Dra nytta av stödet för Active Directory i GroupWise 2014

(1)

Dra nytta av stödet för Active Directory i GroupWise 2014

Flexibilitet och interoperabilitet har alltid kännetecknat vår verksamhet. Därför är det knappast en överraskning att Micro Focus

^®

GroupWise

^®

2014 nu har stöd för

Microsoft Active Directory. Användarkonton från Active

Directory, Micro Focus eDirectory™ eller ingen katalog

alls fungerar tillsammans i samma postkontor. Det gör

lösningen idealisk för organisationer som slagits ihop

och har användarinformation lagrad i både eDirectory

och Active Directory. Det gör också livet enklare för

de som värdesätter den produktivitet, säkerhet och

kostnadseffektivitet de får med GroupWise, men vill

migrera till eller konsolidera sin miljö med Active

Directory. I det här faktabladet får du kunskap om

tekniken och får veta vilka enkla åtgärder du måste

utföra innan du kan dra nytta av stödet för Active

Directory i GroupWise.

(2)

Faktablad

Dra nytta av stödet för Active Directory i GroupWise 2014

Tekniköversikt

Designen av nya GroupWise gör att det inte krävs några schemaändringar för att implementera GroupWise i Active Directory. Det är möjligt eftersom GroupWise inte längre skriver in någon GroupWise-specifik information i katalogen igen, förutom e-postadresser.

Dessutom sker all katalogsynkronisering via standardiserad LDAP (Lightweight Directory Access Protocol).

De komponenter i GroupWise-arkitekturen som ansvarar för att synkronisera användare från Active Directory är i grunden samma komponenter som krävs för att synkronisera användare från eDirectory:

Meddelandehanteringsagenten (MTA) – MTA utför den regelbundna synkroniseringen av användarna som håller GroupWise och Active Directory uppdaterade. De flesta ändringar som gjorts för att möjliggöra stödet för Active Directory gjordes i MTA. De här ändringarna gjordes för att se till att kommunikationen mellan Active Directory och GroupWise fungerar på rätt sätt.

Postkontorsagenten (POA) – LDAP-

Administrationstjänst – Administrations- tjänsten för konfigurering av katalogen har förbättrats för att göra det lättare att importera användare och återassociera eDirectory-baserade GroupWise-

användare som Active Directory-baserade användare.

MMC-pluginprogram – Du kan

underlätta hanteringen av Active Directory- användare i GroupWise genom att installera ett pluginprogram i Microsoft Management Console. Det gör att du kan skapa användare i Active Directory och enkelt placera dem i ett GroupWise- postkontor med hjälp av MMC.

En annan förutsättning för stödet för Active Directory i GroupWise inbegriper SSL-autentisering. Du måste konfigurera och aktivera ett SSL-certifikat för att skapa en säker anslutning mellan GroupWise och Active Directory.

Så här implementerar du stödet för Active Directory i GroupWise

Implementeringen av stödet för Active Di- rectory i GroupWise kan delas upp i följande områden:

Beprövade metoder för att implementera

Konfigurera anslutningen mellan GroupWise och Active Directory Importera Active Directory-användare

till GroupWise (vid företagsfusion) eller migrera GroupWise-användare från eDirectory till Active Directory (vid katalogkonsolidering)

Kontrollera att implementationen genomförts

Aktivera LDAP via SSL

Beprövade metoder för att implementera stöd för Active Directory

Oavsett om du migrerar eDirectory-användare i GroupWise-miljön till Active Directory eller om du lägger till befintliga Active Directory- användare i GroupWise, måste du först kontrollera att dina befintliga system fungerar som de ska. Kontrollera att GroupWise 2014 har implementerats korrekt, att de senaste upp- dateringarna är installerade och att systemet är stabilt och säkert. eDirectory- och Active Directory-miljöerna måste också vara stabila.

Du löser inga eventuella katalogproblem genom att byta katalog. Det komplicerar nog

Kunskap och råd om att aktivera stödet för Active Directory i

GroupWise

Ett av de viktigaste målen med utformningen av stödet för Active Directory i GroupWise var att göra

det enkelt att implementera. Därför är det smidigt och enkelt att migrera från Micro Focus eDirectory

till Active Directory.

(3)

GroupWise och Active Directory på följande sätt:

1. Medan du är inloggad på administrationskonsolen för GroupWise för din primära domän går du till System och därefter till LDAP Servers (LDAP-servrar).

2. Välj alternativet New Directory (ny katalog).

3. Ange katalogtyp som Active Directory.

4. Ange informationen om Active

Directory-servern; namn, IP-adress, port, LDAP-användare, LDAP-användarens lösenord, fullständigt namn och synkroniseringsdomän:

a. LDAP-användaren för Active Directory- servern anges antingen som FQDN (Fully Qualified Distinguished Name) eller som UPN (User Principal Name)

informationen för Active Directory-serverns SSL-certifikat. (Se avsnittet Aktivera LDAP via SSL i faktabladet.)

6. Markera Enable Synchronisation (aktivera synkronisering) och klicka på OK.

Importera Active Directory- användare till GroupWise eller migrera GroupWise-användare från eDirectory till Active Directory

De återstående stegen för att implementera stödet för Active Directory i GroupWise ser olika ut beroende på om du lägger till befintliga Active Directory-användare i en GroupWise- miljö för första gången, eller om du migrerar befintliga GroupWise-användare från eDi- rectory till Active Directory. I det första fallet, som vanligen sker till följd av en företagsfu- sion, räcker det med en enkel importåtgärd för att importera Active Directory-användarna till GroupWise. I det andra fallet, som vanligen sker till följd av en katalogkonsolidering, måste eDirectory-användarna återskapas i Active Directory och därefter återassocieras i GroupWise så att deras nya katalogmiljö anges.

Vid företagsfusion – Importera Active Directory-användare till GroupWise Så här importerar du befintliga Active Directory- användare till GroupWise:

1. På menyn System i administrations- konsolen för GroupWise väljer du User Import (importera användare).

2. Välj katalogen du gör importen från och välj det GroupWise-postkontor dit du vill importera Active Directory-användarna.

3. Ange eventuell kontextinformation för katalogen och importåtgärden.

4. Ange eventuella LDAP-filteralternativ och markera de sökalternativ du vill använda.

5. Välj Preview (förhandsgranska) om du vill kontrollera listan med användare som ska importeras. Du kan även göra ändringar i listan om det skulle behövas, till exempel ange att vissa användare inte ska importeras.

6. Klicka på Import Users (importera användare) för att importera Active Directory-användarna.

Obs! Om du vill fördela kataloganvändarna mellan flera olika postkontor måste du genomföra importen en gång för varje postkontor. Du kan använda LDAP- kontexten eller sökfilteralternativet när du tilldelar delar av Active Directory- användarna ett visst postkontor.

Bild 1. Du ansluter enkelt GroupWise till en ny katalog via administrationskonsolen för GroupWise.

Bild 2. Befintliga Active Directory-användare kan importeras till GroupWise i några få enkla steg

(4)

Faktablad

LDAP-autentisering är inte aktiverat som standard i ett GroupWise-postkontor. När du har importerat Active Directory-användare till ett nytt GroupWise-postkontor måste du därför göra följande om du vill konfigurera LDAP-autentisering:

1. Öppna administrationskonsolen för GroupWise och visa information om Active Directory-användarnas GroupWise-postkontor.

2.. Gå till fliken Security (säkerhet).

3.. Aktivera LDAP-autentisering.

Vid katalogkonsolidering – Migrera eDirectory-användare till Active Directory När kataloger konsolideras kan det innefatta att migrera befintliga eDirectory-användare till Active Directory. Vid den här typen av migre- ring måste du återskapa användarna i Active Directory och kontrollera att alla användarob- jekt för GroupWise-användarna finns i Active Directory innan du går över från eDirectory till Active Directory i GroupWise.

Hur du skapar användarobjekt i Active Directory tas inte upp i det här faktabladet.

Men för att övergången ska lyckas måste det värde som lagras i det sAMAccountName (kontots inloggningsnamn/användarobjekt) du anger i Active Directory för en användare vara exakt samma som värdet för användarens unika ID (UID) i eDirectory.

Om du ser till att de här användarkontonam- nen överensstämmer helt kan du utan pro- blem skapa nya associationer mellan Active Directory-användare och GroupWise. Om Joe Johnson t.ex. har UID:t joe_johnson i eDirectory och motsvarande sAMAccount- Name i Active Directory är joe_johnson, kan GroupWise känna igen och matcha använ- darobjekten och sedan automatiskt flytta GroupWise-associationen från eDirectory

När användarna har konfigurerats i Active Directory är det dags att konfigurera GroupWise så att det associeras med användarobjekten i Active Directory istället för användarobjekten i eDirectory-systemet. Det gör du så här:

1. Öppna menyn System i administrations- konsolen för GroupWise och välj Directory Associations (katalogassocieringar).

2. Bland alternativen i listrutan Directory (katalog) i dialogrutan Directory

Associations (katalogassocieringar), väljer du den Active Directory-server och kontext som innehåller de användare som ska återassocieras med GroupWise.

3. Ange eventuella LDAP-filteralternativ och markera de sökalternativ du vill använda.

4. Se till att markera alternativet Override existing association (åsidosätt befintlig association). Standardinställningen i GroupWise är att endast matcha icke associerade användare. Om inte Override existing association (åsidosätt befintlig association) är markerat fortsätter användare som tidigare var associerade

5. Välj Preview (förhandsgranska) om du vill kontrollera listan med användare som ska associeras och göra eventuella ändringar.

a. Obs! Vi rekommenderar att du associerar en eller två testanvändare innan du associerar alla användare i organisationen. Du kan filtrera bort alla användare förutom testanvändarna på menyn Preview (förhandsgranska). När testanvändarna har återassocierats med hjälp av de återstående stegen i det här avsnittet kontrollerar du att processen slutförts genom att följa anvisningarna i avsnittet Kontrollera att implementationen genomförts.

Om testanvändarna återassocierats korrekt går du tillbaka till stegen i det här avsnittet och återassocierar alla de återstående användarna.

6. Klicka på Associate (associera).

Kontrollera att implementationen genomförts

Oavsett om du importerar befintliga Active Directory-användare till GroupWise, migrerar eDirectory-användare till Active Directory eller både och, måste du kontrollera att åtgär- derna genomförts korrekt. Kontrollen av att Active Directory har implementerats korrekt i GroupWise 2014 kan delas upp i tre delar:

I. Kontrollera att Active Directory-användare associerats med GroupWise

II. Kontrollera att autentisering genomförts III. Kontrollera att användarmigreringen

slutförts

I – Kontrollera att Active Directory- användare associerats med GroupWise Kontrollera att synkroniseringen mellan Active Directory och GroupWise fungerar rätt genom att utföra följande synkroniseringstest:

Bild 3. När du har skapat användarobjekt i Active Directory måste du ändra katalogassociationen i GroupWise.

(5)

4. Kontrollera att ett HTTP-användarnamn och -lösenord ställts in.

5. Klicka på Launch MTA Web Console (starta MTA -webbkonsol) och ange användarnamn och lösenord när du uppmanas att göra det.

6. På fliken Configuration (konfiguration) väljer du Directory user synchronisation (synkronisering av kataloganvändare).

7. Markera Perform GroupWise Directory Synchronisation Now (synkronisera GroupWise Directory) och klicka på Submit (skicka).

8. Så här kontrollerar du att användarens telefonnummer har lagts till i

användarobjektet i GroupWise:

a. Gå till den senaste loggfilen och sök efter synkroniseringshändelser för kataloger. Det är ett antal loggposter som börjar med någonting i stil med ”Synchronising Directory XXX” (synkroniserar katalog XXX).

Posterna visar alla användare som kontrollerades eller uppdaterades under synkroniseringen.

b. Logga in på administrationskonsolen för GroupWise och kontrollera att användaruppgifter, t.ex. telefonnummer, har uppdaterats.

II – Kontrollera att autentisering genomförts

Så här kontrollerar du att de användare som har associerats kan logga in på GroupWise med LDAP-autentisering:

1. Starta GroupWise-klienten och använd en av Active Directory-användarna när du försöker logga in på GroupWise- postkontoret via LDAP-autentisering.

lera om alla användare har associerats med Active Directory-miljön och att det inte finns några eDirectory-användare kvar som är associerade GroupWise. Du gör kontrollen genom att klicka på Users (användare) i vänster kolumn och ange ett sökuttryck som söker efter eventuella användare associerade med en katalog som inte är din Active Directory-server.

Sökuttrycket kan se ut ungefär så här:

directory = null or directory !=

MittActiveDirectory

En sådan sökning returnerar en lista med an- vändare som inte har någon katalogassociering eller har en annan katalogassociering än den Active Directory som angetts i sökuttrycket.

Du kan även välja att bara söka efter använ- dare som inte har associerats eller bara använ- dare som inte är associerade med Active Di- rectory genom att bara använda halva sökut- trycket ovan, antingen parametern före eller efter ordet ”or”.

Vissa icke-associerade användare som visas i den returnerade söklistan kan vara tidigare användare som inte längre tillhör organisationen, och som därför inte har några använda- robjekt i Active Directory. I sådana fall kan du välja att avaktivera deras GroupWise-konton.

I sökresultaten kan du även hitta användare vars unika ID:n för eDirectory inte är samma som deras motsvarande sAMAccountName i Active Directory. På grund av det associerades de inte automatiskt med GroupWise. Så här associerar du de Active Directory-användarna med GroupWise manuellt:

1. I administrationskonsolen för GroupWise går du till användarinformationen för den specifika GroupWise-användaren.

När du är säker på att du har associerat alla dina GroupWise-användare med Active Directory kan du radera eDirectory-katalogobjekten i GroupWise om du vill. Om du överväger att ta eDirectory-servern ur bruk när migrationen är slutförd ska du dock tänka igenom detta noga.

Om du använder dig av andra Micro Focus- tjänster kan det hända att de är beroende av användarinformationen i eDirectory. Du kanske också har tjänster från tredje part eller som är internt utvecklade, och som använder sig av eDirectory-servern. Kontrollera att inga andra tjänster eller program som används inom organisationen är beroende av eDirectory innan du tar den ur bruk.

Aktivera LDAP via SSL

GroupWise ansluter till Active Directory via LDAP. Som standard kommunicerar LDAP på ett osäkert sätt. Det innebär att Group- Wise-användarnas uppgifter skickas okryp- terade om du inte säkrar Active Directory- kommunikationen.

Du kan göra LDAP-kommunikationen mellan GroupWise och Active Directory sä- ker med SSL (Secure Sockets Layer)/TLS (Transport Layer Security) genom att installera ett korrekt formaterat certifikat från en Microsoft-certifikatutfärdare (CA) eller tredjepartscertifikatutfärdare.

När du skapar ett betrott rotcertifikat i en Active Directory-miljö från en Microsoft- certifikatutfärdare bör du alltid följa Microsofts beprövade metoder. Du bör rådfråga din Active Directory-administratör om du ska aktivera LDAP SSL eller exportera SSL-certifikatet från din produktionsmiljö. Microsoft tillhandahåller information om hur du aktiverar LDAP via SSL.

(6)

Faktablad

Bland annat via onlineresursen på: social.

technet.microsoft.com/wiki/contents/

articles/2980.ldap-over-ssl-ldaps-certi- ficate.aspx

Även om det inte är en rekommenderad metod för produktionsmiljöer kan du bekanta dig med hur du skapar och konfigurerar ett certifikat i en testmiljö med hjälp av den här metoden.

1. Installera en certifikattjänstroll på en av dina Active Directory-domänkontrollanter med hjälp av guiden Lägg till roller och funktioner i Microsoft Management Console (MMC).

a. Obs! Microsoft rekommenderar inte installation av en Active Directory- certifikattjänsteroll på en Active Directory-domänkontrollant. I en testmiljö med en enkel Active Directory-trädstruktur och en domänkontrollant är det däremot ett praktiskt sätt att skapa och konfigurera ett certifikat.

2. Markera Serverroller och välj Active Directory-certifikattjänster under Roller.

Klicka sedan på Nästa.

3. När du uppmanas att lägga till de funktioner som krävs för Active Directory- certifikattjänsterna markerar du Ta med hanteringsverktyg och klickar på Lägg till funktioner.

4. Acceptera standardinställningarna i de följande stegen tills skärmen Välj rolltjänster visas. Installera rollen genom att markera alternativet Certifikatutfärdare och klicka på Nästa. Du kan installera andra alternativ om du vill, men de är inte nödvändiga.

5. När rollen har installerats konfigurerar du certifikattjänsterna genom att klicka på alternativet Configure Active Directory Services on th…(konfigurera Active Directory-tjänster på...).

6. På skärmen Inloggningsuppgifter för konfigurationen av Active Directory- certifikattjänster kontrollerar du att rätt uppgifter visas och klickar på Nästa.

^a. Obs! Användaren måste vara en domänadministratör.

7. På skärmen Installationstyp väljer du Certifikatutfärdare för den roll som ska konfigureras och därefter Företagscertifikatutfärdare som typ. När du väljer företagscertifi-katutfärdare som typ ställs LDAP-tjänsten in på att använda SSL utan att du behöver göra något mer.

^a. Obs! I normala fall väljer man en rotcertifikatutfärdare i nästa steg, men om du redan har konfigurerat en certifikatutfärdare behöver du inte installera en till.

8. I de återstående stegen i guiden kan du välja standardinställningarna. När konfigurationen är slutförd måste du starta om servern.

9. När servern startats om måste du exportera certifikatet så att det kan användas med GroupWise. I MMC markerar du Lägg till/Ta bort snapin- modul på menyn Arkiv och väljer Certifikat.

10. På de efterföljande skärmarna väljer du Datorkonto och därefter Lokal dator.

11. I mappen Konsolrot expanderar du mapparna till sökvägen Certifikat (Lokal dator\Privat\Certifikat) och högerklickar på det certifikat som utfärdades till den lokala servern (inte på certifikatutfärdarcertifikatet).

12. Välj Exportera under Alla uppgifter och klicka på Nästa.

13. Klicka en gång till på Nästa tills

dialogrutan Exportera privat nyckel visas.

Markera alternativet Nej, exportera inte

14. I Filformat för export, markerar du DER- kodad binärfil X.509 (.CER) och klickar på Nästa.

16. Ange en sökväg och ett filnamn med filnamnstillägget .cer och klicka på Slutför.

16. Nu när certifikatet är klart att användas i GroupWise öppnar du administrationskonsolen för GroupWise på Windows-servern, går till LDAP Servers under menyn System och väljer den Active Directory-server som ska redigeras. På fliken General (allmänt) letar du upp den exporterade certifikatfilen genom att klicka på pennikonen vid fältet SSL Certificate (SSL-certifikat). När du väljer certifikatfilen överförs den till domain.

db-filen.

17. På fliken General (allmänt) skriver du LDAP-användarens lösenord på nytt och klickar på Test Connection (testa anslutning). Om meddelandet Connection Successful (anslutning upprättad) visas har certifikatet importerats. Om anslutningen bryts väljer du länken Details (mer information). Då visas felmeddelandet från LDAP-tjänsten.

Stöd för Active Directory med mera

Kontakta en auktoriserad partner om du vill du veta mer om hur du kan dra nytta av stödet för Active Directory i GroupWise 2014. När du upp- graderar till GroupWise 2014 får du även till- gång till en mängd andra nya funktioner: en ny webbadministrationskonsol, tilldelade admi- nistratörsfunktioner, systemöversiktssida, nytt klientgränssnitt och förbättringar bland mycket annat. Har du tekniska frågor om GroupWise 2014 kontaktar du Micro Focus Technical Services, säljaren eller en auktoriserad partner.

(7)