Skip Navigation

Herstellen der Verbindung zu einem LDAP-Verzeichnis

  • Erstellen Sie ein LDAP-Konto für
    BlackBerry UEM
    im entsprechenden LDAP-Verzeichnis. Das Konto muss die folgenden Anforderungen erfüllen:
    • Das Konto verfügt über Leseberechtigungen für alle Benutzer im Verzeichnis.
    • Das Kennwort des Kontos läuft nie ab, und der Benutzer muss das Kennwort bei der nächsten Anmeldung nicht ändern.
  • Wenn die LDAP-Verbindung mit SSL verschlüsselt ist, vergewissern Sie sich, dass Sie das Serverzertifikat für die LDAP-Verbindung haben und dass der LDAP-Server TLS 1.2 unterstützt. Wenn SSL aktiviert ist, muss die LDAP-Verbindung zu
    BlackBerry UEM
    TLS 1.2 verwenden.
  • Überprüfen Sie die von Ihrem Unternehmen verwendeten LDAP-Attributwerte (die nachstehenden Schritte enthalten Beispiele für typische Attributwerte). Sie müssen die LDAP-Attributwerte aus Schritt 11 und den weiteren Schritten angeben.
  1. Klicken Sie in der Menüleiste auf
    Einstellungen > Externe Integration > Unternehmensverzeichnis
    .
  2. Klicken Sie auf
    Hinzufügen einer LDAP-Verbindung
    .
  3. Geben Sie im Feld
    Name der Verbindung des Verzeichnisses
    einen Namen für die Verzeichnisverbindung ein.
  4. Führen Sie in der Dropdown-Liste
    LDAP-Servererkennung
    eine der folgenden Aktionen aus:
    • Für eine automatische Erkennung des LDAP-Servers, klicken Sie auf
      Automatisch
      . Geben Sie im Feld
      DNS-Domänenname
      den Domänennamen des Servers ein, der das Unternehmensverzeichnis hostet.
    • Um die Liste der LDAP-Server festzulegen, klicken Sie auf
      Server aus der Liste unten auswählen
      . Geben Sie in das Feld
      LDAP-Server
      den Namen des LDAP-Servers ein. Um weitere LDAP-Server hinzuzufügen, klicken Sie auf Das Symbol „Hinzufügen“.
  5. Führen Sie in der Dropdown-Liste
    SSL aktivieren
    eine der folgenden Aktionen aus:
    • Wenn die LDAP-Verbindung eine SSL-Verschlüsselung aufweist, klicken Sie auf
      Ja
      . Klicken Sie neben dem Feld
      LDAP-Server-SSL-Zertifikat
      auf
      Durchsuchen
      , und wählen Sie das LDAP-Serverzertifikat aus.
    • Wenn die LDAP-Verbindung keine SSL-Verschlüsselung aufweist, klicken Sie auf
      Nein
      .
  6. Geben Sie im Feld
    LDAP-Port
    die TCP-Portnummer für die Verbindung ein. Die Standardwerte sind 636 für „SSL aktiviert“ oder 389 für „SSL deaktiviert“.
  7. Führen Sie in der Dropdown-Liste
    Autorisierung erforderlich
    eine der folgenden Aktionen aus:
    • Wenn für die Verbindung eine Autorisierung erforderlich ist, klicken Sie auf
      Ja
      . Geben Sie im Feld
      Anmeldung
      den DN des Benutzers ein, der für die Anmeldung bei LDAP autorisiert ist (z. B. an=admin,o=Org1). Geben Sie im Feld
      Kennwort
      das Kennwort ein.
    • Wenn für die Verbindung keine Autorisierung erforderlich ist, klicken Sie auf
      Nein
      .
  8. Geben Sie im Feld
    Benutzersuchbasis
    den Wert ein, der als Basis-DN für Benutzerinformationssuchen verwendet werden soll.
  9. Geben Sie im Feld
    LDAP-Suchfilter nach Benutzer
    den LDAP-Suchfilter ein, der zum Auffinden von Benutzerobjekten auf Ihrem Unternehmensverzeichnisserver erforderlich ist. Geben Sie beispielweise für ein
    IBM Domino Directory
    Folgendes ein:
    (objectClass=Person)
    .
    Wenn Sie deaktivierte Benutzerkonten aus den Suchergebnissen ausschließen möchten, geben Sie Folgendes ein:
    (&(objectclass=user)(logindisabled=false))
    .
  10. Führen Sie in der Dropdown-Liste
    LDAP-Benutzer-Suchbereich
    eine der folgenden Aktionen aus:
    • Klicken Sie für die Suche nach Objekten, die dem Basisobjekt folgen, auf
      Alle Ebenen
      . Dies ist die Standardeinstellung.
    • Um nach Objekten zu suchen, die sich direkt eine Ebene unter dem Basis-DN befinden, klicken Sie auf
      Eine Ebene
      .
  11. Geben Sie im Feld
    Eindeutige Kennung
    den Namen des Attributs ein, das den jeweiligen Benutzer im LDAP-Verzeichnis Ihres Unternehmens eindeutig identifiziert (muss eine Zeichenfolge sein, die unveränderbar und global eindeutig ist). Zum Beispiel
    dominoUNID
    in
    IBM Domino
    LDAP 7 und höher.
  12. Geben Sie im Feld
    Vorname
    das Attribut für den Vornamen der einzelnen Benutzer ein (beispielsweise:
    givenName
    ).
  13. Geben Sie im Feld
    Nachname
    das Attribut für den Nachnamen der einzelnen Benutzer ein (beispielsweise:
    sn
    ).
  14. Geben Sie im Feld
    Anmeldeattribute
    das für die Authentifizierung zu verwendende Anmeldeattribut ein (beispielsweise
    uid
    ).
  15. Geben Sie im Feld
    E-Mail-Adresse
    das Attribut für die E-Mail-Adresse der einzelnen Benutzer ein (beispielsweise
    mail
    ). Wenn Sie keinen Wert festlegen, wird ein Standardwert verwendet.
  16. Geben Sie im Feld
    Anzeigename
    das Attribut für den Anzeigenamen der einzelnen Benutzer ein (beispielsweise
    displayName
    ). Wenn Sie keinen Wert festlegen, wird ein Standardwert verwendet.
  17. Geben Sie im Feld
    Kontoname des E-Mail-Profils
    das Attribut für den Kontonamen des E-Mail-Profils der einzelnen Benutzer ein (beispielsweise:
    mail
    ).
  18. Geben Sie im Feld
    Benutzerprinzipalname
    den Benutzerprinzipalnamen für SCEP ein (beispielsweise
    mail
    ).
  19. Um per Verzeichnis verknüpfte Gruppen für die Verzeichnisverbindung zu aktivieren, aktivieren Sie das Kontrollkästchen
    Aktivieren von per Verzeichnis verknüpften Gruppen
    .
    Geben Sie die folgenden Informationen an:
    • Geben Sie im Feld
      Suchbasis für Gruppen
      den Wert ein, der als Basis-DN für Gruppeninformationssuchen verwendet werden soll.
    • Geben Sie im Feld
      LDAP-Suchfilter für Gruppen
      den LDAP-Suchfilter ein, der zum Auffinden von Gruppenobjekten in Ihrem Unternehmensverzeichnis erforderlich ist. Geben Sie beispielsweise für
      IBM Domino Directory
      Folgendes ein:
      (objectClass=dominoGroup)
      .
    • Geben Sie im Feld
      Eindeutige Kennung der Gruppe
      das Attribut für die eindeutige Kennung der einzelnen Gruppen ein. Dieses Attribut muss unveränderbar und global eindeutig sein (z. B.
      cn
      ).
    • Geben Sie im Feld
      Anzeigename der Gruppe
      das Attribut für den Anzeigenamen der einzelnen Gruppen ein (z. B.
      cn
      ).
    • Geben Sie im Feld
      Gruppenmitgliedschaft – Attribut
      den Namen des Attributs für die Gruppenmitgliedschaft ein. Die Attributwerte müssen im DN-Format vorliegen (z. B.
      CN=jsmith,CN=Users,DC=example,DC=com
      ).
    • Geben Sie im Feld
      Gruppenname testen
      einen vorhandenen Gruppennamen ein, um die festgelegten Gruppenattribute zu validieren.
  20. Klicken Sie auf
    Speichern
    .
  21. Klicken Sie auf
    Schließen
    .
Informationen zum Hinzufügen eines Synchronisierungsplans für Verzeichnisse finden Sie unter Hinzufügen eines Synchronisationsplans.