Kapitel 5. Benutzerkonten

5.1. Authentifizierungsserver

Über den Menüpunkt Benutzerverwaltung → Authentifizierungsserver lässt sich die Art der Authentifizierung über die Benutzernamen und Passwörter bezogen werden, festlegen.

images/de/yaffas/23_authserver_thumb.png

Nach der Installation von yaffas muss dies als erstes konfiguriert werden da einige Dienste davon abhängig sind. Benutzer und Gruppen können erst angelegt werden nachdem eine Authentifizierungsmethode ausgewählt wurde.

yaffas kann die Benutzer gegen die lokale Datenbank, einen entfernten Yaffas-Authentifizierungsserver oder eine Microsoft Windows ActiveDirectory Domäne authentifizieren.

Bei Verwendung der lokalen Benutzerdatenbank kann der lokale Server auch als Authentifizierungsserver für andere yaffas-Produkte dienen.

[Warnung]

Wird die Art der Authentifizierung umgestellt, so werden alle Einstellungen zurückgesetzt, die Benutzer und Gruppen betreffen (z.B. MSN-Zuordnungen, gewählter Dateityp, Gruppe). Diese Einstellungen müssen nach einer Umstellung erneut festgelegt werden.

Bei der Umstellung der Authentifizierung versucht yaffas vorhandene Benutzer im neuen Authentifizierungs-Modus zu finden und zu übernehmen. Benutzerdaten die nicht zugeordnet werden können, werden gelöscht.

Um eine Art der Authentifizierung festzulegen, wählen Sie im Menüpunkt Benutzerkonten → Authentifizierungsserver den Reiter Authentifizierung wählen

5.1.1. Lokale Authentifizierung

Hier können Sie einstellen, dass die Benutzerdatenbank lokal gepflegt wird. Zusätzlich können Sie hier noch die Funktion als Authentifizierungsserver aktivieren. Dadurch wird es anderen yaffas Installationen ermöglicht, diesen Server zur Authentifizierung zu verwenden.

5.1.2. Yaffas LDAP Server

Falls Sie bereits ein yaffas-Produkt mit aktivem LDAP Dienst einsetzen, können Sie hier die LDAP Konfiguration des entfernten Servers eintragen. Die dort gepflegten Benutzer können so auch auf diesem System verwendet werden.

[Anmerkung]

Ein yaffas, das sich gegen einen entfernten Server authentifiziert, kann nicht selbst als Authentifizierungsserver fungieren. Sollte diese Funktion aktiv sein, wird sie an dieser Stelle automatisch deaktiviert.

Folgende Parameter müssen für den Betrieb mit einem LDAP-Server konfiguriert werden:

Parameter Funktion

Server/IP

Rechnername bzw. IP-Adresse des entfernten yaffas Authentifizierungs-Servers. Dabei ist zu beachten, dass vom entfernten Server Authentifizierungsanfragen akzeptiert werden.

Base DN

Die Base DN definiert, ab welcher Stelle im Verzeichnisbaum abwärts die Suche nach bestimmten Objekten gestartet werden soll.

Bind DN

Die Bind DN und das Bind Passwort dient der Authentifizierung gegen den LDAP-Server.

Bind Passwort

Das Passwort zur LDAP-Authentifizierung. Sollte es Probleme bei der Authentifizierung geben, dann verwenden Sie bitte auf dem LDAP-Server ein CRYPT-verschlüsseltes Passwort.

5.1.3. Remote-LDAP-Authentifizierung

Sie können yaffas gegen einen entfernten LDAP-Server authentifizieren lassen. Dort müssen lediglich die Schema-Datei hinterlegt werden und die benötigten Daten eingetragen werden.

Parameter Funktion

Server/IP

Tragen Sie hier bitte die IP des LDAP-Servers ein.

Base DN

Tragen Sie hier die im LDAP-Server konfigurierten Werte ein.

Bind DN

Tragen Sie hier die im LDAP-Server konfigurierten Werte ein.

Base DN Benutzer

Tragen Sie hier die im LDAP-Server konfigurierten Werte ein.

Base DN Gruppe

Tragen Sie hier die im LDAP-Server konfigurierten Werte ein.

Bind Passwort

Tragen Sie hier die im LDAP-Server konfigurierten Werte ein.

Suchattribut Benutzer und Gruppe

Geben Sie hier bitte an, unter welchem Attribut die Benutzer- bzw. Gruppeninformationen gesucht werden sollen.

5.1.4. Active Directory Authentifizierung

Durch diese Art der Authentifizierung können Sie das yaffas einer bestehenden ActiveDirectory-Domäne beitreten lassen. Anschließend stehen alle Benutzer und Gruppen der Domäne - mit ihren Passwörtern - auf dem yaffas zu Verfügung.

[Anmerkung]

Bei der Verwendung der AD-Authentifizierung raten wir dazu, den Domänencontroller gleichzeitig als ersten DNS-Server einzutragen.

Feld Funktion

Domänencontroller

Rechnername bzw. IP-Adresse des Windows ActiveDirectory Servers.

Domain

Tragen Sie hier bitte den Namen der AD-Domäne ein.

Domänenadministrator

Für den einmaligen Beitritt zur Domäne wird der Domänenadministrator benötigt. Der Benutzer wird in der cn=Users Organistationseinheit gesucht.

Für die regulären Anfragen an den Domänencontroller genügt ein Benutzeraccount. Geben Sie dazu bitte die passenden Benutzerdaten an. Sie können, müssen aber nicht, hier wiederum den Administrator verwenden.

[Warnung]

Falls Sie den Active Directory User, sein Passwort oder die DN Ihres Servers ändern, so müssen Sie diese Änderungen auch im Authentifizierungsmodul vornehmen!

[Anmerkung]

Es ist zur Zeit nicht möglich, einen Active-Directory-Server zu benutzen, dessen Workgroup sich von der Domain unterscheidet. Dies wird in einer zukünftigen Version behoben. Der aktuelle Status kann, ebenso wie weitere Informationen, im entspr. Ticket nachgesehen werden.

5.2. Benutzerverwaltung

Unter dem Menüpunkt Benutzerkonten → Benutzerverwaltung werden alle existierenden Benutzer angezeigt. Bei einer großen Anzahl von Benutzern können die Sortier- und Filterfunktion sehr hilfreich sein. Um einen vorhandenen Benutzer zu editieren oder zu löschen, klicken Sie mit der rechten Maustaste auf den entsprechenden Benutzer.

[Anmerkung]

Die Optionen zum Hinzufügen und Bearbeiten von Benutzern sind derzeit nur mit "Local LDAP" verfügbar.

5.2.1. Anlegen und Bearbeiten von Benutzern

Um einen neuen Benutzer anzulegen, wählen Sie den Reiter "Benutzer hinzufügen" aus. Hierfür benötigen Sie Username, Vorname, Nachname und die zweimalige Eingabe eines Passwortes. Optional können eine oder mehrere Gruppenmitgliedschaften gesetzt werden. Die Auswahl mehrerer Gruppen und das Entfernen einer Gruppenzugehörigkeit ist dabei mit gedrückter STRG-Taste möglich.

An dieser Stelle können außerdem benutzerspezifisch IMAP und POP3 freigegeben bzw. gesperrt werden.

Über die sendas-Konfiguration kann es anderen Benutzern oder Gruppen erlaubt werden, im Namen des Nutzers Mails zu versenden. Nur die ausgewählten Benutzer erhalten diese Berechtigung (mehrere Einträge können mit <Strg> bzw. <Shift> ausgewählt werden).

Wird ein Haken beim Punkt Gemeinschaftskonto gesetzt, so kann sich der Benutzer nicht einloggen. Stattdessen müssen Berechtigungen für andere Benutzer vergeben werden, sodass diese das Postfach mitbenutzen können. Dieser Kontotyp geht auch nicht in die Benutzerzählung für die Auswertung der Lizenz mit ein.

Ein Zarafa-Administrator ist ein Benutzer, der Berechtigungen für das Öffnen und Bearbeiten aller Postfächer aller Nutzer hat. Bei der Vergabe dieser Rechte sollte daher besondere Sorgfalt an den Tag gelegt werden.

Das Feld E-Mail-Alias kann zum Hinzufügen von alternativen E-Mail-Adressen für diesen Benutzer verwendet werden. Es müssen an dieser Stelle ganze E-Mail-Adressen eingetragen werden.

[Anmerkung]

Sonderfall yaffas & ZARAFA:

Bitte beachten Sie, dass das Feld "E-Mail Adresse" zum Versand benötigt wird, aber nicht für den Empfang verwendet wird. Sollte sich der lokale Teil der E-Mail-Adresse vom Benutzernamen unterscheiden, so tragen Sie die Mailadresse bitte unbedingt bei den Aliasen ein, da sonst kein Mailempfang möglich ist!

Über den Punkt E-Mail Alias lassen sich weitere E-Mail Aliase für den Benutzer anlegen.

[Anmerkung]

Eine Mailbox und deren Unterordner werden erst nach dem ersten Empfang einer Email oder nach dem ersten Login angelegt. Das heisst die Einstellungen für Standard-Quota und Standard-Ordner können dann anders sein, als zu dem Zeitpunkt an dem der User angelegt wurde.

Wenn Sie möchten, dass die Mailbox eines Users angelegt wird, dann können Sie diesem User eine Mail senden oder sich unter dessen Namen anmelden. Bei mehreren Usern empfiehlt sich die Verwendung der Rundmail-Funktion.

5.3. Gruppenverwaltung

Über den Menüpunkt Gruppenverwaltung gelangen Sie zur Übersicht der aktuell im System angelegten Gruppen.

Neue Gruppen können über den Reiter "Gruppe erstellen" angelegt werden. Nach dem Eintrag der neuen Gruppe im Feld Gruppenname wird diese über den Button Erstellen im System angelegt.

[Anmerkung]

Wenn Sie mehrere Gruppen auf einmal anlegen wollen, so geben Sie diese durch Komma getrennt an.

Vorhandene Gruppen können per Rechtsklick editiert/gelöscht werden.

5.4. Admin Passwort

Über diesen Dialog kann das Passwort für die Web-Oberfläche geändert werden. Hierzu ist eine zweimalige Eingabe des Passwortes mit anschließendem Klick auf Sichern erforderlich.

[Wichtig]

Passwörter sollten keine benutzerbezogenen Daten, keine bekannten Wörter und keine "einfachen" Tastaturkombinationen beinhalten (z.B. nebeneinander liegende Tasten).