In der Benutzerverwaltung können Sie Benutzer, Gruppen, lokale E-Mail-Adressen, die Anmeldekonfiguration, generelle sowie Stellvertreter Richtlinien verwalten.
Die Anmeldekonfiguration legt fest, welche Benutzerdatenbank zur Autorisierung der Benutzer verwendet wird.
Sie können mehrere Anmeldekonfigurationen (Realms) festlegen, um die Anmeldung für den Benutzer aus verschiedenen Systemen zu ermöglichen.
Die Standard Anmeldekonfiguration „local“ benutzt die lokale Benutzerdatenbank der REDDOXX Appliance.
Sie kann nicht gelöscht oder verändert werden.
Sie können Realms hinzufügen, bearbeiten und löschen.
Realm Namen dürfen keine Leerzeichen beinhalten.
Folgende Schritte zur Erstellung einer Anmeldekonfiguration sind notwendig:
Klicken Sie auf Hinzufügen
Wählen Sie den Typ der Anmeldekonfiguration (Active Directory, Generic LDAP, Domino, Local)
Vergeben Sie den Namen als Beschreibung für die Anzeige im Admin Interface, sowie einen Display Name (Anzeige Name für die Benutzer im User Interface) und bestätigen mit "Weiter"
Je nach gewählter Anmeldekonfiguration unterscheiden sich dann die Konfigurationsmöglichkeiten:
Passen Sie die LDAP Anmeldekonfiguration an (LDAP Server und Backup Server, sowie Port und ob SSL verwendet werden soll oder nicht)
Wählen Sie einen Service Account für die Benutzer und Gruppen Synchronisation
Testen Sie die Einstellungen mit "Test LDAP connection" und fahren mit "Weiter"
Falls Sie Öffentliche Ordner im Exchange verwenden und die Zugriffsrechte ebenfalls synchronisiert werden sollen (wichtig vor allem für E-Mail aktivierte öffentliche Ordner bei aktivierter Empfängerüberprüfung), aktivieren Sie „Enable Public Folders“ im Reiter „Exchange Web Service“
Geben Sie hier ebenfalls einen Zugriffsberechtigten User an (dieser muss auf die entsprechenden öffentlichen Postfächer mindestens eine Lese Berechtigung besitzen, hier bietet sich also ein Service Account in den Stammberechtigungen an), sowie die Exchange Web Service url
Für diesen Zugriff ist die Basic Authentication auf den Web Service notwendig.
In der Exchange Management Shell können Sie die Webservice URL wie folgt ermitteln:
Get-WebServicesVirtualDirectory | fl
Basic Authentication lässt sich in der Exchange Management Shell wie folgt aktivieren:
Via "Test EWS Connection" können Sie die Erreichbarkeit des WebServices prüfen, fahren Sie dann mit "Weiter" fort.
Falls es zu einem "KDC reply did not match expectations" Fehler kommt, geben Sie den Usernamen bitte mit großgeschriebener Domain an z.B. username@DOMAIN.TLD.
Zusätzlich kann es notwendig sein, dass der Exchange Web Service URL Part klein geschrieben sein muss (ews/exchange.asmx)
Wählen Sie im folgenden Bereich, ob der UPN (User Principal Name => Die E-Mail Adresse) zur Anmeldung verwendet werden soll
Achtung: Sollte nach dem Speichern eines Realms die UPN Einstellung geändert werden müssen, so ist es zur Zeit (trifft nicht mehr ab 2034 SP1 zu) notwendig den Realm zu löschen und neu anzulegen.
Die Einstellungen für User lookup Query (um den distinguished Name des Users zu ermitteln) sowie die User und Group Object Filter entsprechen den Standard Einstellungen, bezogen auf ein Microsoft Active Directory, um die zugehörigen Benutzer Objekte sowie alle E-Mail Aliase und Berechtigungen zu ermitteln.
Falls das AD Schema nicht den Standard Einstellungen entspricht, wenden Sie sich bitte an den Administrator des Verzeichnisdienstes und lassen sich die angepassten Filter mitteilen.
Falls gewünscht, können Sie die zu synchronisierenden Gruppen / Benutzer über einen OU Filter reglementieren (OU=IT,DC=Test,DC=Local wäre die Organisations Einheit IT in Test.Local)
Testen Sie die Einstellungen via "Test user and group synchronization" und bestätigen mit "Weiter"
Abschliessend können Sie wählen ob aus Sicherheitsgründen das Speichern der Kennwörter für die User unterbunden werden soll und ob die Synchronisation Automatisiert (täglich 23 Uhr) durchgeführt werden kann
Schließen Sie die Einrichtung mit "Save" ab
Im Anschluß können Sie wählen ob direkt die Synchronisation durchgeführt werden soll
Den so erstellten Realm können Sie via "Als Standard setzen" zum neuen Standard definieren, womit dieser direkt bei den User Interfaces als Realm vorbelegt ist
Passen Sie die LDAP Anmeldekonfiguration an (LDAP Server und Backup Server, sowie Port und ob SSL verwendet werden soll oder nicht)
Für die Basis DN wird im Beispiel für openldap.rdx.com folgendes angegeben: dc=openldap,dc=rdx,dc=com
Wählen Sie einen Service Account für die Benutzer und Gruppen Synchronisation
Für den User DN wird am Beispiel des Users ldapservice in openldap.rdx.com folgendes angegeben: cn=ldapservice,dc=openldap,dc=rdx,dc=com
Die Einstellungen für User lookup Query (um den distinguished Name des Users zu ermitteln) sowie die User und Group Object Filter entsprechen den Standard Einstellungen, bezogen auf ein OpenLDAP, um die Zugehörigen Benutzer Objekte sowie alle E-Mail Aliase und Berechtigungen zu ermitteln.
Falls das AD Schema nicht den Standard Einstellungen entspricht, wenden Sie sich bitte an den Administrator des Verzeichnisdienstes und lassen sich die angepassten Filter mitteilen.
Falls gewünscht, können Sie die zu synchronisierenden Gruppen / Benutzer über einen OU Filter reglementieren (OU=IT,DC=Test,DC=Local wäre die Organisations Einheit IT in Test.Local)
Abschliessend können Sie wählen ob aus Sicherheitsgründen das Speichern der Kennwörter für die User unterbunden werden soll und ob die Synchronisation Automatisiert (täglich 23 Uhr) durchgeführt werden kann
Schließen Sie die Einrichtung mit "Save" ab
Im Anschluß können Sie wählen ob direkt die Synchronisation durchgeführt werden soll
Den so erstellten Realm können Sie via "Als Standard setzen" zum neuen Standard definieren, womit dieser direkt bei den User Interfaces als Realm vorbelegt ist
Passen Sie die LDAP Anmeldekonfiguration an (LDAP Server und Backup Server, sowie Port und ob SSL verwendet werden soll oder nicht)
Für die Basis DN wird die Organisation benötigt, im Beispiel für domino.rdx.com folgendes angegeben: O=rdx-dev
Wählen Sie einen Service Account für die Benutzer und Gruppen Synchronisation
Für den User DN wird am Beispiel des Users ldapservice in domino.rdx.com folgendes angegeben: cn=ldapservice
Die Einstellungen für User lookup Query (um den distinguished Name des Users zu ermitteln) sowie die User und Group Object Filter entsprechen den Standard Einstellungen, bezogen auf ein Domino LDAP, um die Zugehörigen Benutzer Objekte sowie alle E-Mail Aliase und Berechtigungen zu ermitteln.
Falls das AD Schema nicht den Standard Einstellungen entspricht, wenden Sie sich bitte an den Administrator des Verzeichnisdienstes und lassen sich die angepassten Filter mitteilen.
Falls gewünscht, können Sie die zu synchronisierenden Gruppen / Benutzer über einen OU Filter reglementieren (OU=IT,DC=Test,DC=Local wäre die Organisations Einheit IT in Test.Local)
Abschliessend können Sie wählen ob aus Sicherheitsgründen das Speichern der Kennwörter für die User unterbunden werden soll und ob die Synchronisation Automatisiert (täglich 23 Uhr) durchgeführt werden kann
Schließen Sie die Einrichtung mit "Save" ab
Im Anschluß können Sie wählen ob direkt die Synchronisation durchgeführt werden soll
Den so erstellten Realm können Sie via "Als Standard setzen" zum neuen Standard definieren, womit dieser direkt bei den User Interfaces als Realm vorbelegt ist
Legen Sie fest ob der Benutzer im User Interface das Kennwort für die Anmeldung speichern darf, oder ob dies via "Disable Save Password" unterbunden werden soll und speichern Sie mit "Save"
Die Rubrik Users dient unter anderem der manuellen Verwaltung der jeweiligen Lizenzen.
Wählen Sie zunächst den Bereich (Realm) für dessen Benutzer Sie Änderungen vornehmen möchten
In Lokalen Realms können Sie Benutzer hinzufügen, bearbeiten und löschen, Benutzer über einen CSV Import hinzufügen, Kennwörter Ändern sowie Lizenzen zuweisen und entfernen
In AD Realms können Sie prinzipbedingt Benutzer nur bearbeiten sowie Lizenzen zuweisen und entfernen, da alle anderen Vorgänge aus dem Verzeichnis synchronisiert werden
Bearbeiten
Im Modus bearbeiten können Sie die Primäre E-Mail-Adresse des Benutzers wechseln (an diese werden die Quarantäne Benachrichtungen geschickt) sowie die Sprache und den Quarantäne Report anpassen.
Die Primäre E-Mail-Adresse ist ebenfalls wichtig, damit im User Interface Mails an den angemeldeten User zugestellt werden können.
Folgende Schritte sind nötig um über eine CSV Datei Benutzer in einen Lokalen Realm zu importieren:
Erstellen Sie eine Datei bei denen Zeilenweise Benutzername,Kennwort,E-Mail-Adresse1,E-Mail-AdresseN … hinterlegt ist
Legen Sie unter "Realms" einen neuen Local Realm an oder verwenden Sie in den folgenden Schritten den default Local Realm
Wählen Sie in der Rubrik Users den entsprechenden Local Realm (Bereich) aus der Dropdown Liste und klicken Sie auf Import
Wählen Sie die erstellte Datei und geben den gewünschten Ziel Realm und das Spamfinder Filter Profil an welches auf die importierten User angewendet werden soll
Bestätigen Sie mit Import users
Lizenzen
Es können über die Tasten Shift / Strg und Linksklick mehrere Benutzer ausgewählt werden, um die Zuweisung oder das Entfernen von Lizenzen zu vereinfachen
Lizenzen können automatisch zugeteilt werden wenn dies entsprechend konfiguriert ist
Die zugeteilten Lizenzen werden gegen die Anzahl verfügbarer Lizenzen geprüft.
Wurden in einer Teststellung Lizenzen zugeteilt, für die nach der Teststellung keine oder nicht ausreichende Lizenzen vorhanden sind, meldet die Appliance „Invalid license count“ oder „no valid license“.
Sie können dann hier pro Benutzer Lizenzen verwerfen.
E-Mail-Aliase (E-Mail-Adressen) werden einem Benutzer zugeordnet.
Sie können E-Mail-Aliase hinzufügen, bearbeiten, löschen sowie das Filterprofil ändern
Folgende Schritte zur Erstellung eines E-Mail-Alias sind notwendig:
Wählen Sie in der Auswahlliste den Eintrag Hinzufügen.
Geben Sie die gewünschten E-Mail-Adresse an.
Wählen Sie via Assign to ob die E-Mail-Adresse einem Benutzer oder einer Gruppe zugewiesen werden soll.
Wenn Sie eine E-Mail-Adresse einem Benutzer hinzufügen, so hat dieser Benutzer im User Interface Zugriff auf den E-Mail Alias.
Wenn Sie eine E-Mail-Adresse einer Gruppe hinzufügen, haben dann alle Mitglieder dieser Gruppe im User Interface Zugriff auf den E-Mail Alias.
Wählen Sie ein gewünschtes Filterprofil aus.
Klicken Sie Speichern, um den E-Mail-Alias nun anzulegen.
Mit den Richtlinien (Policies) können Sie Regeln erstellen, die den Funktionsumfang der Userkonsole bzw des Webinterfaces für User bestimmen.
Regeln werden dabei immer auf Gruppen oder Benutzer angewendet.
Mit den Richtlinien wird festgelegt, ob ausgewählte Funktionen - für eine - oder mehrere Gruppen / User - erlaubt oder verboten sind.
Folgende Regeln inklusive einer Übersicht der Funktionen stehen zur Auswahl:
Allgemein (Common): Ausgangswarteschlange, Verwaltung der Stellvertreter, Einstellungen an Benutzerprofil und Benutzeradresse
Spamfinder: Spamfinder Warteschlange, Auswahl des Filterprofils, E-Mail Vorschau, Löschen von E-Mails aus Spam und Ciss Warteschlange
Spamfinder Filterlist: Black- und Whitelist Verwaltung für Betreff, Absender und Domains
Maildepot: Maildepot Ansicht, E-Mail Vorschau, Anhänge in E-Mail Vorschau, Speichern von E-Mails
Outlook Addin: Nachrichten Archivierung, Einschränkung zur maximalen Nachrichten Größe für die Archivierung
Bei der Anmeldung des Benutzers werden alle vorhandenen Richtlinien der Reihe nach, von oben nach unten, durchlaufen.
Die Reihenfolge der Richtlinien kann via Drag & Drop eingestellt werden
Folgende Schritte zur Erstellung einer Richtlinie sind notwendig:
Klicken Sie auf Hinzufügen
Vergeben Sie einen Namen und eine Beschreibung für die Richtlinie
Wählen Sie, ob die Richtline auf alle Benutzer angewendet werden soll oder wählen Sie die Gruppen / Benutzer auf die Richtlinie angewendet werde soll.
Wechseln Sie in den Reiter Regeln und konfigurieren die gewünschten Parameter entsprechend
Schliessen Sie die Erstellung mit "Speichern" ab
Passen Sie gegebenenfalls via Drag & Drop die Priorität der Richtlinie an
Stellvertreter Richtlinien (Deputy Groups) ermöglichen den Zugriff von ausgewählten Usern oder Gruppen auf die E-Mails anderer (z.B. ausgeschiedener) Benutzer
Bitte prüfen Sie zunächst, ob die Berechtigungen nicht bereits über den Verzeichnisdienst bestehen, da dann das anlegen von Stellvertreter Richtlinien nicht mehr nötig ist.
Folgende Schritte sind notwendig, um eine Richtlinie für Stellvertreter anzulegen (die z.B. auf Verteileradressen zugreifen dürfen)
Voraussetzung ist, dass bereits für den Zugriff berechtigte Gruppen / Benutzer sowie auch die Benutzer (E-Mail Adressen) auf die zugegriffen werden soll, angelegt sind
Klicken Sie auf Hinzufügen
Vergeben Sie einen Namen und eine Beschreibung und geben an ob die Richtlinie für Gruppen oder User (Via Add Group / Add User) gelten soll
Wechseln Sie auf den Reiter "Deputy Addresses"
Fügen Sie via "Add address" die Adressen hinzu, auf die zugegriffen werden soll
Schliessen Sie die Konfiguration mit Speichern ab
Im Webinterface/User Gui können die Zugriffsberechtigten User (aus Schritt 2) dann über "Stellvertreter wählen" die Aliase auswählen (Aus Schritt 4) auf die stellvertretend zugegriffen werden soll