unterschiede zwischen MSX 2000/ 2003 und MSX 5.5
Synchronisationen mit ADAM
Die Synchronisation eines Exchange 2000/2003 ADS mit einem ADAM Server wird mit hoher
Wahrscheinlichkeit der meist genutzte Einsatzfall sein.
Der LDAP Sync MSX 200x unterschiedet sich in folgenden Punkten vom LDAP SynExchange 5.5
Feature
Angabe des LDAP
Users
Exchange 2000/
2003
name@domain
Exchange 5.5
Erläuterung
domain\name
uSNChanged
Attribut
Kann verwendet
werden
Kann nicht
verwendet
werden
Das Attribut uSNChanged ist ein 64
bit Integer der bei Änderungen an
User hoch gezählt wird. Dies
ermöglicht es bei Exchange 2000/
2003 die Menge der geänderten
User abzufragen
Synchronisationsprüfung über alle
User vermieden und die
Performance nicht. Hierdurch wir ein
unerheblich verbessert.
Exchange 5.5 verfügt ebenfalls über
dieses Attribut, aber es lässt über
die genutzte OLE Schnittstelle nicht
auslesen.
Einstellung Zu
synchronisierende
Objekte
Vorhanden im
C3000 Manager
Nicht vorhanden
im C3000
Manager
Aufgrund des der uSNChanged
Information ist diese Einstellung im
Exchange 5.5 Sync nicht
vorhanden.
Attributename des
eindeutigen
Bezeichners für das
Ziel LDAP Objekt
ObjectClass
mailNickName
otherMailbox
Person,User
Person
44
Exchange 5.5 kennt nur die
ObjectClass „Person“ Exchange
2000/ 2003 akzeptiert auch als
ObjectClass „User“.
3.3 Synchronisieren von ADS MSX 2000/ 2003 in ADS ADS MSX
2000/ 2003
In bestimmten Situationen kann es erforderlich sein als C3000 LDAP Directory nicht einen ADAM
Server einzusetzen sondern einen ADS Server einzusetzen. Für diesen Fall wird ein extra
angepasster Sync mitgeliefert.
Im Gegensatz zum ADAM Server ist es beim anlegen eines Users in der ADS zwingend erforderlich
folgende beiden Felder zu füllen:
•
•
sAMAccountName
userPrinzipalName
Der C3000 LDAP Sync MSX200x ADS berücksichtigt genau dieses und füllt bei jedem anlegen eines
Users die entsprechenden Attribute.
Bei anlegen eines Users im ADAM gibt es keine zwingend Felder (bis auf den CN).
45