LDAP Sync - Avaya Support
Transcrição
LDAP Sync - Avaya Support
LDAP Sync Tool für die C3000 Exchange 5.5/2000/2003 Integration mit synchronisierter Userverwaltung in Microsoft ADAM/ADS Version 3.0 © 2005 INHALTSVERZEICHNIS 1 EINFÜHRUNG .................................................................................................... 3 1.1 C3000, Microsoft ADS und Schemaerweiterung ................................................................... 3 1.2 Gründe die eine Schemaerweiterung verhindern ................................................................. 4 1.3 Microsoft ADAM (Active Directory Application Mode) ......................................................... 5 1.4 C3000 LDAP Sync..................................................................................................................... 6 2 INSTALLATION .................................................................................................. 7 2.1 Installation Microsoft ADAM ................................................................................................... 7 2.1.1 Installation ADAM Server ....................................................................................................... 7 2.1.2 C3000 Schemaerweiterung im ADAM Directory.................................................................. 17 2.1.3 C3000 Konfiguration für Zugriff auf ADAM .......................................................................... 20 2.1.4 C3000 Systemadministrator im ADAM Directory ................................................................. 21 2.1.5 Password verändern über LDAP ......................................................................................... 22 2.1.6 C3000 User im ADAM.......................................................................................................... 23 2.2 3 Installation C3000 LDAP Sync .............................................................................................. 25 KONFIGURATION ............................................................................................ 28 3.1 Konfiguration und Einstellungen C3000 LDAP Sync ......................................................... 28 3.1.1 General - Allgemeine Einstellungen..................................................................................... 29 3.1.2 Einstellungen Source - Quell LDAP Server ......................................................................... 32 3.1.3 Einstellungen Destination..................................................................................................... 35 3.1.4 Einstellungen Defaults - Vorgaben ...................................................................................... 40 3.2 Unterschiede zwischen MSX 2000/ 2003 und MSX 5.5 Synchronisationen mit ADAM ... 44 3.3 Synchronisieren von ADS MSX 2000/ 2003 in ADS ADS MSX 2000/ 2003........................ 45 2 1 Einführung 1.1 C3000, Microsoft ADS und Schemaerweiterung Ab Windows 2000 Server basiert die Domänen Userverwaltung auf dem X.500 konformen Directory Service ADS (Active Directory Service). Im so genannten Directory Schema, wird die Organisationsstruktur des Unternehmens abgebildet, beginnenden bei dem Unternehmensnamen bis runter zu den einzelnen Berechtigungen des Users. Das von Microsoft bei der Installation von ADS vorgegebene Schema mit seinen entsprechenden Attributen für die User Berechtigungen, kann beliebig um Objekte für andere Applikationen, gemäß des ITU X.500 Standards, erweitert werden. Deutlich sein darauf hin gewiesen, dass ein X.500 Directory speziell für die Erweiterung konzipiert worden ist, mit dem Ziel der Vermeidung der redundanten Datenhaltung über verschiedene System. Der X.500 Standard garantiert hierbei dass es zu keinen Konflikten kommen kann. Beim Einsatz von Exchange 2000/2003 wird das Directory Schema um die entsprechenden Exchange Objekte erweitert. Diese Erweiterung ist für den Betrieb eines Exchange 2000/2003 Server zwingend. Das C3000 Unified Messaging System erweitert das Directory Schema um ca. 70 Attribute die für die Useradministration der Unified Messaging System nötig sind. Technisch gesehen ist die direkte Schemaerweiterung der vorhandenen ADS die einfachste und optimale Lösung. 3 1.2 Gründe die eine Schemaerweiterung verhindern Aus unternehmensbedingten, strukturellen und organisatorischen Gründen kommt es aber immer wieder zur Situation, dass diese Schemaerweiterung an dem zentralen Directory nicht durchgeführt werden kann. Die Gründe liegen meist im Folgenden begründet. - Der zentrale ADS Domänencontroller liegt nicht in der Hoheit des Unternehmensbereiches welche das UMS System einführt (Muttergesellschaft im Ausland, strikte Aufteilung von IT und TK Bereichen). - Der zentrale ADS Domänencontroller wird von einem externen Dienstleister (Outsourcing) betrieben, welcher keine Erweiterung am Schema zulässt (Vertragsprobleme) Diese Szenarien würden meist dazu führen das ein redundante Datenhaltung und -pflege erforderlich werden würde. Das C3000 System bietet die Möglichkeit auch ohne Directory oder mit einen getrennten ADS oder Novell NDS Directory betrieben zu werden. Hierbei stellt sich aber der Einsatz ein zusätzlichen ADS Directory auf dem C3000 Server als problematisch heraus, da die Installation von ADS voraussetzt, dass der Windows 2000/2003 Server als Domänen Controller konfiguriert wird und ein DNS Server mitinstalliert wird. Somit kann der Server kein Mitglied der Kundendomain werden da er selber ein DC ist. Dies ist verständlicher Weise meist nicht gewünscht. Die Fragestellung bzw. Aufgabenstellung lautet wie können die folgenden Punkte miteinander in Einklang gebracht werden: 1. Keine Schemaerweiterung des zentralen ADS Directory 2. Kein C3000 Server als Domänen Controller mit DNS Server 3. Keine redundante Userverwaltung 4 1.3 Microsoft ADAM (Active Directory Application Mode) Mit dem Windows 2003 Server liefert Microsoft das ADS Directory in einer Variante als unabhängig installierbaren Service mit. Diese Version des ADS heißt ADAM (Active Directory Application Mode) ADAM wird nicht als Betriebssystemdienst ausgeführt und muss daher nicht auf einem Domänencontroller bereitgestellt werden. Außerdem können aus diesem Grund mehrere ADAM-Instanzen gleichzeitig auf einem einzelnen Server ausgeführt werden, und jede Instanz kann unabhängig von den anderen konfiguriert werden. Bis um diese Unterschiede sind ADS und ADAM identisch. Das ADAM Directory kann lokal auf dem C3000 Server installiert und mit der C3000 Schemaerweiterung um die entsprechenden Attribute erweitert werden. 5 1.4 C3000 LDAP Sync Mit dem vorherigen Schritt wären die Probleme 1 und 2 gelöst. Jetzt wäre es aber erforderlich an zwei Stellen die administrativen Userdaten zu pflegen und somit wäre Punkt 3 nicht erfüllt. Um dieses Problem zu lösen hat Tenovis ein zusätzliche C3000 Komponente entwickelt, den C3000 LDAP Sync. Der C3000 LDAP Sync ist ein Windows Service welcher es ermöglicht Objekte und Attribute von einem X.500 Directory in ein anderes zu synchronisieren. Hierbei beschränken sich der die Anbindungsmöglichkeiten nicht auf ADS und ADAM. Es kommen auch andere X.500 konforme Directory verwendet werden wie z.B. Novell NDS oder Netscape zu Einsatz kommen. Der LDAP Sync ermöglicht es weiterhin Attribute aus dem Quelldirectory auf beliebige andere Attribute im Zieldirectory zuzuordnen. Es können hierbei auch die Inhalte der Attribute erweitert und ergänzt werden. Beispiel – Erstellung Userdurchwahl für UMS Fax Voice:: Nehme die letzten vier Stellen der Usertelefonnummer aus der zentralen ADS packe ein Neun davor und schriebe dieses als UMS Fax Voice Nummer in das ADAM Directory Es können ebenfalls Bedienungen definiert werden wann ein ADS User in das UMS ADAM Directory importiert bzw.als UMS User aktiviert wird. Beispiel – Import und Aktivierung UMS User: Alle User mit dem Organisations Kürzel PK49 mit Standort Hamburg werden als aktive C3000 UMS User in das ADAM Directory importiert. Das Synchronisationsintervall LDAP Sync kann den Anforderungen entsprechenden eingestellt werden. Es ist möglich aus mehreren Containern User aus der ADS zu importieren und es können auf einen Rechner mehrere C3000 LDAP Sync’s parallel betrieben werden um ggf. Daten aus verschiedenen Directory zusammenzuholen. Durch den Einsatz des C3000 LDAP Sync sind alle drei Problemstellung erfüllt. Jetzt kann das C3000 System ohne Schemaerweiterung der zentralen ADS und trotzdem ohne redundante Datenpflege betrieben werden. 6 2 Installation Im Folgenden wird in einzelnen Schritten erläutert wie der C3000 LDAP Sync und der ADAM Server installiert werden. Es wird mit der Installation des ADAM Server begonnen, dann ohne ADAM Server die Installation und Einrichtung des LDAP Sync wenig Sinn macht. 2.1 Installation Microsoft ADAM Der Microsoft ADAM Server lässt sich nur auf Windows 2003 Server oder Windows XP installieren, eine Installation unter Windows 2000 ist nicht möglich. 2.1.1 Installation ADAM Server Folgende Schritte sind für die ADAM Installation durchzuführen: 1. 2. 3. 4. Führen Sie die im ADAM Directory enthaltene „adamsetup.exe“ aus. Klicken Sie „weiter“ Stimmen Sie den Lizenzbedingungen zu und klicken Sie „weiter“ Wählen Sie „ADAM und ADAM-Verwaltungsprogramme“ aus und klicken Sie „weiter“ 5. Wählen Sie „Eine eindeutige Instanz installieren“ und klicken „weiter“ 7 6. Vergeben Sie den Instanznamen. Der Instanzname wird später auch der Anzeigename des ADAM Dienstes sein und klicken Sie „weiter“. 7. Geben Sie die LDAP-Portnummer und SSL-Portnummer an. Es wird empfohlen die vorgegebenen Standard Ports beizubehalten (LDAP = 389, SSL = 636). Ein abweichender LDAP Port wäre nur erforderlicher wenn der Server schon ein ADS beinhalten würde, da diese den gleichen Port belegt. 8. Wählen Sie „Ja, eine Anwendungsverzeichnispartition erstellen und tragen Sie den Namen der Directory Partition ein (Beispiel: DC=UMS). Klicken Sie „weiter“ 8 9. Setzen Sie die Pfade für die Datendateien und den Datenwiederherstellungsdateien. Klicken Sie „weiter“ 10. Wählen Sie das Windowskonto aus unter dem der ADAM Server laufen soll und klicken Sie weiter. 11. Wählen aus der Liste der verfügbaren Standard LDIF Dateien, MS-User.ldf und MSInetOrgPerson.ldf aus, indem Sie die beiden Dateien auf die linke Seite verschieben. Die LDIF Dateien enthalten Schemaerweiterung für eine Windows Userverwaltung untter ADAM. Klicken Sie weiter 12. Nach einer weiteren „weiter“ Bestätigung läuft des Setup jetzt durch und installiert den ADAM Server. 9 Unter der Diensteverwaltung findet sich nach Abschluss der Installation der ADAM Server. Dieser ist nach der Installation sofort gestartet. Damit sich C3000 über LDAP anmelden kann muss ein Administrator User eingerichtet werden. Zu besseren Übersicht wird zusätzlich für diesen User ein neuer Container angelegt. Die Administration des ADAM Directory erfolgt über das mitinstallierte Administrationstool „ADAMadsiedit. 1. Rufen Sie das Programm „ADAM-adsiedit“ auf. 2. Klicken Sie mit der rechten Maustaste im linken Fenster auf „ADAM-adsi Editor“ 3. Wählen Sie aus dem Kontextmenü „Verbindung herstellen“ aus. 4. Vergeben Sie einen Verbindungsnamen (Beispiel „C3000“) 5. Wählen Sie den Radio Button „Definierter Name (DN) oder Nameskontext:“ aus 6. Tragen Sie die bei der Installation vergebenen Partitionsnamen ein (Beispiel DC=UMS) 7. Klicken Sie OK. 10 Die Verbindung wird hergestellt und die Partition angezeigt. Legen Sie jetzt den neuen Container an der unsere User aufnehmen soll. Für das anlegen eines neuen Containers führen Sie bitte folgende Schritte aus: 1. Klicken Sie mit der rechten Maustaste auf den zuvor verbundenen Partitionsnamen 2. Wählen Sie im Kontextmenü „New“ und „Objekt“ aus 3. Wählen Sie „container“ aus. 4. Vergeben Sie einen Namen für den neuen Container (Beispiel: Users) 5. Klicken Sie „Finish“ 11 IIn den neu erstellen Container wird jetzt der Administrator User für C3000 angelegt. Hier führen Sie bitte folgende Schritte aus: 1. Klicken Sie mit der rechten Maustaste auf den zuvor erstellten Container 2. Wählen Sie im Kontextmenü „New“ und „Objekt“ aus 3. Wählen Sie „user“ aus. 4. Vergeben Sie einen Namen für den User (Beispiel: Adiminstrator) 5. Klicken Sie „Finish“ Bei der Anmeldung prüft C3000 alle User gegen den IDENT dieser entspricht im ADS dem Attribut userPrinzipalName. Beim anlegen eines ADAM Users wird dieses Attribute aber nicht automatisch gefüllt, daher ist es notwendig für den Administartor User dieses manuell durchzuführen. Hier führen Sie bitte folgende Schritte aus: 1. Markieren Sie mit der Maus der anlegten User im angelegten Container auf der rechten Seite im ADAM-adsiedit 2. Klicken Sie auf die rechte Maustaste und wählen Sie „Properties“ aus 3. Wählen Sie aus der Liste das Attribut „userPrinzipalName“ aus und klicken Sie doppelt mit der linken Maustaste auf das Attribut. 4. Tragen Sie den Namen ein (Beispiel: Administrator) und klicken Sie zweimal auf „OK“ 12 Im nächsten Schritt muss der User noch der Gruppe der Directory Administratoren (CN=Administrators,CN=Roles,DC=UMS) zugewiesen werden. Hierfür führen bitte folgende Schritte aus: 1. Klicken Sie auf der linken Seite in ADAM-adsiedit auf den Container „CN=Roles“ 2. Markieren Sie mit der Maus der die Gruppe der Administratoren (CN=Administrators) auf der rechten Seite im ADAM-adsiedit 3. Klicken Sie auf die rechte Maustaste und wählen Sie „Properties“ aus 4. Wählen Sie aus der Liste das Attribut „member“ aus und klicken Sie doppelt mit der linken Maustaste auf das Attribut. 5. Klicken Sie auf „ADAM-Konto hinzufügen“ 13 6. Geben Sie den angelegten Administrator User mit seinem vollen Distinguished Name (DN) ein. (Beispiel: CN=Administrator,CN=Users,DC=UMS) und klicken Sie dreimal OK um alle Fenster wieder zu schließen. Jetzt fehlt dem Administrator User noch ein Passwort. Dieses vergeben Sie mit den folgenden Schritten: 1. Markieren Sie mit der Maus der anlegten User im angelegten Container auf der rechten Seite im ADAM-adsiedit. 2. Wählen Sie über die linke Maustaste im Kontextmenü „Kennwort zurücksetzen“. 3. Vergeben Sie ein entsprechendes Kennwort und klicken Sie OK. Damit ist die Einrichtung des ADAM Server mit einem C3000 Administrator User abgeschlossen. Der C3000 Server wird sich jetzt erfolgreich anmelden können. Noch nicht funktionieren wird die Anmeldung über den C3000 WebAdmin, hierfür sind weitere konfigurative Schritte erforderlich. Diese werden in den folgenden Kapitel ebenfalls ausführlich beschrieben. 14 Zur Kontrolle ob eine erfolgreiche Anmeldung mit dem eingerichteten Administrator Account auf das Directory ADAM Server möglich ist verwenden Sie das mitgelieferte Tool LDP. Hier führen Sie bitte folgende Schritte aus. 1. Öffnen Sie eine Windows Kommandozeile und starten Sie drücken eintippen von LDP das Tool. 2. Wählen Sie unter „Connection“ den Punkt „Connect“ aus. 3. Geben Sie den ADAM Servernamen und Portnamen ein und klicken Sie OK. Der erfolgreiche Connect wird mit einer ähnlichen Ausgabe wie im Screen Shot dargestellt. 4. Wählen Sie unter „Connection“ den Punkt „Bind“ aus. 5. Tragen Sie den angelegten Administrator User und sein Passwort ein. Im LDP wird jetzt in der letzten Zeile ausgegeben ob die Anmeldung erfolgreich war. 15 6. Wählen Sie im LDP Menü „View“ aus und dort den Punkt „Tree“ aus. 7. Wählen Sie die angelegte ADAM Partition aus (Beispiel: DC=UMS) 8. Auf der linken Seite des LDP können Sie jetzt durch das ADAM Directory navigieren. 16 2.1.2 C3000 Schemaerweiterung im ADAM Directory Um den ADAM Server mit den C3000 Attributen zu erweitern können Sie nicht das normale C3000 Setup für die ADS Schemaerweiterung verwenden. Mit der LDAP Sync Installation wird ein alternatives Installationsskript und die nötigen LDIF Files mitgeliefert. Führen Sie folgende Schritte aus um diese zu installieren: 1. Öffnen Sie eine Windows Kommandozeile gehen Sie in Installationsverzeichnis des LDAP Syncs 2. Dort, in dem Verzeichnis \Tools\AdamConfig\AdamSchemaExtensions, finden den Batch File „AdamConfig.cmd“ 3. Führen Sie den Batch „AdamConfig.cmd“ aus. Nach dem erfolgreichen Durchlaufen des Batch Files ist die Schemaerweiterung angeschlossen. 17 Alternativ können Sie bei Problemen auch die einzelnen LDIF Files manuell installieren. Dieses wird im Folgenden im Detail noch einmal erläutert. Bei der normalen Schemaerweiterung in einem Active Directory wird mit folgenden Zeilen die Erweiterung vorgenommen. ldifde -i -k -f "c3kattributes.ldif" -c "<c3kdomain>" "customerdomain" ldifde -i -k -f "c3kclasses.ldif" -c "<c3kdomain>" "customerdomain" ldifde -i -k -f "c3kschema.ldif" -c "<c3kdomain>" "customerdomain" Wobei customerdomain mit dem Root des Directory ersetzt wird. Für ADAM würde dies bedeuten: ldifde -i -k -f "c3kattributes.ldif" -c "<c3kdomain>" "DC=UMS" ldifde -i -k -f "c3kclasses.ldif" -c "<c3kdomain>" " DC=UMS " ldifde -i -k -f "c3kschema.ldif" -c "<c3kdomain>" " DC=UMS " Durch den Parameter –c werden alle vorkommen von <c3kdomain> in den angegebenen ldif Files durch DC=UMS ersetzt. Schaut man sich aber z.b. das File c3kattributes.ldif an findet man an erste stelle die Zeile dn: CN=gender,CN=Schema,CN=Configuration,<c3kdomain> was somit zu dem Obkjekt CN=gender,CN=Schema,CN=Configuration,DC=UMS führt. Schaut man sich nun mit ADAM-ADSI-Edit die Konfigurationsdatenbank an erkennt man, dass der Pfad nicht stimmt Das heißt die richtige Syntax lautet für dieses Beispiel 18 ldifde -i -k -f "c3kattributes.ldif" -c "<c3kdomain>" " CN={24CA2A55-BAD7-4425-B2323F2B8A1B341C}" -s w2003dc ldifde -i -k -f "c3kclasses.ldif" -c "<c3kdomain>" " CN={24CA2A55-BAD7-4425-B232-3F2B8A1B341C}" -s w2003dc ldifde -i -k -f "c3kschema.ldif" -c "<c3kdomain>" " CN={24CA2A55-BAD7-4425-B2323F2B8A1B341C}" -s w2003dc der Parameter –s w2004dc ist erforderlich, da sonst versucht wird das Schemaupdate im Activ Directory zu machen. Nach dem Update muss über den ADAM-ADSI-Edit das Schema aktualisiert werden. Jetzt sollten bei einem Userobjekt die neuen Attribute vorhanden sein. 19 2.1.3 C3000 Konfiguration für Zugriff auf ADAM Normalerweise holt sich C3000 die Basis für einen LDAP zugriff aus dem Attribute defaultNamingContext der bei einem Connect an ein Active Directory zurückgegeben wird. Ist dieser Wert nicht vorhanden wird der erste Eintrag unter „namingContexts“ benutzt. Unten Sieht man die Rückmeldungen eines normalen Active Directory Servers. IIm Vergleich dazu die Meldung eines ADAM Directorys Es fällt auf das es keinen Wert „defaultNamingContext“ gibt. Der erste Eintrag unter namingContexts weist auf die Konfigurationspartition und nicht auf die gewünschte DC=UMS. Daher muss in der Registry des C3000 Servers unter hklm\software\com:on\C3000 Server\Config die Zeichenkette LDAPBASE mit dem Wert DC=UMS gesetzt werden. Der Registry Key wird mit dem ausführen des Batch Files „AdamConfig.cmd“ automatisch gesetzt. Bitte prüfen ob dieser korrekt in der Registry eingetragen ist. 20 2.1.4 C3000 Systemadministrator im ADAM Directory Damit der administrator@UMS sich am WebInterface anmelden kann muss er für C3000 aktiviert sein und das Systemrecht Admin haben. Dieses kann wieder mit dem ADAM-ADSI Edit eingerichtet werden. Dazu mit einem doppelklick den administrator öffnen und das Attribut comOnC3kActivated# auf Wahr (true) setzen. Weiterhin das Attribut comOnC3kRightsSys auf die unten gezeigten Werte setzen. Nun kann sich der administrator@UMS über das Webinterface anmelden! 21 2.1.5 Password verändern über LDAP In der default Konfiguration ist es nicht möglich über einen LDAP Befehl das Password eines Users zu verändern. Die Konfiguration des Directory untersagt Operationen zur Password Modifikation über unsichere Verbindungen. Diese muss eingeschaltet werden damit über das Attribut „userPassword“ eine Änderung erfolgen kann. Dazu im ADAM Verzeichnis über die Kommandozeile das Tool dsmgmt aufrufen. Man muss als jemand eingelogt sein der Mitglied in der Administrators Rolle ist. Jetzt die im Screenshot aufgezeigten Befehle absetzten. HINWEIS: Im Verzeichnis \LDAPSync\Tools\AdamConfig\AllowUnsecuredPasswordChange liegt ein cmd Skript mit dem dieser dsmgmt Befehl automatisch ausgeführt wird. 22 2.1.6 C3000 User im ADAM Damit die User aus dem ADAM Directory sich über das Webinterface anmelden können muss es Ihnen gestattet werden Ihre Attribute per LDAP zu lesen und eventuell sogar zu schreiben. Dazu wird jeder User beim Anlegen ein Mitglied der Rolle (Gruppe) CN=Users,CN=Roles;DC=UMS. Mit dem Tool dsacls kann man überprüfen welche Rechte aktuell vergeben sind. Mit dsacls „\\w2003dc\OU=C3000 User,DC=UMS“ läst man sich die Rechte auf das Objekt OU=C3000 User,DC=UMS auf dem Server w2003dc anzeigen. In diesem Beispiel werden dort alle User angelegt. Man erkennt das nur die Administratoren volle Rechte haben. Als nächstes wird der Rolle Users das Recht gegeben Objekte in dieser Organisation Unit überhaupt zu sehen. Das heist noch nicht das die eigentlichen Attribute (wie comOnC3kActivated) gelesen werden können. 23 Dieses Recht wird als nächstes vergeben. Achtung aus Sicherheitsgründen gibt es für die User nur Leserechte. Damit währe es aber auch möglich die PIN von anderen Usern per LDAP auszulesen!! Hier bedarf es gegebenenfalls noch Handlungsbedarf. 24 2.2 Installation C3000 LDAP Sync WICHTIGER HINWEIS! : Vor der Installation muss das LDAPSync Verzeichnis auf den lokalen Rechner kopiert werden. Andernfalls schlägt die Installation fehl. Bitte prüfen Sie vor der Installation des Sync’s ihre Anforderungen. Das Setup des C3000 LDAP Sync bietet die Möglichkeit zwischen drei unterschiedlichen Versionen des Sync’s zu wählen: Setup LDAP Sync Version Besonderheiten MSX200x Synchronisation eines Exchange 2000/ 2003 ADS Directory in ein ADAM Directory (Details siehe Kapitel 3.2) Keine MSX200xADS Synchronisation eines Exchange 2000/ 2003 ADS Directory in ein ADS Directory (Details siehe Kapitel 3.3) Im Gegensatz zum ADAM müssen in der ADS zu anlgen eines User die Attribute “cn”, “sAmAccountName“ und userPrinzipalName“ gefüllt werden. MSX5.5 Synchronisation eines Exchange 5.5 Directory in ein ADAM Directory (Details siehe Kapitel 3.2) Der eindeutige Bezeichner für einen Mailuser steht bei Exchange 5.5 im Attribute „otherMailbox“ und nicht nicht wie bei Exchange 2000 /2003 ADS im Attribute „mailNickName“ Mit dem LDAP Sync werden folgende Tools mitgeliefert. C3000 Manager Tool zur Konfiguration des LDAP Sync. Der Manager muss nur installiert werden wenn der LDAP Sync auf einen Rechner installiert wird auf dem noch keiner vorhanden ist. Bei einer C3000 Installation wird dieser immer mitinstalliert ADAM Konfiguration Batch Dateien Nach Auswahl und Installation finden sich im Verzeichnis \LDAPSync\Tools\ADAMconfig\ die LDIF Files um das ADAM Schema mit den C3000 Attributen zu erweitern. Hierfür führen Sie bitte \LDAPSync\Tools\ADAMconfig\AdamSchemaExtensions\AdamConfig.cmd Batch Datei aus. Des weiteren findet sich unter \LDAPSync\Tools\AdamConfig\AllowUnsecuredPasswordChange\ die Batch Datei „doAllow.cmd“. Durch ausführen dieser Batch Datei wird im ADAM eingestellt das dass User Passwort über eine unsichere Verbindung geändert werden kann. Dies ist erforderlich damit per LDAPSync das Passwort im ADAM gesetzt werden kann. Hierzu siehe Kapitel 2.1 Installation ADAM. LDP Tool LDP ist ein einfaches Tool von Microsoft um auf einen LDAP Server zuzugreifen. LDP wird in dieser Anleitung bei der Installation und Konfiguartion an verschiedenen Stellen als Hilfsmittel verwendet um benötigte Informationen von den LDAP Server (ADS/ ADAM) zu ermitteln. 25 Um den den LDAP Sync zu installieren führen Sie bitte folgende Schritte durch 1. Rufen Sie die Setup.exe 2. Wählen Sie die Sprache des Setups aus. 3. Wählen Sie die LDAP Sync Variante aus, die Sie benötigen Setup LDAP Sync – Syncvarianten 4. Wählen Sie benötigen Tools aus. Setup LDAP Sync 2 - Tools 26 5. Klicken Sie “weiter” 6. Wählen Sie den Installationspfad aus. Setup LDAP Sync – Pfadangabe 7. Beobachten Sie ob das Setup ohne Fehlermeldung durchläuft 8. Klicken Sie „Beenden“ Damit ist die Installation des LDAP Sync abgeschlossen. 27 3 Konfiguration 3.1 Konfiguration und Einstellungen C3000 LDAP Sync Der Standard C3000 LDAP Sync wird vollständig über den C3000 Manager konfiguriert. Im Folgenden werden die einzelnen Einstellungen ausführlich erläutert. HINWEIS: Sollten spezielle Kundenanforderungen beim synchronisieren der Directory (spezielle Bedingungen oder besondere Attribute Mappings) nicht mit den Standardkonfigurationsmöglichkeiten abgedeckt werden können, so besteht die Möglichkeit, das kundenindividuelle Modifikation am Synchronisationsscript vorgenommen werden können. Hierfür wenden Sie sich bitte an die technischen Support der Tenovis Comergo. LDAP Sync Konfiguration C3000 Manager – Monitor 28 3.1.1 General - Allgemeine Einstellungen Folgende Parameter lassen sich Manager unter dem Reiter „allgemein“ konfigurieren. Parameter Pause Typ Integer Wertebereich 0 – 999999 Beschreibung Intervall zwischen zwei Synchronisationsläufen in Sekunden Einstellen des Log Levels für die Logausgabe im C3000 Manager Integer OFF, ERROR, WARN, INFO, DEBUG 1 – 999 Log Level Manager Max Log Messages Anzahl der maximalen Log Ausgaben im C3000 Manager. Hier sollte der Wert nicht zu hoch gewählt werden, da alle Manager Log Ausgaben in die Registry geschrieben werden. Main Logging Facilities String C3kmgr, ttrace Einstellung ob die Logausgabe in TTrace, den C3000 Manager oder in beide erfolgen soll. Sync Mode String changed , all Einstellung ob einen Synchronisationsdurchlauf nur geänderte User synchronisiert werden sollen oder alle User. Das Feature ließt aus der ADS, zur Erkennung welche User geändert wurden, das Attribut „uSChanged“ aus. Dieses Feature funktioniert nicht für Exchange 5.5. Hier werden immer alle User synchronisiert. Trace Log File Path String <Dateiname> oder Leer Dateiname der Trace Datei. Die Trace Datei wird in den Pfad des Activity Logs geschrieben. Dieses Log enhält alle Logausgaben des LDAP Sync’s. Wird das Feld leer gelassen wird kein Trace Log geschrieben. 29 Replace names with values at String <Attributename > Angabe der C3000 LDAP Attributnamen die durch Werte aus dem Quell LDAP gefüllt werden sollen. Die Werte aus dem Quell LDAP werden unter dem Reiter „Defaults – General“ mit den entsprechenden Prefix und Sufix Zeichen angegeben. Es lassen sich prinzipiell alle c3k Felder nutzen. Die die nicht unter „Defaults – General“ zu finden sind müssen über die Registry eingetragen werden. Das Eingrenzen der für die Ersetzung zu überprüfenden Felder erfolgt aus Performance Gründen. Replace Prefix String Beispiel: -#-- Angabe des eindeutigen Prefix der den Beginn eines Attributnamens aus dem Quell LDAP in den C3000 Vorgabe Feldern markiert. z. B. -#--Company--#- -#-facsimileTelephoneNumber--#eintragen in das Feld Faxabsenderkennung (comOnC3kFax3SenderInfo) Replace Suffix String Beispiel: --#- Angabe des Suffix der das Ende eines Attributnamens aus dem Quell LDAP in den C3000 Vorgabe Feldern markiert. Pause between two sync objects Integer 0 – 99 Pause zwischen der Synchronisation einzelner Syncobjekte (User) in Sekunden Pause between two object checks Integer 0 – 99 Pause zwischen zwei Gültigkeitsprüfungen einzelner Syncobjekte (User) in Sekunden 30 HINWEIS: Alle C3000 Manager Felder können nur maximal 1023 Zeichen aufnehmen. LDAP Sync Konfiguration C3000 Manager – General 31 3.1.2 Einstellungen Source - Quell LDAP Server Der Quell LDAP Server kann, je nach ausgewählter Syncvariante, ein ADS Exchange 2000/ 2003 Server oder ein Exchange 5.5 Server. In Kapitel 3.2 – 3.4 wird auf die verschiedenen Varianten des Syncs im Detail eingegangen. Folgende Parameter sind für den Quell LDAP Server einzustellen. Parameter SourceLDAP Host Typ String Port Integer User String Wertebereich <IP_Adresse> oder <RechnerNam e> <LDAP_Port> Beschreibung IP Adresse oder Rechnername des Quell LDAP Servers <LDAP_Attribu te> Administrator User mit Leserechten auf das Quell LDAP. Portnummer des Quell LDAP Servers Bei Windows 2000/ 2003 in der Form „name@domain“ anzugeben, bei Windows NT in der Form „domain\name“ Authentification Option Boolea n O,1 Der Parameter legt fest ob sich der LDAP Sync verschlüsselt oder unverschlüsselt beim Quell LDAP Server autorisiert. 0 = unverschlüsselt 1= verschlüsselt Default bei ADS als Quell LDAP ist „mit Verschlüsselung“. Bei einem ADAM Server ist der Deflaut „ohne Verschlüssung“. Base Container String <LDAP_Attribu te> Angabe des Quell Containers im Quell LDAP der die zu synchronisierenden C3000 Users enthält Beispiel: CN=Hamburg,DC=exchange,DC=intern User Containers String <LDAP_Attribu te> Angabe eines oder mehrerer Quell User Container. Bei der Angabe von mehreren Containern sind diese durch komma zu trennen. Beispiel: CN=UsersHamburg,CN=UsersBerlin Im ADS/Exchange 2000/2003 finden sich im Standard die User im Container „CN=Users“. Im NT/Exchange 5.5 finden sich die User im Standard unter „CN=Recipients“ 32 Parameter Base filter Typ String Wertebereich <operator> Beschreibung Angabe der Filterregel welche User aus dem Quell LDAP in das Ziel LDAP synchronisiert werden sollen. Als Deflaut ist eingetragen, dass alle User die zur ObjectClass „person“ gehören und das Feld Faxnummer einen Wert enthält synchronisiert werden. HINWEIS: In den Einstellungen des Ziel LDAP kann über die Prüfung der Faxnummer die Importmenge weiter gefiltert werden. Beispiel: (&(objectClass=person)(facsimileTelephoneNum ber=*)) Notation der Regel erfolgt gemäß RFC1558 (Polnische Notation) Attributename used as destination id String <LDAP_Attribu te> Angabe des Attribute aus dem Quell LDAP Server der den eindeutigen Bezeichner des User für den Ziel LDAP Server enthält. Beim ADS Exchange 2000/ 2003 ist dies im Default immer das Attribute „mailNickName“ Beim NT Exchange 5.5 ist dies im Default immer das Attribute „otherMailbox“ Anhand des eindeutigen Bezeichners wird nach der ersten Initialen Synchronisation festgestellt ob der User schon im Ziel LDAP vorhanden ist. Attributes to sync String <LDAP_Attribu te> Liste der LDAP Attribute aus dem Quell LDAP, die eins zu eins synchronisiert werden sollen. Die einzelnen Attribute sind durch Komma zu trennen. 33 LDAP Sync Konfiguration C3000 Manager – Source 34 3.1.3 Einstellungen Destination Der Ziel LDAP Server kann, je nach ausgewählter Syncvariante, ein ADAM Server oder ein Exchange ADS Server sein. In Kapitel 3.2 – 3.4 wird auf die verschiedenen Varianten des Syncs im Detail eingegangen. Folgende Parameter sind für den Ziel LDAP Server einzustellen. Parameter Destination LDAP Host Typ String Wertebereich <IP_Adresse> oder <RechnerNam e> <LDAP_Port> Beschreibung IP Adresse oder Rechnername des Quell LDAP Servers Port Integer User String <LDAP_Attribu te> Administrator User mit Leserechten auf das Quell LDAP. Bei Windows 2000/ 2003 in der Form „name@domain“ anzugeben, bei Windows NT in der Form „domain\name“ Authentification Option Boolea n O,1 Der Paramater legt fest ob sich der LDAP Sync verschlüsselt oder unverschlüsselt beim Quell LDAP Server authentisiert. Portnummer des Quell LDAP Servers 0 = unverschlüsselt 1= verschlüsselt Default bei ADS als Quell LDAP ist immer mit Verschlüsselung. Bei einem ADAM Server ist der Default ohne Verschlüsslung. User Container String <LDAP_Attribu te> Angabe des Ziel Containers im Ziel LDAP der die zu synchronisierenden C3000 Users aufnimmt. Angabe erfolgt in Form des vollen Distinguished Name Beispiel: CN=C3000Users,CN=Users,DC=UMS User Group String <LDAP_Attribu te> Angabe der Benutzergruppe in der die User im Ziel LDAP eingetragen werden sollen. Angabe erfolgt in Form des vollen Distinguished Name Beispiel: CN=Users,CN=Rules,DC=UMS Das eintragen der User in eine Rechtegruppe ist nötig wenn die User sich über den WebAdmin am C3000 System anmelden sollen. 35 Parameter Check Filter Typ String Wertebereich <Operator> Beschreibung Angabe der Filterregel welche User aus dem Quell LDAP in das Ziel LDAP synchronisiert werden sollen. Als Deflaut ist eingetragen, dass alle User die der ObjectClass „user“ angehören und bei den das Attribut comOnC3kActivated=TRUE ist, als gültige User klassifiziert werden. Die Behandlung der ungültigen User wird dem folgenden Parameter festgelegt. Beispiel: (&(objectClass=user) (comOnC3kActivated=TRUE)) Notation der Regel erfolgt gemäß RFC1558 (Polnische Notation) Invaild object handling String Löschen, Deaktivieren Über die Drop Down Box wird eingestellt wie die Objekte (User) zu behandeln sind, die von der Gültigkeitsprüfung als ungültig klassifiziert worden sind. Die User Können im Ziel LDAP vollständig gelöscht oder deaktiviert (comOnC3kActivated=FALSE) werden. Attribute Name Fax Number String <LDAP_Attribu te> Angabe des Attributs welches die Faxnummer im Quell LDAP enthält. Im Standard ist dies bei Exchange 5.5/2000/2003 das Attribute „facsimileTelephoneNumber“ Basierend auf diesem Feld wird nach den angegebenen Bedingungen in den Felder Base Number, Interconnection und Nr. of extension digits das C3000 Attribut „comOnC3kextension“ im Ziel LDAP gefüllt Wenn kein Attribut angegeben wird, entfallen auch die folgenden drei Überprüfung der Faxnummer und es wird kein Wert in „comOnC3kextension“ geschrieben Base Number (Fax) Integer Keine Beschränkung Angabe der Faxbasisrufnummer. Es wird überprüft ob diese im Quell LDAP im angegebenen Faxnummernattribut enthalten ist. Wenn diese nicht der Fall ist wird der User als ungültig klassifiziert. Die Überprüfung erfolgt gegen den rein numerischen aus dem Faxnummerattribut. Alle Sonderzeichen (z.B. / +) werden zur aus dem String entfernt. Nach der Bereinigung wird der Wert von links geprüft. 36 Interconnection (Fax) Integer 9999 Angabe des Faxquerverbinders. Die Faxquerverbindernummer wird ebenfalls zur Gültigkeitsprüfung des Users herangezogen. Ist die Nummer nicht identisch wird der User als ungültig klassifiziert. Die Ermittlung der Faxbasisrufnummer erfolgt indem die Anzahl der Durchwahlziffern von der, um Sonderzeichen bereinigten Faxnummer, von rechts abgezogen wird. Nr. of extension digits (Fax) Integer 1-6 Angabe der Anzahl der Faxdurchwahlziffer. Die Anzahl der Faxdurchwahl wird ebenfalls zur Gültigkeitsprüfung des Users herangezogen. Ist die ermittelte Durchwahl zu lang oder zu kurz Fall wird der User als ungültig klassifiziert. Der Wert der Faxdurchwahlnummer wird ermittelt indem von rechts die Basisrufnummer und der Querverbinder abgezogen wird. In das Ziel LDAP Attribut „comOnC3kexentsion“ wird die gültige Querverbindernummer plus die gültige Faxdurchwahlnummer, als C3000 Fax Nummer von LDAP Sync eingetragen. Attribute Name Voice Number String <LDAP_Attribu te> Angabe des Attributs welches die Voicenummer im Quell LDAP enthält. Im Standard ist dies bei Exchange 5.5/2000/2003 das Attribute „TelephoneNumber“ Base Number (Voice) Integer Keine Beschränkung Angabe der Voicebasisrufnummer. Es wird überprüft ob diese im Quell LDAP im angegebenen Voicenummernattribut enthalten ist. Wenn diese nicht der Fall ist wird der User als ungültig klassifiziert. Die Überprüfung erfolgt gegen den rein numerischen aus dem Voicenummerattribut. Alle Sonderzeichen (z.B. / +) werden zur aus dem String entfernt. Nach der Bereinigung wird der Wert von links geprüft. 37 Parameter Interconnection (Voice) Typ Integer Wertebereich 9999 Beschreibung Angabe des Voicequerverbinders. Die Voicequerverbindernummer wird ebenfalls zur Gültigkeitsprüfung des Users herangezogen. Ist die Nummer nicht identisch wird der User als ungültig klassifiziert. Die Ermittlung der Voicebasisrufnummer erfolgt indem die Anzahl der Durchwahlziffern von der, um Sonderzeichen bereinigten Voicenummer, von rechts abgezogen wird. Nr. of extension digits (Voice) Integer 1-6 Angabe der Anzahl der Voicedurchwahlziffer. Die Anzahl der Voicedurchwahl wird ebenfalls zur Gültigkeitsprüfung des Users herangezogen. Ist die ermittelte Durchwahl zu lang oder zu kurz Fall wird der User als ungültig klassifiziert. Der Wert der Voicedurchwahlnummer wird ermittelt indem von rechts die Basisrufnummer und der Querverbinder abgezogen wird. In das Ziel LDAP Attribut „comOnC3kexentsion“ wird die gültige Querverbindernummer plus die gültige Faxdurchwahlnummer, als C3000 Fax Nummer von LDAP Sync eingetragen. 38 LDAP Sync Konfiguration C3000 Manager – Ziel LDAP 39 3.1.4 Einstellungen Defaults - Vorgaben Über die Vorgabefelder des LDAP Sync können die C3000 Attribute im Ziel LDAP Server mit entsprechenden Defaultwerten, beim erstmaligen anlegen eines Userobjektes, vorbelegt werden. Die Vorgabewerte können aus statischen Werten bestehen oder mit Attributen aus dem Quell LDAP gefüllt werden. Es können ebenfalls statische Werte mit Quell LDAP Attributen gemischt werden. Die Quell LDAP Attribute müssen über die, unter dem Konfigurationsreiter „Allgemein“ zu definierenden, Attribut Prefix und Suffix gekennzeichnet werden (Beispiel -#--Company--#-). Alle Parameter die Quell LDAP Attribute enthalten müssen unter dem Konfigurationsreiter „Allgemein“ in das Feld „Attributnamen durch Werte ersetzen bei“ eingetragen werden. Dies dient der Verbesserung der Synchronisationsperformance. Hierdurch wird vermieden, dass alle Vorgabefelder durchgegangen werden müssen. Folgende Felder stehen zur Verfügung. Bezeichnung LDAP Attribute Default Einstellung Paper Info <comOnC3kPaperInfo> Account <comOnC3Account> Fax Sender Info <comOnC3kFax3SenderInfo> Location <comOnC3kLocation> C3000 Rights <comOnC3kRightsServices> MSX;FAX3;VOICE;SMS; System Rights <comOnC3kRights> C3000Rights:c3000UserRole/; IVRRights://; C3000 Voice Config <comOnC3kVoiceConfig> PIN <comOnC3kPIN> MAPI Message Store <comOnC3kTUIMessageProtokol> MAPI Host <comOnC3kTUIMessageHost> User ID Message Account <comOnC3kTUIMailboxName> 40 -#--Comany--#- -#-facsimileTelephoneNumber--#- -#--comOnC3kMSXailSystemID--#- LDAP Sync Konfiguration C3000 Manager – Deflauts General LDAP Sync Konfiguration C3000 Manager – Deflauts Rights 41 LDAP Sync Konfiguration C3000 Manager – Deflauts – Phone and TUI 42 Sonderfall Routing Rules Das C3000 Attribut für die C3000 Routing Rules <comOnc3kRoutingRule> lässt sich nicht über den Manager vorbelegen, da der Inhalt dieses Attributes die maximale Eingabelänge des C3000 Managers überschreitet. Der Wert muss direkt in die Registry eingetragen werden. Der Key comOnc3kRoutingRule muss unter HKEY_LOCAL_MACHINE/HARDWARE/SOFTWARE/COM:ON/C3000 LDAP Sync/Config angelegt werden und mit dem entsprechenden Inhalt gefüllt werden. LDAP Sync Registry Einträge Manager 43 3.2 Unterschiede zwischen MSX 2000/ 2003 und MSX 5.5 Synchronisationen mit ADAM Die Synchronisation eines Exchange 2000/2003 ADS mit einem ADAM Server wird mit hoher Wahrscheinlichkeit der meist genutzte Einsatzfall sein. Der LDAP Sync MSX 200x unterschiedet sich in folgenden Punkten vom LDAP SynExchange 5.5 Feature Angabe des LDAP Users Exchange 2000/ 2003 name@domain Exchange 5.5 Erläuterung domain\name uSNChanged Attribut Kann verwendet werden Kann nicht verwendet werden Das Attribut uSNChanged ist ein 64 bit Integer der bei Änderungen an User hoch gezählt wird. Dies ermöglicht es bei Exchange 2000/ 2003 die Menge der geänderten User abzufragen Synchronisationsprüfung über alle User vermieden und die Performance nicht. Hierdurch wir ein unerheblich verbessert. Exchange 5.5 verfügt ebenfalls über dieses Attribut, aber es lässt über die genutzte OLE Schnittstelle nicht auslesen. Einstellung Zu synchronisierende Objekte Vorhanden im C3000 Manager Nicht vorhanden im C3000 Manager Aufgrund des der uSNChanged Information ist diese Einstellung im Exchange 5.5 Sync nicht vorhanden. Attributename des eindeutigen Bezeichners für das Ziel LDAP Objekt ObjectClass mailNickName otherMailbox Person,User Person 44 Exchange 5.5 kennt nur die ObjectClass „Person“ Exchange 2000/ 2003 akzeptiert auch als ObjectClass „User“. 3.3 Synchronisieren von ADS MSX 2000/ 2003 in ADS ADS MSX 2000/ 2003 In bestimmten Situationen kann es erforderlich sein als C3000 LDAP Directory nicht einen ADAM Server einzusetzen sondern einen ADS Server einzusetzen. Für diesen Fall wird ein extra angepasster Sync mitgeliefert. Im Gegensatz zum ADAM Server ist es beim anlegen eines Users in der ADS zwingend erforderlich folgende beiden Felder zu füllen: • • sAMAccountName userPrinzipalName Der C3000 LDAP Sync MSX200x ADS berücksichtigt genau dieses und füllt bei jedem anlegen eines Users die entsprechenden Attribute. Bei anlegen eines Users im ADAM gibt es keine zwingend Felder (bis auf den CN). 45