Externes Benutzerverzeichnis konfigurieren

Wenn Sie ein externes LDAP-Verzeichnis für die Verwaltung der Benutzerkonten für Sophos Mobile Admin und für das Self Service Portal verwenden, müssen Sie die Verbindung zu diesem Verzeichnis konfigurieren, damit Sophos Mobile die Benutzerdaten vom LDAP-Server abrufen kann. Für Sophos Mobile on Premise macht dies der Superadministrator bei der Erstellung des Kunden.
Anmerkung: Zwischen dem LDAP-Verzeichnis und Sophos Mobile findet keine Synchronisierung statt. Sophos Mobile greift auf das LDAP-Verzeichnis nur zu, um Benutzerinformationen nachzuschlagen. Änderungen an einem LDAP-Benutzerkonto wirken sich nicht auf die Datenbank von Sophos Mobile aus, und umgekehrt.
  1. Klicken Sie in der Menüleiste unter EINSTELLUNGEN auf Einrichtung > Systemeinstellungen und öffnen Sie anschließend die Registerkarte Benutzerverzeichnis.
  2. Wählen Sie Externes LDAP-Verzeichnis aus.
  3. Klicken Sie auf Externes Benutzerverzeichnis (LDAP) konfigurieren, um die Serverdaten anzugeben.
  4. Konfigurieren Sie auf der Seite LDAP-Server-Details die folgenden Einstellungen:
    1. Wählen Sie im Feld LDAP-Typ den Typ des LDAP-Servers aus:
      • Active Directory
      • IBM Domino
      • NetIQ eDirectory
      • Red Hat Directory Server
      • Zimbra
    2. Geben Sie im Feld Primäre URL die URL des primären Verzeichnisservers ein. Sie können die Server-IP-Adresse oder den Servernamen eingeben. Wählen Sie SSL/TLS aus, um die Server-Verbindung mit SSL oder TLS zu sichern (je nachdem, was der Server unterstützt). Für Sophos Mobile as a Service kann SSL/TLS nicht deaktiviert werden.
    3. Optional: Geben Sie im Feld Sekundäre URL die URL eines Verzeichnisservers ein, auf den ausgewichen wird, falls der primäre Server nicht erreichbar ist. Sie können die Server-IP-Adresse oder den Servernamen eingeben. Wählen Sie SSL/TLS aus, um die Server-Verbindung mit SSL oder TLS zu sichern (je nachdem, was der Server unterstützt). Für Sophos Mobile as a Service kann SSL/TLS nicht deaktiviert werden.
    4. Geben Sie im Feld Benutzer einen Benutzer ein, der für Nachschlage-Operationen auf dem Verzeichnisserver verwendet wird. Sophos Mobile verwendet dieses Konto, wenn es sich mit dem Verzeichnisserver verbindet.

      Für Active Directory müssen Sie außerdem die relevante Domäne eingeben. Folgende Formate werden unterstützt:

      • <Domäne>\<Benutzername>
      • <Benutzername>@<Domäne>.<Domänen-Code>
      Anmerkung: Aus Sicherheitsgründen empfehlen wir, dass Sie einen Benutzer angeben, der nur Leserechte auf dem Verzeichnisserver hat, aber keine Schreibrechte.
    5. Geben Sie im Feld Kennwort das Kennwort für den Benutzer ein.
    Klicken Sie auf Next.
  5. Geben Sie auf der Seite Suchbasis den Distinguished Name (DN) des Suchbasisobjekts ein.
    Das Suchbasisobjekt definiert den Ausgangspunkt im LDAP-Verzeichnis für die Suche nach einem Benutzer oder einer Benutzergruppe.
  6. Definieren Sie auf der Seite Suchfelder, welche Verzeichnisfelder zum Auflösen der Platzhalter %_USERNAME_% und %_EMAILADDRESS_% in Profilen und Richtlinien verwendet werden. Geben Sie die gewünschten Feldnamen ein oder wählen Sie diese aus den Listen Benutzername und E-Mail aus.
    Anmerkung: Die Listen enthalten nur Felder, die für den aktuell am LDAP-Verzeichnis angemeldeten Benutzer konfiguriert sind, d.h. für den zuvor in Schritt 4.d angegebenen Benutzer. Wenn zum Beispiel kein E-Mail-Feld für diesen Benutzer konfiguriert ist, müssen Sie den gewünschten Wert manuell in das Feld E-Mail eintragen.
    Für Active Directory gelten diese Feld-Zuordnungen:
    • Benutzername: sAMAccountName
    • Vorname: givenName
    • Nachname: sn
    • E-Mail: mail
  7. Geben Sie auf der Seite SSP-Konfiguration an, welche Benutzer sich am Self Service Portal anmelden dürfen. Geben Sie die relevanten Informationen im Feld LDAP-Gruppe ein. Sie haben folgende Möglichkeiten:
    • Geben Sie Stern * ein, damit sich Mitglieder aller LDAP-Gruppen am Self Service Portal anmelden dürfen.
      Anmerkung: Der Wert * steht für alle Gruppen, nicht alle Benutzer. Benutzer, die nicht Mitglied einer LDAP-Gruppe sind, sind ausgeschlossen.
    • Geben Sie den Namen einer auf dem Verzeichnis-Server definierten Gruppe ein, damit sich alle Mitglieder dieser Gruppe am Self Service Portal anmelden dürfen. Wenn Sie die Gruppe eingegeben haben, klicken Sie auf Gruppe finden, um den Gruppennamen in einen Distinguished Name (DN) aufzulösen.
    • Lassen Sie das Feld leer, damit sich keine Benutzer des Verzeichnis-Servers am Self Service Portal anmelden dürfen. Verwenden Sie diese Option, um eine externe Benutzerverwaltung für Sophos Mobile Admin aber nicht für das Self Service Portal zu verwenden.
    Anmerkung: Die Gruppe, die Sie hier angeben, ist unabhängig von der Benutzergruppe, die Sie auf der Registerkarte Gruppeneinstellungen der Seite Self Service Portal definieren. Mit den Einstellungen dort definieren Sie Auftragspakete, Gruppenzugehörigkeit in Sophos Mobile und die für jede Benutzergruppe verfügbaren Geräteplattformen.
  8. Klicken Sie auf Übernehmen.
  9. Klicken Sie auf der Registerkarte Benutzerverzeichnis auf Speichern.