Vorstellung unseres LDAP-Sync-Skripts für Zimbra

von (Kommentare: 0)

Die Groupwarelösung Zimbra verwaltet die Benutzer und Gruppeninformationen in einem LDAP-Server, der bei der Installation automatisch konfiguriert wird. Die Pflege der Benutzer und Gruppen erfolgt daher grundsätzlich über die Administrationsoberfläche von Zimbra.

Eine direkte Anbindung an einen bestehenden LDAP- oder Active Directory-Server ist standardmäßig nicht vorgesehen. Lediglich die Authentifizierung lässt sich gegen ein anderes Benutzerverzeichnis standardmäßig konfigurieren.

 

Um jedoch ein bestehendes Benutzerverzeichnis, wie ein Active Directory, auch direkt an Zimbra anbinden zu können, haben wir ein LDAP-Sync-Skript entwickelt, dass den Abgleich zwischen den beiden LDAP-Verzeichnissen automatisch durchführt. Es ist sowohl mit OpenLDAP als auch mit Active Directory-Servern nutzbar.

Über konfigurierbare LDAP-Attribute werden sämtliche Benutzer und Gruppen ausgelesen und in den Zimbra eigenen LDAP geschrieben. Das führende und eindeutige Attribut ist immer die primäre E-Mail-Adresse.

Für Benutzer werden folgende Informationen übernommen:

  • LDAP-Benutzer für die externe Authentifizierung (zimbraAuthLdapExternalDn)
  • Primäre E-Mail-Adresse
  • Alias-Adressen
  • Anzeigename
  • Benutzer-Status (Gesperrt/Aktiv)
  • Gleichmäßige Verteilung der Benutzer über mehrere Mailbox-Server (MBS bei Multi-Server-Setups), sofern es sich nicht um einen Zimbra-Archivserver handelt
  • Daten für die globale Adressliste von Zimbra (GAL)

Für Gruppen bzw. Verteilergruppen sind es die folgenden Informationen:

  • E-Mail-Adresse der Verteilergruppen
  • Alias-Adressen
  • Mitglieder der Verteilergruppen (einschließlich verschachtelter Gruppen)

 

Sowohl für Benutzer, als auch für Verteilergruppen, gibt es die Möglichkeit, diese von der Synchronisierung auszuschließen. So können bestimmte Benutzer bzw. Gruppen zusätzlich zu den synchronisierten über die Zimbra-Administrationsoberfläche verwaltet werden.

 

Mit dem Sync-Skript stehen eine Reihe an Funktionalitäten zur Verfügung

  • Scripting Schnittstelle auf Basis von Shell-Scripts für verschiedene Events bei der Synchronisation (Hooks)
  • Genaue Protokollierungzur Nachvollziehbarkeit
  • Verschiedene Betriebsmodi (Komplett-Synchronisationen/ Teil-Synchronisationen)
  • Unterstützung von Statistik-E-Mails
  • Freie Konfiguration der LDAP-Suchabfragen aus Verzeichnisdienst
  • Unterstützung dynamisches Mapping von Attributen und Templating von Basis-Settings
  • Unterstützung von Namensänderungen bei Benutzern (z. B. bei Heirat)
  • Recovery-Tool für fehlgeschlagene Benutzersynchronisationen
  • Über zusätzliche, konfigurierbare Attribute ist außerdem die Änderung einer E-Mail-Adresse möglich.
  • Anlage von Gruppen-Aliase

Das LDAP-Sync-Skript steht unter der AGPL Lizenz. Wir bieten eine entsprechende Subskription an, die Softwarepflege, sowie die Weiterentwicklung im Zuge der Anpassung an neue Zimbra-Versionen beinhalten.
Ihr LDAP-Sync-Skript bekommen Sie bei uns im ETES Shop.

 

eteslogo4
Autoren
Markus Espenhain

Unser Geschäfts­führer und Gründer ist für die Strategie und den Kontakt zu Kunden & Partnern verantwortlich. Im Blog stellt er Ihnen neue Partnerschaften und Unternehmens-News vor.

markus.espenhain
Ioannis Dimas

Datenschutz und Informationssicherheit sind seine Herzensangelegenheit. Er berät Unternehmen zu diesen Themen und kann viel dazu berichten.

ioannis.dimas
Marco Welter

 

marco_welter