Kopplung mit dem Active Directory (AD)

Die IPTAM® PBX kann Bestandsdaten wie Vor- und Nachname, E-Mail Adresse, Rufnummer etc. aus Ihrem Active Directory (AD) übernehmen und optional auch synchronisieren. Die so übernommenen Einträge sind mit einem Hinweis versehen, um sie vor manuellen Änderungen zu schützen. Sie können neben den importierten Einträgen auch manuell wie gewohnt Anwender anlegen. Ein importierter Anwender wird, falls er im AD gelöscht wird, bei der nächsten Synchronisation auch in der IPTAM® PBX gelöscht.

Voraussetzungen

Bevor Sie die Verbindung mit dem AD aufbauen und Daten übernehmen können, müssen einige Daten in Ihrer IPTAM® PBX vorhanden sein:
Empfehlenswert beim Betrieb mit den vom AD importierten Daten ist es:

Übersicht der Konfiguration

Image Im Menü System►Active Directory konfigurieren Sie die Verbindung zu Ihrem AD. Anschließend legen Sie fest, welche Attribute aus dem AD für welche Einstellungen der IPTAM® PBX genutzt werden sollen. Unter „Suchbasen und Filter“ legen Sie fest, anhand welcher Kriterien die Daten aus dem AD gefiltert werden sollen. Durch „Import und Synchronisation“ gelangen Sie zu den Einstellungen für die Datenübernahme. Sie können dort einen Testlauf ausführen, die Daten tatsächlich übernehmen oder die über diesen Weg eingelesenen Daten wieder löschen. Eine regelmäßige Synchronisation kann aktiviert werden.

Einrichten der Verbindung

Image Klicken Sie im Menü System►Active Directory im Abschnitt „Zugang zum Active Directory Server“ auf den Button „ Bearbeiten“. Sie gelangen zum rechts dargestellten Dialog, der zunächst noch leer ist. Tragen Sie Ihre AD-Domäne ein und geben Sie einen AD-Anwender mit Zugangsdaten an, der berechtigt ist, sich am AD anzumelden und die später abgefragten Daten lesen zu dürfen.

Falls Sie eine verschlüsselte Kommunikation zum AD einsetzen wollen, aktivieren Sie die entsprechende Checkbox. Sie haben die Wahl zwischen der Verbindung über Port 389 mit anschließender Verschlüsselung via StartTLS oder einer TLS-Verbindung über den dafür vorgesehenen Port 636. Falls das Zertifikat des AD-Servers nicht von einer öffentlichen Zertifizierungsstelle (CA) beglaubigt ist, können Sie das Zertifikat der CA im PEM-Format hochladen.

Setzen Sie zum Abschluss die Checkbox „aktiv“ und Speichern Sie den Dialog. Nach Änderungen an diesem Dialog sucht die IPTAM® PBX per DNS den AD-Server in Ihrer Domäne und zeigt ihn wie in der Abbildung dargestellt an.

Sie können die erfolgreiche Verbindung testen, in dem Sie auf den Button „ Testen“ klicken. Der Ergebnis wird Ihnen in einer Zeile unter dem Button angezeigt.

Mit einem Klick auf das Icon gelangen Sie wieder auf die Einstiegsseite der AD-Einstellungen.

Zuordnung der Attribute

Image Klicken Sie im Menü System►Active Directory im Abschnitt „Zuordnung der Attribute“ auf den Button „ Bearbeiten“. Im rechts dargestellten Dialog wählen Sie aus, welche Attribute Ihrer IPTAM® PBX mit welchen Attributen des AD-Systems verknüpft werden. Der Dialog ist mit einigen sinnvollen Annahmen vor ausgefüllt.

Wenn Sie bei „Login ableiten“ die Option „E-Mail Adresse“ wählen, wird aus der E-Mail Adresse der Account abgeleitet (Teil vor dem @-Zeichen). Aus „vorname.nachname@firma.de“ wird der Login „vorname.nachname“. Diese Einstellung sollten Sie verwenden, wenn Sie die E-Mail zu Fax-Funktion verwenden wollen. Mit der Einstellung „sAMAccountName“ wird dieses Attribut oder ein anderes bei der Einstellung „Account“ gewähltes unverändert verwendet. Beim Import werden nur eindeutige Accounts übernommen.

Falls Sie auch Fax-Nebenstellen für den Faxserver aus dem AD übernehmen möchten, setzen Sie die entsprechende Checkbox und wählen weiter unten das passende Attribut für die Fax-Nebenstelle.

Beim Übernehmen der Daten für Nebenstelle und Fax-Nebenstelle muss die IPTAM® PBX die Durchwahl erkennen können. Dabei werden Trennzeichen beachtet. Beispiele:
  • aus „123456-123“ wird „123“
  • aus „+49 241 123456 123“ wird „123“
  • aus „123“ wird „123“
  • aus „123456123“ wird „123456123“, was wahrscheinlich zu einem Fehler führt.

Die Auswahl einer Gruppe ist nur zu sehen, wenn Sie Rufübernahmegruppen konfiguriert haben. Sie können dann eine der Gruppen allen importierten Einträgen zuordnen oder keine der Gruppen wählen.

Die Optionen zur Durchwahl werden nur angezeigt, wenn Sie die Funktion Durchwahl einsetzen. Sie können dann allen importierten Einträgen die Durchwahl erlauben oder verbieten.

Die statischen Einstellungen wie „Berechtigunsklasse“, „Gruppe“ oder „Durchwahl“ können manuell bei den importierten Einträgen geändert werdern und würden bei einem erneuten Import nicht verändert werden.

Mit einem Klick auf das Icon gelangen Sie wieder auf die Einstiegsseite der AD-Einstellungen.

Suchbasen und Filter

Image Klicken Sie im Menü System►Active Directory im Abschnitt „Suchbasen und Filter“ auf den Button „ Bearbeiten“. Im rechts dargestellten Dialog werden Einstellungen vorgenommen, mit denen die Auswahl der Einträge im AD eingestellt wird.

Im Feld „Suchbasis“ erscheint zunächst die Wurzel Ihres AD-Systems. Hier wählen Sie, wo im Verzeichnisdienst mit der Suche begonnen werden soll. Liegen Ihre Anwender beispielsweise unterhalb von Standorte►Zentrale, so könnte der Eintrag „OU=Zentrale,OU=Standorte,DC=firma,DC=de“ lauten (In diesem Fall ist „firma.de“ die Domäne). Sie können mehrere Suchbasen angeben, falls Ihre Anwender im AD über mehrere Teilbäume verteilt organisiert sind. Trennen Sie die Einträge dann mit „|“.

Im Feld „Filter“ tragen Sie einen LDAP-Filterausdruck ein, mit dem Sie die Einträge aus der Gesamtliste auswählen. Der voreingestellte Begriff filtert Einträge, deren Attribute die Bedingung erfüllen:
  • objectCategory ist „person“ und
  • objectClass ist „user“ und
  • telephoneNumber ist vorhanden.
Sie können den Eintrag für Ihr AD passend einstellen.

Image Nach dem Speichern über den Button „ Speichern“ können Sie über den Button „ Testen“ prüfen, welche Einträge gefunden werden würden (siehe Beispiel links).

Der Button „ Rücksetzen“ erlaubt es, den Default-Filter wieder herzustellen.

Mit einem Klick auf das Icon gelangen Sie wieder auf die Einstiegsseite der AD-Einstellungen.

Import und Synchronisation

Image Klicken Sie im Menü System►Active Directory im Abschnitt „Import und Synchronisation“ auf den Button „ Bearbeiten“, um zu den Einstellungen zum Import und der Synchronisation zu gelangen (rechte Abbildung). In diesem Dialog können
  • Testläufe ausgeführt werden.
  • Daten aus dem AD in die IPTAM® PBX übernommen werden.
  • Die bereits importierten Daten gelöscht werden.

Image Durch einen Klick auf den Button „ Testen“ können Sie einen Test-Import ausführen. Dabei werden die Daten im AD gesucht und es wird versucht, diese zu Importieren. Anschließend wird eine Auflistung dargestellt, in der gezeigt wird, was bei einem Import passiert wäre. Im Beispiel ist eine ungültige E-Mail Adresse im AD hinterlegt.

Image Durch einen Klick auf den Button „ Import.“ wird ein Abgleich mit dem AD ausgeführt: Neue Einträge werden übernommen, im AD entfernte Anwender werden in der IPTAM® PBX gelöscht und veränderte Einstellungen werden angepasst. Die bei der Attribut-Auswahl mit festen Werten gesetzten Einstellungen werden nicht erneut verändert und können so also manuell angepasst werden (Sie können also die Berechtigungsklasse, die Gruppenzugehörigkeit oder die Erlaubnis zur Durchwahl nach dem ersten Import verändern). Sie sehen während des Imports einen Fortschrittsbalken (wie lim Bild dargestellt). Je nach Art und Menge der Veränderungen kann der Vorgang einige Zeit in Anspruch nehmen. Am Ende erscheint eine ähnliche Zusammenfassung wie beim Testlauf.

Image Durch einen Klick auf den Button „ Löschen“ können alle über den AD-Import übernommenen Daten wieder entfernt werden. Es erscheint der dargestellte Sicherheitshinweis. Während des Löschens erscheint ebenfalls ein Fortschrittsbalken.

Image Image Im unteren Bereich der Seite finden sich die Einstellungen zur regelmäßigen Synchronisation. Sie können den Abgleich stündlich oder zu einer einstellbaren Zeit an jedem Tag oder an einem bestimmten Tag in der Woche ausführen. Bei stündlicher Synchronisation (Abbildung rechts) können Sie eine Zeitspanne definieren, in der keine Synchronisation stattfindet. So können nächtliche Wartungsfenster am AD-System ausgeschlossen werden. Beim Synchronisieren aufgetretene Fehlermeldungen werden an den Administrator per E-Mail gesendet. Wenn Sie die Checkbox „Details einschließen“ aktivieren, wird eine Zusammenfassung den Fehlermeldungen vorangestellt. Falls keine Fehler auftreten wird in diesem Fall zumindest die Zusammenfassung per E-Mail versendet.

Mit einem Klick auf das Icon gelangen Sie wieder auf die Einstiegsseite der AD-Einstellungen.