Windows: MDaemon und Active Directory

Der MDaemon Messaging Server unterstützt schon eine ganze Weile die Anbindung an das Active Directory von Microsoft. Im Gegensatz zum Exchange Server oder manch anderen Produkten, wird allerdings nur lesend auf den Verzeichnisdienst zugegriffen. Auch wird kein Schema verändert oder zusätzliche Attribute eingefügt.

Die Anbindung eines MDaemon Servers an Active Directory ist dabei durchaus einfach. Selbst wenn schon Konten in MDaemon bestehen ist die Anbindung möglich. Ferner gibt es keine Probleme bei der Koexistenz von Lokalen- und Active Directory-MDaemon-Konten.

Anbei die Konfiguration am Beispiel der Version 13.x:

  • MDaemon starten.
  • Auf „Benutzerkonten – Einstellungen für Benutzerkonten“ klicken.
  • Zu „Active Directory – Überwachung“ wechseln.
  • Den Haken bei „Active Directory auf Änderungen an Benutzerkonten überwachen“ setzen.
  • Sofern keine Anpassungen (siehe nächsten Abschnitt) vorgenommen werden, auf die Schaltflächen „Vollständigen AD-Abgleich durchführen“, „Übernehmen“ und „OK“ klicken.

Anpassungen

In vielen Active Directory-Domänen gibt es eine Organisationseinheit (OU), die alle Benutzerkonten enthält. Möchte man nicht „Blind“ das ganze AD in MDaemon übernehmen, so kann man eine entsprechende Konfigurationsänderung vornehmen:

  • MDaemon starten.
  • Auf „Benutzerkonten – Einstellungen für Benutzerkonten“ klicken.
  • Zu „Active Directory – Optionen“ wechseln.
  • Bei „Basis-DN“ den gewünschten Distinguished Name eintragen. Beispiel:
LDAP://OU=Benutzer,OU=Firma,DC=Domänennamen,DC=local
  • Auf die Schaltfläche „Testen“ klicken und das Ergebnis prüfen.
  • Auf die Schaltflächen „Übernehmen“ und „OK“ klicken.

Troubleshooting

Funktioniert der automatische Abgleich mit dem Active Directory nicht, so kann das unter Umständen daran liegen, das der Computer oder das Dienstkonto nicht die notwendigen Rechte zur AD-Abfrage hat. Am einfachsten lässt sich das mit der Angabe eines Benutzers in den Optionen lösen:

  • MDaemon starten.
  • Auf „Benutzerkonten – Einstellungen für Benutzerkonten“ klicken.
  • Zu „Active Directory – Optionen“ wechseln.
  • Bei „Bind-DN“ entweder einen entsprechenden Distinguished Name oder einen Benutzernamen (namen@domain.tld) eintragen.
  • Auf die Schaltfläche „Testen“ klicken und das Ergebnis prüfen.
  • Auf die Schaltflächen „Übernehmen“ und „OK“ klicken.

Auch kann es Helfen unter „Active Directory – Überwachung“ den Haken bei „Domänennamen aus Active Directory zur Erstellung neuer Konten nutzen“ zu setzen.

Benutzer aus SAM/Active Directory importieren

Eine zweite Möglichkeit, Windows-Benutzer in MDaemon anzulegen besteht darin, Diese zu importieren:

  • MDaemon starten.
  • Auf „Benutzerkonten – Import – Benutzerkonten aus SAM/Active Directory“ klicken.
  • Die gewünschte Active Directory-Domäne auswählen, sofern mehrere vorhanden sind.
  • Wenn sich die MDaemon- und die Windows-Domäne im Namen unterscheidet, dann bei „MDaemon-Domäne“ die passende Auswahl treffen.
  • Die gewünschten Windows-Benutzer auswählen.
  • Im Abschnitt „Optionen“ den Umgang mit den Kennwörtern konfigurieren.
  • Nach einem Klick auf die Schaltfläche „Ausgewählte Benutzerkonten importieren“ startet der Vorgang.

Tipp

Man kann die „Dynamische Echtheitsbestätigung“, also die Authentifizierung gegenüber dem Active Directory auch pro Benutzerkonto konfigurieren. Einfach beim Anlegen eines Kontos den gleichen Benutzernamen wie für einen Windows-Benutzer (ohne „domain\“ oder „@domain.tld“) verwenden und bei Kennwort die Domäne, gegenüber der authentifiziert werden soll eintragen:

Kennwort-Syntax: \\DOMAIN

Quellen:

Active Directory Whitepaper

Knowledge Base: MDaemon 12.5.x: Active Directory Monitoring for MDaemon accounts

Online Hilfe: Active Directory

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.