Externes Benutzerverzeichnis konfigurieren

Um Benutzerkonten für Sophos Mobile Admin und für das Sophos Mobile Self Service Portal aus einem vorhandenen LDAP-Benutzerverzeichnis zu verwenden, müssen Sie die Verbindung zu Ihrem LDAP-Server konfigurieren.

Sophos Mobile kann sich mit folgenden LDAP-Servern verbinden:

  • Active Directory
  • HCL Domino
  • NetIQ eDirectory
  • Red Hat Directory Server
  • Zimbra

Informationen zu unterstützten Versionen finden Sie im Dokument Sophos Mobile 9.7 release notes.

Für Active Directory finden Sie zusätzliche Informationen im Support-Artikel 128081.

Anmerkung Zwischen dem LDAP-Verzeichnis und Sophos Mobile findet keine Synchronisierung statt. Sophos Mobile greift auf das LDAP-Verzeichnis nur zu, um Benutzerinformationen nachzuschlagen. Änderungen an einem LDAP-Benutzerkonto wirken sich nicht auf die Datenbank von Sophos Mobile aus, und umgekehrt.

So konfigurieren Sie eine LDAP-Verbindung zu einem externen Benutzerverzeichnis:

  1. Klicken Sie in der Menüleiste auf Einrichtung > Sophos-Einrichtung und öffnen Sie anschließend das Tab Benutzerverzeichnis.

    Als Superadministrator öffnen Sie stattdessen die Seite Kunde bearbeiten des Kunden.

  2. Wählen Sie Externes LDAP-Verzeichnis aus.
  3. Klicken Sie auf Externes Benutzerverzeichnis (LDAP) konfigurieren.

Die Konfiguration hängt vom Typ des LDAP-Servers ab. Die folgende Anleitung gilt für Active Directory.

  1. Konfigurieren Sie auf der Seite LDAP-Server-Details folgende Einstellungen:
    1. Wählen Sie im Feld LDAP-Typ den Typ des LDAP-Servers aus.
    2. Geben Sie im Feld Primäre URL die IP-Adresse oder den Namen des primären Verzeichnisservers ein.

      Wählen Sie SSL/TLS aus, um LDAP über SSL (LDAPS) für die Server-Verbindung zu verwenden.

      Anmerkung Für Active Directory ist LDAPS vorgeschrieben. Informationen zum Einrichten von LDAPS für Active Directory finden Sie im Microsoft Dokument Schritt-für-Schritt-Anleitung zum Einrichten von LDAPS auf Windows Server (englisch).
    3. Optional Geben Sie im Feld Sekundäre URL die IP-Adresse oder den Namen eines Verzeichnisservers ein, den Sophos Mobile verwendet, falls der primäre Server nicht erreichbar ist.
    4. Geben Sie in den Feldern Benutzer und Kennwort die Anmeldeinformationen ein, die Sophos Mobile verwendet, um sich am LDAP-Server zu authentisieren.

      Verwenden Sie eines der folgenden Formate:

      • <Domäne>\<Benutzername>
      • <Benutzername>@<Domäne>.<Domänen-Code>
      Anmerkung Aus Sicherheitsgründen empfehlen wir, ein Konto zu verwenden, dass keine Schreibrechte für das Verzeichnis besitzt.
  2. Geben Sie auf der Seite Suchbasis den distinguished name (DN) des Suchbasisobjekts ein.

    Das Suchbasisobjekt definiert den Ausgangspunkt im Verzeichnis für die LDAP-Suche.

  3. Konfigurieren Sie auf der Seite Suchfelder, welche Verzeichnis-Attribute Sophos Mobile für die Benutzereigenschaften verwendet.

    Wählen Sie die Attribute aus der Liste aus oder geben Sie sie manuell ein.

    Für Active Directory verwenden Sie folgende Zuordnung:

    Eigenschaft in Sophos Mobile

    Attribut in Active Directory

    Benutzername

    sAMAccountName

    Vorname

    givenName

    Nachname

    sn

    E-Mail

    mail

  4. Geben Sie auf der Seite SSP-Konfiguration an, welche Benutzer sich am Sophos Mobile Self Service Portal anmelden können. Geben Sie die relevanten Informationen im Feld LDAP-Gruppe ein. Sie haben folgende Möglichkeiten:
    • Wenn Sie eine Benutzergruppe aus Ihrem LDAP-Verzeichnis eingeben, sucht Sophos Mobile nach Benutzern in dieser Gruppe und allen Untergruppen.

      Nachdem Sie die Gruppe eingegeben haben, klicken Sie auf Gruppe testen, um den Distinguished Name (DN) der Gruppe zu ermitteln.

    • Wenn Sie ein einzelnes Sternchen * eingeben, sucht Sophos Mobile nach Benutzern in allen Gruppen Ihres LDAP-Verzeichnisses. Es sucht nicht nach Benutzern, die Mitglied keiner Gruppe sind.
    • Wenn Sie das Feld leer lassen, können sich keine Benutzer am Sophos Mobile Self Service Portal anmelden. Verwenden Sie diese Option, um die externe Benutzerverwaltung nur für Sophos Mobile Admin zu verwenden, aber nicht für das Sophos Mobile Self Service Portal.
    Anmerkung Die Gruppe, die Sie hier angeben, ist unabhängig von der Benutzergruppe, die Sie in Ihren Self Service Portal Konfigurationen festlegen. Mit den Einstellungen dort definieren Sie Auftragspakete, Gruppenzugehörigkeit in Sophos Mobile und die für jede Benutzergruppe verfügbaren Geräteplattformen.
  5. Klicken Sie auf Anwenden.
  6. Klicken Sie auf Speichern.