Einstellungen zur Authentifizierung

Die Einstellungen zur Authentifizierung beeinflussen die Anmeldung zur Weboberfläche von SuperWebMailer/SuperMailingList. Diese Einstellungen können nur als Nutzer superadmin geändert werden und gelten für die komplette Installation.

Registerkarte Anmeldung/Login

Anmeldung  

über lokale Datenbank

Dies ist die Standard-Einstellung. Nach Eingabe von Benutzername/Passwort wird der Nutzer in der lokalen Datenbank gesucht und, bei Korrektheit der Daten, der Zugriff auf die Weboberfläche gewährt. Es sind keine weiteren Einstellungen notwendig.

 

über lokale Datenbank und 2-Faktor-Authentisierung

Nach Eingabe von Benutzername/Passwort wird der Nutzer in der lokalen Datenbank gesucht und, bei Korrektheit der Daten, eine zusätzliche Eingabe eines Einmal-Passworts erwartet. Es muss dazu die App Google Authenticator auf einem externen Gerät verwendet werden, um das Einmal-Passwort zu erstellen. Erst nach korrekter Eingabe des Einmal-Passworts wird der Zugriff auf die Weboberfläche gewährt.
Wichtig: Nach Aktivierung der 2-Faktor-Authentisierung sollte sofort eine Anmeldung durch jeden Admin bzw. Nutzer erfolgen, das angezeigte Secret/Seed mit der App Google Authenticator gescannt und dauerhaft gespeichert werden.
Für die 2-Faktor-Authentisierung können weitere Einstellungen notwendig sein, legen Sie diese auf der Registerkarte 2F Authentisierung fest.

 

über einen externen LDAP-Server

Wählen Sie diese Einstellung, um über einen externen LDAP-Server die Authentifizierung des Nutzers durchführen zu lassen. Nach Eingabe von Benutzername und Passwort wird der externe LDAP-Server kontaktiert, bestätigt der LDAP-Server die Korrektheit der Daten, wird der Zugriff auf die Weboberfläche gewährt, falls der SuperWebMailer/SuperMailingList-Nutzer existiert bzw. optional wird ein neuer Nutzer erstellt und danach der Zugriff gewährt.
Für die Authentifizierung über einen externen LDAP-Server sind weitere Einstellungen notwendig, legen Sie diese auf den eingeblendeten Registerkarten fest.

 

 

 

Registerkarte LDAP

Zugangsdaten  
LDAP-Servername Geben Sie den Namen oder IP-Adresse des LDAP-Servers ohne ldap:// ldaps:// ein.

Hinweis: Auf den Server muss vom Server/Webspace aus über den entsprechenden Port zugegriffen werden können.

 
Verbindungssicherheit Wählen Sie eine Variante. Für TLS/SSL gesicherte Verbindungen muss der LDAP-Server über ein gültiges SSL-Zertifikat verfügen, ansonsten wird keine Verbindung hergestellt

 
Port des LDAP-Servers Geben Sie den Port des LDAP-Server an, dieser ist normalerweise Port 389 bzw. bei ssl-gesicherten Verbindungen Port 636.

Hinweis: Auf den Server muss vom Server/Webspace aus über den entsprechenden Port zugegriffen werden können.

 
LDAP Protokoll-Version Geben die Protokoll-Version an. Der Standard ist 3 und sollte im Normalfall nicht geändert werden.

 
LDAP-Basis DN Distinguished Name des Verzeichnisses, in dem sich die Benutzer-Daten befinden, z.B. dc=firma,dc=com.

 
LDAP-Benutzername DN Lassen Sie das Feld für eine anonyme Verbindung frei. Wenn ausgefüllt, wird der angegebene Benutzer verwendet, um sich für die Suche nach dem passenden Benutzer wie uid=Benutzername,ou=Organisationseinheit,o=Firma,c=DE anzumelden.

Erforderlich bei Active Directory-Servern.

 
LDAP-Passwort Lassen Sie das Feld für eine anonyme Verbindung frei. Wenn ausgefüllt, wird der angegebene Benutzer und Passwort verwendet, um sich für die Suche nach dem passenden Benutzer wie uid=Benutzername,ou=Organisationseinheit,o=Firma,c=DE anzumelden.

Erforderlich bei Active Directory-Servern.

WARNUNG Das Passwort wird im Klartext in der Datenbank gespeichert und ist damit von jedem einsehbar, der Zugriff auf die Datenbank hat.

 
Suche im Verzeichnis  
Suche nach Attribut mit dem Nutzernamen Attribut, unter dem nach einem angegebenen Benutzernamen gesucht werden soll, z.B. uid, sn.

Dies ist eine Pflichtangabe und muss einen korrekten nicht leeren Wert zurückliefern.

 
Suche nach Attribut mit der E-Mail-Adresse (optional) Attribut, unter dem die E-Mail-Adresse gesucht werden soll, falls es dieses Attribut gibt, z.B. mail. Existiert das Attribut nicht, dann wird ein neuer Nutzer ohne E-Mail-Adresse angelegt.

 
Benutzerdefinierter Filter (optional) Das Durchsuchen der Objekte kann optional durch weitere Filter eingeschränkt werden. Zum Beispiel führt objectClass=posixGruppe zur Nutzer des Filters (&(uid=$username)(objectClass=posixGruppe)).

 
Suche nach Attribut mit dem Sperrstatus des Nutzers (optional) Es kann ein Attribut angegeben werden, anhand des Wertes erkannt wird, ob der Nutzerzugang aktiv oder gesperrt ist, z.B. bei Active Directory-Servern Feld userAccountControl mit Wert 512, Nutzer ist aktiv.

 
Zuordnung neuer Nutzer zu Admin-Nutzer

Meldet sich ein Nutzer erstmalig erfolgreich an, dann wird dieser in der SuperWebMailer/SuperMailingList-Datenbank mit eingegeben Benutzernamen und Passwort erstellt und einem Admin-Nutzer zugeordnet.

 
Suche nach Attribut mit dem Nutzernamen des SuperWebMailer-Admin-Nutzernamens (optional)

 

 Es kann ein Attribut angegeben werden, in welchem nach dem Admin-Nutzernamen im Verzeichnis gesucht werden soll, z.B. manager. Der neue Nutzer wird bei Erstanmeldung dem Admin-Nutzernamen zugeordnet. Wird der gefundene Admin-Nutzername nicht in der Datenbank gefunden, wird die Anmeldung verweigert.

Hinweis: Enthält der Wert des Attributs ein DN, dann wird im Verzeichnis nach dem Attribut Nutzernamen (uid, sn...), oben definiert, gesucht.

 
Suche nach Distinguished Name (optional) Sucht im Verzeichnis nach dem angegebenen Distinguished Name, z.B. cn=Max Mustermann,ou=EDV,dc=Firma,dc=de, und verwendet als Admin-Nutzername den Wert des Attributs Nutzernamen (uid, sn...), oben definiert.

 
Neue Nutzer immer diesem Admin-Nutzer zuordnen Wählen Sie den Admin-Nutzer, dem der neue Nutzer zugeordnet werden soll.
  • Dem neuen Nutzer kann Zugriff auf alle, bestimmte oder keine Empfängerlisten auf der nächste Registerkarte Neuer Nutzer gewährt werden.
  • Wählen Sie als Admin-Nutzer <keiner> und lassen die Felder "Suche nach Attribut mit dem Nutzernamen" und "Suche nach Distinguished Name" leer, um eine automatische Neuanmeldung von Nutzern zu verbieten.

 

 

Registerkarte Neuer Nutzer

Zugriff auf Empfängerlisten

Wurde ein Admin-Nutzer auf der Registerkarte LDAP "Neue Nutzer immer diesem Admin-Nutzer zuordnen" gewählt und die Felder "Suche nach Attribut mit dem Nutzernamen des SuperWebMailer-Admin-Nutzernamens" und "Suche nach Distinguished Name" leer gelassen, dann kann für den neuen Nutzer festgelegt werden, auf welche Empfängerlisten des Admin-Nutzers der Nutzer Zugriff erhalten soll. Sind die Felder "Suche nach Attribut mit dem Nutzernamen des SuperWebMailer-Admin-Nutzernamens" und "Suche nach Distinguished Name" nicht leer, kann nur die Option gewählt werden, dass der Nutzer Zugriff auf alle Empfängerliste oder keine Empfängerlisten erhalten soll.

Rechte

Aktivieren Sie die gewünschten Funktionen, die der neue Nutzer verwenden darf. Beachten Sie dabei, dass die Funktionen "Erstellen", "Ändern" und "Löschen" nur möglich sind, wenn der Benutzer das Recht "Zugreifen/Anschauen" besitzt.

Meldet sich danach der Nutzer an, dann werden die deaktivierten Funktionen ausgeblendet, so dass diese nicht mehr aufrufbar sind.

 

Registerkarte 2F Authentisierung

Toleranzgrenze in Minuten für die Gültigkeit des Einmal-Passworts

 

 Standardwert 1 Minute.

Das erzeugte Einmal-Passwort auf dem externen Gerät/Client hängt von der Uhrzeit ab, sind Serverzeit und Zeit des externen Geräts/Clients nicht synchron wird eine Anmeldung immer scheitern. Bei einer Toleranzgrenze von 1 Minute und z.B. einer Uhrzeit von 10:00 Uhr, gilt das angezeigte Passwort ebenfalls um 09:59 Uhr und 30 Sekunden bis 10:00 Uhr und 30 Sekunden.

 
Für den Nutzer SuperAdmin ebenfalls die 2-Faktor-Authentisierung verwenden Aktivieren Sie diese Option um für den Nutzer SuperAdmin ebenfalls die 2-Faktor-Authentisierung zu verwenden.

Hinweise:

  • Nach Aktivierung dieser Option sollte sofort eine Neuanmeldung als Nutzer SuperAdmin erfolgen und das Secret/Seed in der App Google Authenticator dauerhaft gespeichert werden.
  • Das Secret/Seed sollte dauerhaft gespeichert oder ausgedruckt werden. Es kann nicht über die Weboberfläche zurückgesetzt werden. Sollten Sie es vergessen, dann können Sie sich nicht mehr über die Oberfläche als Nutzer superadmin anmelden.

 

 

 

Siehe dazu auch
Nutzer bearbeiten