Administratorhandbuch

Local Navigation

Produktunterlagen   Administratordokumentation   BlackBerry Enterprise Server Express 5   BlackBerry Enterprise Server Express für IBM Lotus Domino   Administratorhandbuch BlackBerry Enterprise Server Express for IBM Lotus Domino - 5.0.2

Konfigurieren der integrierten Windows-Authentifizierung, damit Benutzer auf Ressourcen im Netzwerk Ihres Unternehmens zugreifen können

Wenn Sie zulassen möchten, dass BlackBerry®-Gerätebenutzer auf Ressourcen im Netzwerk Ihres Unternehmens mithilfe von BlackBerry-Geräten zugreifen können, ohne bei jedem Zugriff Benutzername und Kennwort angeben zu müssen, konfigurieren Sie den BlackBerry MDS Connection Service so, dass integrierte Windows®-Authentifizierung unterstützt wird. Die Benutzer können dann mit ihren Geräten über den BlackBerry® Browser oder der Dateianwendung auf Netzwerkressourcen wie Intranetsites und freigegebene Netzwerkordner zugreifen, ohne Benutzernamen und Kennwort eingeben zu müssen.

Bevor Sie den BlackBerry MDS Connection Service so konfigurieren, dass er die integrierte Windows-Authentifizierung unterstützt, müssen Sie ein Microsoft® Active Directory®-Konto in jeder Microsoft Active Directory-Domäne erstellen, die Ressourcen enthält, für die Sie die integrierte Windows-Authentifizierung aktivieren wollen. Sie müssen deshalb die eingeschränkte Delegierung für die Microsoft Active Directory-Konten konfigurieren, damit sie den Zugriff auf jede Intranetsite oder jeden freigegebenen Netzwerkordner in der Microsoft Active Directory-Domäne delegieren.

Sie müssen auch die bidirektionale Vertrauenswürdigkeit zwischen der Microsoft Active Directory-Domäne, in der der BlackBerry MDS Connection Service ausgeführt wird, und den anderen Microsoft Active Directory-Domänen in anderen Gesamtstrukturen konfigurieren, zu denen der BlackBerry MDS Connection Service eine Verbindung herstellen muss. Die S4U2proxy-Erweiterung, über die der BlackBerry MDS Connection Service Kerberos™-Diensttickets für Benutzer abruft, erfordert eine bidirektionale Vertrauenswürdigkeit zwischen Microsoft Active Directory-Domänen.

Nach dem Aktivieren der integrierten Windows-Authentifizierung und dem Festlegen eines Microsoft Active Directory-Kontos für Delegierung im BlackBerry Administration Service, müssen Sie Webadressmuster für die Netzwerkressourcen angeben, auf die Benutzer Zugriff haben sollen, eine Pull-Regel für die Webadressmuster erstellen, Zugriff über die Pull-Regel auf die Webadressmuster gewähren und die Pull-Regel Benutzern oder einer Gruppe zuweisen.

Nachdem Sie den BlackBerry MDS Connection Service für die Unterstützung von integrierter Windows-Authentifizierung konfiguriert haben, verwendet der BlackBerry MDS Connection Service das Microsoft Active Directory-Konto für Delegierung zur Überprüfung der Anmeldeinformationen für einen Benutzer und für den Zugriff auf die Netzwerkressourcen an Stelle des Benutzers. Der BlackBerry Enterprise Server Express sendet dann Informationen von den Netzwerkressourcen an das Gerät des Benutzers.

Konfigurieren des Microsoft Active Directory-Kontos für die Delegierung des Zugriffs

Voraussetzungen: Konfigurieren des Microsoft Active Directory-Kontos für die Delegierung des Zugriffs auf eine Intranetsite

  • Überprüfen Sie, dass Sie die integrierte Windows®-Authentifizierung für den Anwendungsserver aktiviert haben, der die Intranetsite hostet.
  • Überprüfen Sie, dass der Anwendungsserver, der die Intranetsite und die Webanwendung hostet, die auf dem Anwendungsserver ausgeführt werden, die Kerberos™-Authentifizierung unterstützt.
  • Überprüfen Sie, dass Sie die Berechtigung haben, das Microsoft® Active Directory®-Konto in Microsoft Active Directory zu aktualisieren.
  • Überprüfen Sie, dass Sie Zugriff auf das Windows Server®-setspn-Tool haben, das in den Windows Server--Supporttools enthalten ist. Weitere Informationen zum setspn-Tool finden Sie unter http://technet.microsoft.com unter Übersicht - SetSPN.
  • Wenn Sie noch kein Microsoft Active Directory-Konto zur Delegierung des Zugriffs auf eine Intranetsite oder einen freigegebenen Netzwerkordner konfiguriert haben, müssen Sie in Microsoft Active Directory ein Microsoft Active Directory-Konto erstellen, das die folgenden Bedingungen erfüllt:
    • Ein Kennwort, das den Sicherheitsanforderungen Ihres Unternehmens entspricht
    • Der Benutzer muss beim nächsten Anmeldevorgang nicht das Kennwort ändern
    • Das Kennwort des Benutzers läuft nie ab
  • Wenn Sie einen Pool von Anwendungsservern konfiguriert haben, der die Intranetsite hostet, und der Pool unter Microsoft® IIS ausgeführt wird und sich hinter einem Lastausgleich befindet, geben Sie ein Benutzerkonto (auch bekannt als die Identität) für den Pool an, der die Intranetsite hostet. Weitere Informationen finden Sie unter http://technet.microsoft.com/en-us/library/cc771170(WS.10).aspx.

Konfigurieren des Microsoft Active Directory-Kontos für die Delegierung des Zugriffs auf eine Intranetsite

Sie dürfen nur ein Microsoft® Active Directory®-Konto in jeder Microsoft Active Directory-Domäne haben, die die Ressourcen enthält, für die Sie die integrierte Windows®-Authentifizierung aktivieren möchten.

Weitere Informationen zu Konfiguration des Microsoft Active Directory-Kontos mit setspn und Microsoft Active Directory finden Sie unter www.blackberry.com/btsc im Artikel KB22726.

  1. Wenn ein Pool von Anwendungsservern eine Intranetsite hostet und der Pool unter Microsoft® IIS ausgeführt wird und sich hinter einem Lastenausgleich befindet, verwenden Sie setspn oder ADSI, um die SPN der Intranetsite zum Benutzerkonto (auch bekannt als die Identität) des Pools hinzuzufügen. Sie müssen die SPN mit der FQDN und dem Namen der Intranetsite konfigurieren, den Benutzer in ihre Browser eingeben (zum Beispiel wenn Benutzer http://intranet_site in ihren Browsern eingeben, ist der Name der Intranetsite intranet_site).
  2. Wenn in Microsoft Active Directory unter den Microsoft Active Directory-Kontoeigenschaften die Registerkarte die Registerkarte Delegierung nicht anzeigt wird, aktualisieren die standardmäßigen HOST SPN-Registrierungen des Microsoft Active Directory-Kontos.
  3. Konfigurieren Sie in den Microsoft Active Directory-Kontoeigenschaften auf der Registerkarte Delegierung die folgenden Einstellungen:
    • diesem Benutzer nur für Delegierung zu angegebenen Diensten vertrauen
    • ein beliebiges Authentifizierungsprotokoll verwenden
  4. Klicken Sie auf Hinzufügen.
  5. Führen Sie eine der folgenden Aufgaben aus:
    • Wenn ein Pool von Anwendungsservern ein Intranetsite hostet und der Pool unter Microsoft IIS ausgeführt wird und sich hinter einem Lastenausgleich befindet, wählen Sie das Benutzerkonto aus, das die Anwendungspools auf den Microsoft IIS-Servern ausführt.
    • Wenn die Intranetsite von einem Anwendungsserver gehostet wird, wählen Sie der Anwendungsserver aus, der die Intranetsite hostet.
  6. Wählen Sie den Servicetyp "HTTP" für das Benutzerkonto oder den Anwendungsserver aus, das/den Sie angegeben haben.
  7. Wiederholen Sie Schritt 1 bis 6 für jede Intranetsite, für die Sie die integrierte Windows-Authentifizierung aktivieren möchten.
Nach Abschluss erforderliche Aktion:
  • Falls erforderlich, konfigurieren Sie den BlackBerry® MDS Connection Service so, dass er ein Microsoft Active Directory-Konto verwendet, wenn der Nachrichtenserver in einer Remote-Domäne von Microsoft Active Directory liegt.
  • Aktivieren Sie die integrierte Windows-Authentifizierung, wenn Benutzer auf Ressourcen im Netzwerk Ihres Unternehmens zugreifen.

Voraussetzungen: Konfigurieren des Microsoft Active Directory-Kontos für die Delegierung des Zugriffs auf einen freigegebenen Ordner

  • Überprüfen Sie, dass Sie die integrierte Windows®-Authentifizierung für den Dateiserver aktiviert haben, der die freigegebenen Ordner hostet.
  • Überprüfen Sie, dass Sie die Berechtigung haben, das Microsoft® Active Directory®-Konto in Microsoft Active Directory zu aktualisieren.
  • Überprüfen Sie, dass Sie Zugriff auf das Windows Server®-setspn-Tool haben, das in den Windows Server--Supporttools enthalten ist. Weitere Informationen zum setspn-Tool finden Sie unter http://technet.microsoft.com unter Übersicht - SetSPN.
  • Wenn Sie noch kein Microsoft Active Directory-Konto zur Delegierung des Zugriffs auf eine Intranetsite oder einen freigegebenen Netzwerkordner konfiguriert haben, müssen Sie in Microsoft Active Directory ein Microsoft Active Directory-Konto erstellen, das die folgenden Bedingungen erfüllt:
    • Das Kennwort entspricht den Sicherheitsanforderungen Ihres Unternehmens
    • Der Benutzer muss beim nächsten Anmeldevorgang nicht das Kennwort ändern
    • Das Kennwort des Benutzers läuft nie ab

Konfigurieren des Microsoft Active Directory-Kontos für die Delegierung des Zugriffs auf einen freigegebenen Ordner

Sie dürfen nur ein Microsoft® Active Directory®-Konto in jeder Microsoft Active Directory-Domäne haben, die die Ressourcen enthält, für die Sie die integrierte Windows®-Authentifizierung aktivieren möchten.

Weitere Informationen zu Konfiguration des Microsoft Active Directory-Kontos mit setspn und Microsoft Active Directory finden Sie unter www.blackberry.com/btsc im Artikel KB22726.

  1. Wenn in Microsoft Active Directory unter den Microsoft Active Directory-Kontoeigenschaften die Registerkarte die Registerkarte Delegierung nicht anzeigt wird, aktualisieren die standardmäßigen HOST SPN-Registrierungen des Microsoft Active Directory-Kontos.
  2. Konfigurieren Sie in den Microsoft Active Directory-Kontoeigenschaften auf der Registerkarte Delegierung die folgenden Einstellungen:
    • diesem Benutzer nur für Delegierung zu angegebenen Diensten vertrauen
    • ein beliebiges Authentifizierungsprotokoll verwenden
  3. Klicken Sie auf Hinzufügen.
  4. Wählen Sie den Dateiserver aus, der den freigegebenen Ordner hostet.
  5. Wählen Sie den Servicetyp "CIFS" für den angegebenen Dateiserver aus.
  6. Wiederholen Sie Schritt 3 bis 5 für jeden freigegebenen Ordner, für den Sie die integrierte Windows-Authentifizierung aktivieren möchten.
Nach Abschluss erforderliche Aktion:
  • Falls erforderlich, konfigurieren Sie den BlackBerry® MDS Connection Service so, dass er ein Microsoft Active Directory-Konto verwendet, wenn der Nachrichtenserver in einer Remote-Domäne von Microsoft Active Directory liegt.
  • Aktivieren Sie die integrierte Windows-Authentifizierung, wenn Benutzer auf Ressourcen im Netzwerk Ihres Unternehmens zugreifen.

Konfigurieren des BlackBerry MDS Connection Service, wenn der Nachrichtenserver sich in einer Remote-Domäne von Microsoft Active Directory befindet

Wenn der Computer, der den BlackBerry® MDS Connection Service hostet, sich nicht in der gleichen Microsoft® Active Directory®-Domäne wie der globale Katalogserver oder Nachrichtenserver befindet und Sie die Unterstützung der integrierten Windows®-Authentifizierung konfigurieren möchten, müssen Sie ein Microsoft Active Directory-Konto erstellen, das der BlackBerry MDS Connection Service verwenden kann, um eine Verbindung zum globalen Katalogserver herzustellen.

In einer Microsoft® Exchange-Umgebung müssen Sie das Microsoft Active Directory-Konto in der Microsoft Active Directory-Domäne erstellen, in der sich der Nachrichtenserver befindet.

In einer IBM® Lotus® Domino®-Umgebung müssen Sie, wenn der Nachrichtenserver sich in der gleichen Microsoft Active Directory-Domäne wie der globale Katalogserver befindet, das Microsoft Active Directory-Konto in dieser Domäne erstellen. Wenn der Nachrichtenserver sich in einer anderen Microsoft Active Directory-Domäne befindet als der globale Katalogserver, müssen Sie das Microsoft Active Directory-Konto in der Microsoft Active Directory-Domäne erstellen, die den globalen Katalogserver enthält.

Sie müssen die eingeschränkte Delegierung für das Microsoft Active Directory-Konto, das Sie in der Microsoft Active Directory-Domäne erstellen, die den Nachrichtenserver oder der globale Katalogserver enthält, nicht konfigurieren.

Konfigurieren des BlackBerry MDS Connection Service, wenn der Nachrichtenserver sich in einer Remote-Domäne von Microsoft Active Directory befindet

Vor Beginn erforderliche Aktion: Erstellen Sie ein Microsoft® Active Directory®-Konto in der Microsoft Active Directory, in der der Nachrichtenserver oder der globale Katalogserver sich in befinden.
  1. Navigieren Sie auf dem Computer, der den BlackBerry® MDS Connection Service hostet, zu <Laufwerk>:\Programme\Research In Motion\BlackBerry Enterprise Server\MDS\Servers\instance\config.
  2. Öffnen Sie die Datei rimpublic.properties in einem Texteditor.
  3. Führen Sie eine der folgenden Aktionen aus:
    • Wenn der IBM® Lotus® Domino®-Server in einer Microsoft Active Directory-Domäne mit einem globalen Katalogserver installiert ist, geben Sie in die Datei rimpublic.properties Folgendes ein: application.handler.exchange.domain=<Domänenname> Hierbei gilt Folgendes: <Domänenname> ist die Microsoft Active Directory, die den Nachrichtenserver enthält. Geben Sie beispielsweise application.handler.exchange.domain=domain123.example.com.
    • Wenn der Lotus Domino-Server nicht in einer Microsoft Active Directory-Domäne mit einem globalen Katalogserver installiert ist, geben Sie in die Datei <Domänenname>rimpublic.properties Folgendes ein: application.handler.exchange.domain=<Domänenname> Hierbei gilt Folgendes: <Domänenname> ist die Microsoft Active Directory, die den globalen Katalogserver enthält. Geben Sie beispielsweise application.handler.exchange.domain=domain123.example.com.
  4. Speichern und schließen Sie die Datei rimpublic.properties.
  5. Starten Sie den unter den Windows® Services aufgeführten BlackBerry MDS Connection Service neu.
Nach Abschluss erforderliche Aktion: Aktivieren Sie die integrierte Windows-Authentifizierung, wenn BlackBerry-Gerätebenutzer auf Ressourcen im Netzwerk Ihres Unternehmens zugreifen.

Aktivieren der integrierten Windows-Authentifizierung, damit Benutzer auf Ressourcen im Netzwerk Ihres Unternehmens zugreifen können

Vor Beginn erforderliche Aktion:
  • Konfigurieren Sie das Microsoft® Active Directory®-Konto für den Zugriff auf Ressourcen im Netzwerk Ihres Unternehmens.
  • Falls erforderlich, konfigurieren Sie den BlackBerry® MDS Connection Service so, dass er ein Microsoft Active Directory-Konto verwendet, wenn der Nachrichtenserver in einer Remote-Domäne von Microsoft Active Directory liegt.
  1. Erweitern Sie im BlackBerry Administration Service im Menü Server und Komponenten die Einträge Topologie der BlackBerry-Lösung > BlackBerry Domain > Komponente: Anzeigen.
  2. Klicken Sie auf MDS Connection Service.
  3. Klicken Sie auf Komponente bearbeiten.
  4. Klicken Sie in der Dropdown-Liste Integrierte Authentifizierung aktiviert auf Ja.
  5. Geben Sie für jedes Microsoft Active Directory-Konto folgende Informationen ein:
    • Geben Sie in das Feld Benutzerdomäne für Delegierung den FQDN ein (zum Beispiel ldap.example.com).
    • Geben Sie in das Feld Benutzername für Delegierung den Benutzernamen ein.
    • Geben Sie in die Felder Kennwort sowie Bestätigen das Kennwort ein.
  6. Klicken Sie auf Alles speichern.
  7. Klicken Sie auf der Registerkarte HTTP auf Komponente bearbeiten.
  8. Klicken Sie in der Dropdown-Liste Unterstützung für Authentifizierung auf Ja.
  9. Klicken Sie auf Alles speichern.
  10. Geben Sie auf der Registerkarte Pull-URL-Schema ein Webadressmuster für die Intranetsite oder den freigegeben Netzwerkordner an, auf die BlackBerry-Gerätebenutzer Zugriff haben sollen (zum Beispiel: intranet_site(:80)?(\/.*)?). Die Webadressmuster basieren auf regulären Java®-Ausdrücken. Betrachten Sie folgende Webadressmuster:
    • Legen Sie ".*\:.*\/.**" als Webadressmuster fest, um zu verhindern, dass Benutzer andere Webadressmuster für den Zugriff auf Intranetsites oder freigegebene Netzwerkordner verwenden.
    • Geben Sie .* als Webadressmuster für OCSP, LDAP und TCP an, um zuzulassen, dass Benutzer mit OCSP-, LDAP- und TCP-Servern kommunizieren.
  11. Erstellen Sie auf der Registerkarte Zugriffssteuerungsregeln eine Pull-Regel für jedes Webadressmuster, das Sie angegeben haben. Wenn Sie die Pull-Regel erstellen, klicken Sie in der Dropdown-Liste Authentifizierung auf Integriert oder Integriert und RSA.
  12. Klicken Sie auf Alles speichern.
  13. Weisen Sie den Benutzern oder Gruppen die gewünschten Pull-Regeln für den Zugriff auf Intranetsites oder freigegebene Netzwerkordner zu.
  14. Erweitern Sie im Menü Server und Komponenten die Einträge Topologie der BlackBerry-Lösung > BlackBerry Domain > Komponente: Anzeigen > MDS Connection Service.
  15. Klicken Sie auf eine BlackBerry MDS Connection Service-Instanz.
  16. Klicken Sie auf Instanz Bearbeiten.
  17. Klicken Sie in der Dropdown-Liste Pull-Autorisierung auf Ja.
  18. Klicken Sie auf Alles speichern.
  19. Wiederholen Sie Schritt 16 bis 20 für jede BlackBerry MDS Connection Service-Instanz.
Nächstes Thema: Einschränken der Push-Anwendungsinhalte, die Benutzer empfangen können
Vorheriges Thema: Konfigurieren von Downloadbeschränkungen für Medieninhaltstypen

Waren diese Informationen hilfreich? Senden Sie uns Ihren Kommentar.