Herstellen der Verbindung zu einem LDAP-Verzeichnis
- Erstellen Sie ein LDAP-Konto fürBlackBerry UEMim entsprechenden LDAP-Verzeichnis. Das Konto muss die folgenden Anforderungen erfüllen:
- Das Konto verfügt über Leseberechtigungen für alle Benutzer im Verzeichnis.
- Das Kennwort des Kontos läuft nie ab, und der Benutzer muss das Kennwort bei der nächsten Anmeldung nicht ändern.
- Wenn die LDAP-Verbindung mit SSL verschlüsselt ist, vergewissern Sie sich, dass Sie das Serverzertifikat für die LDAP-Verbindung haben und dass der LDAP-Server TLS 1.2 unterstützt. Wenn SSL aktiviert ist, muss die LDAP-Verbindung zuBlackBerry UEMTLS 1.2 verwenden.
- Überprüfen Sie die von Ihrem Unternehmen verwendeten LDAP-Attributwerte (die nachstehenden Schritte enthalten Beispiele für typische Attributwerte). Sie müssen die LDAP-Attributwerte aus Schritt 11 und den weiteren Schritten angeben.
- Klicken Sie in der Menüleiste aufEinstellungen > Externe Integration > Unternehmensverzeichnis.
- Klicken Sie aufHinzufügen einer LDAP-Verbindung.
- Geben Sie im FeldName der Verbindung des Verzeichnisseseinen Namen für die Verzeichnisverbindung ein.
- Führen Sie in der Dropdown-ListeLDAP-Servererkennungeine der folgenden Aktionen aus:
- Für eine automatische Erkennung des LDAP-Servers, klicken Sie aufAutomatisch. Geben Sie im FeldDNS-Domänennameden Domänennamen des Servers ein, der das Unternehmensverzeichnis hostet.
- Um die Liste der LDAP-Server festzulegen, klicken Sie aufServer aus der Liste unten auswählen. Geben Sie in das FeldLDAP-Serverden Namen des LDAP-Servers ein. Um weitere LDAP-Server hinzuzufügen, klicken Sie auf .
- Führen Sie in der Dropdown-ListeSSL aktiviereneine der folgenden Aktionen aus:
- Wenn die LDAP-Verbindung eine SSL-Verschlüsselung aufweist, klicken Sie aufJa. Klicken Sie neben dem FeldLDAP-Server-SSL-ZertifikataufDurchsuchen, und wählen Sie das LDAP-Serverzertifikat aus.
- Wenn die LDAP-Verbindung keine SSL-Verschlüsselung aufweist, klicken Sie aufNein.
- Geben Sie im FeldLDAP-Portdie TCP-Portnummer für die Verbindung ein. Die Standardwerte sind 636 für „SSL aktiviert“ oder 389 für „SSL deaktiviert“.
- Führen Sie in der Dropdown-ListeAutorisierung erforderlicheine der folgenden Aktionen aus:
- Wenn für die Verbindung eine Autorisierung erforderlich ist, klicken Sie aufJa. Geben Sie im FeldAnmeldungden DN des Benutzers ein, der für die Anmeldung bei LDAP autorisiert ist (z. B. an=admin,o=Org1). Geben Sie im FeldKennwortdas Kennwort ein.
- Wenn für die Verbindung keine Autorisierung erforderlich ist, klicken Sie aufNein.
- Geben Sie im FeldBenutzersuchbasisden Wert ein, der als Basis-DN für Benutzerinformationssuchen verwendet werden soll.
- Geben Sie im FeldLDAP-Suchfilter nach Benutzerden LDAP-Suchfilter ein, der zum Auffinden von Benutzerobjekten auf Ihrem Unternehmensverzeichnisserver erforderlich ist. Geben Sie beispielweise für einIBM Domino DirectoryFolgendes ein:(objectClass=Person).Wenn Sie deaktivierte Benutzerkonten aus den Suchergebnissen ausschließen möchten, geben Sie Folgendes ein:(&(objectclass=user)(logindisabled=false)).
- Führen Sie in der Dropdown-ListeLDAP-Benutzer-Suchbereicheine der folgenden Aktionen aus:
- Klicken Sie für die Suche nach Objekten, die dem Basisobjekt folgen, aufAlle Ebenen. Dies ist die Standardeinstellung.
- Um nach Objekten zu suchen, die sich direkt eine Ebene unter dem Basis-DN befinden, klicken Sie aufEine Ebene.
- Geben Sie im FeldEindeutige Kennungden Namen des Attributs ein, das den jeweiligen Benutzer im LDAP-Verzeichnis Ihres Unternehmens eindeutig identifiziert (muss eine Zeichenfolge sein, die unveränderbar und global eindeutig ist). Zum BeispieldominoUNIDinIBM DominoLDAP 7 und höher.
- Geben Sie im FeldVornamedas Attribut für den Vornamen der einzelnen Benutzer ein (beispielsweise:givenName).
- Geben Sie im FeldNachnamedas Attribut für den Nachnamen der einzelnen Benutzer ein (beispielsweise:sn).
- Geben Sie im FeldAnmeldeattributedas für die Authentifizierung zu verwendende Anmeldeattribut ein (beispielsweiseuid).
- Geben Sie im FeldE-Mail-Adressedas Attribut für die E-Mail-Adresse der einzelnen Benutzer ein (beispielsweisemail). Wenn Sie keinen Wert festlegen, wird ein Standardwert verwendet.
- Geben Sie im FeldAnzeigenamedas Attribut für den Anzeigenamen der einzelnen Benutzer ein (beispielsweisedisplayName). Wenn Sie keinen Wert festlegen, wird ein Standardwert verwendet.
- Geben Sie im FeldKontoname des E-Mail-Profilsdas Attribut für den Kontonamen des E-Mail-Profils der einzelnen Benutzer ein (beispielsweise:mail).
- Geben Sie im FeldBenutzerprinzipalnameden Benutzerprinzipalnamen für SCEP ein (beispielsweisemail).
- Um per Verzeichnis verknüpfte Gruppen für die Verzeichnisverbindung zu aktivieren, aktivieren Sie das KontrollkästchenAktivieren von per Verzeichnis verknüpften Gruppen.Geben Sie die folgenden Informationen an:
- Geben Sie im FeldSuchbasis für Gruppenden Wert ein, der als Basis-DN für Gruppeninformationssuchen verwendet werden soll.
- Geben Sie im FeldLDAP-Suchfilter für Gruppenden LDAP-Suchfilter ein, der zum Auffinden von Gruppenobjekten in Ihrem Unternehmensverzeichnis erforderlich ist. Geben Sie beispielsweise fürIBM Domino DirectoryFolgendes ein:(objectClass=dominoGroup).
- Geben Sie im FeldEindeutige Kennung der Gruppedas Attribut für die eindeutige Kennung der einzelnen Gruppen ein. Dieses Attribut muss unveränderbar und global eindeutig sein (z. B.cn).
- Geben Sie im FeldAnzeigename der Gruppedas Attribut für den Anzeigenamen der einzelnen Gruppen ein (z. B.cn).
- Geben Sie im FeldGruppenmitgliedschaft – Attributden Namen des Attributs für die Gruppenmitgliedschaft ein. Die Attributwerte müssen im DN-Format vorliegen (z. B.CN=jsmith,CN=Users,DC=example,DC=com).
- Geben Sie im FeldGruppenname testeneinen vorhandenen Gruppennamen ein, um die festgelegten Gruppenattribute zu validieren.
- Klicken Sie aufSpeichern.
- Klicken Sie aufSchließen.
Informationen zum Hinzufügen eines Synchronisierungsplans für Verzeichnisse finden Sie unter Hinzufügen eines Synchronisationsplans.