open-how2 – Entdecke. Verstehe. Nutze.
Veröffentlicht am
How2-Tipps

SOGo mit LDAP und Active Directory verbinden – zentrale Benutzerverwaltung leicht gemacht

Autor
SOGo mit LDAP und Active Directory verbinden – zentrale Benutzerverwaltung leicht gemacht

Wer SOGo in einer größeren Umgebung oder einem Unternehmensnetzwerk einsetzt, möchte meist keine separaten Benutzerkonten verwalten. Stattdessen sollen sich alle Mitarbeitenden mit ihren zentralen Zugangsdaten anmelden – z. B. aus einem LDAP-Verzeichnis oder einer Active-Directory-Domäne (AD).

In diesem Artikel erfährst du Schritt für Schritt, wie du SOGo mit LDAP oder Active Directory verbindest, um eine einheitliche Benutzerverwaltung und eine reibungslose Authentifizierung zu erreichen.

1. Warum LDAP oder Active Directory?

SOGo kann Benutzer auf verschiedene Arten verwalten – lokal, über SQL-Datenbanken oder eben zentral über LDAP oder Active Directory. Letzteres bietet gleich mehrere Vorteile:

  • Zentrale Anmeldung: Ein Benutzername und Passwort für alles.
  • Automatische Gruppensteuerung: Berechtigungen und Kalenderfreigaben basieren auf bestehenden Gruppen.
  • Einheitliches Passwort-Management: Änderungen im LDAP/AD gelten sofort auch für SOGo.
  • Weniger Administrationsaufwand: Keine doppelte Benutzerpflege.

2. Voraussetzungen

Bevor du startest, stelle sicher, dass:

  • SOGo installiert und funktionsfähig ist.
  • LDAP oder Active Directory erreichbar ist.
  • Der SOGo-Server den LDAP-Port erreichen kann (389 für unverschlüsselt oder 636 für LDAPS).
  • Du Zugangsdaten für ein LDAP-/AD-Konto hast, das Lesezugriff auf Benutzerobjekte hat.

3. LDAP-Verbindung in der SOGo-Konfiguration

Die zentrale Konfigurationsdatei findest du unter:

/etc/sogo/sogo.conf

Dort definierst du die Verbindung zu deinem LDAP-Server. Ein einfaches Beispiel für OpenLDAP sieht so aus:

{
  "SOGoUserSources": [
    {
      "type": "ldap",
      "CNFieldName": "cn",
      "IDFieldName": "uid",
      "UIDFieldName": "uid",
      "baseDN": "ou=Users,dc=example,dc=de",
      "bindDN": "cn=admin,dc=example,dc=de",
      "bindPassword": "deinPasswort",
      "canAuthenticate": YES,
      "displayName": "LDAP Directory",
      "hostname": "ldap://ldap.example.de:389",
      "isAddressBook": YES
    }
  ]
}

  • Erklärung der wichtigsten Parameter:

  • hostname – Adresse deines LDAP-Servers

  • baseDN – Der Startpunkt im LDAP-Baum
  • bindDN / bindPassword – Benutzer mit Leserechten
  • IDFieldName / UIDFieldName – Das Feld, das für die Anmeldung verwendet wird
  • canAuthenticate – aktiviert die Anmeldung über LDAP

Danach:

sudo systemctl restart sogo

Jetzt kannst du dich mit einem LDAP-Benutzer im Webmail anmelden.

4. Verbindung mit Microsoft Active Directory

Active Directory basiert ebenfalls auf LDAP, nutzt aber oft leicht andere Attribute. Hier ein Beispiel für eine typische AD-Konfiguration:

{
  "SOGoUserSources": [
    {
      "type": "ldap",
      "CNFieldName": "cn",
      "IDFieldName": "sAMAccountName",
      "UIDFieldName": "sAMAccountName",
      "baseDN": "dc=unternehmen,dc=local",
      "bindDN": "cn=sogo,ou=ServiceAccounts,dc=unternehmen,dc=local",
      "bindPassword": "sicheresPasswort",
      "canAuthenticate": YES,
      "displayName": "Active Directory",
      "hostname": "ldaps://adserver.unternehmen.local:636",
      "isAddressBook": YES,
      "filter": "(objectClass=person)"
    }
  ]
}

💡 Hinweis: Bei Active Directory ist es wichtig, den korrekten DN-Pfad zu nutzen. Diesen kannst du mit Tools wie ldapsearch oder ADSI Edit herausfinden.

5. SSL/TLS-Verschlüsselung aktivieren

Wenn dein LDAP-Server LDAPS unterstützt, solltest du die Verbindung immer verschlüsseln. Aktiviere dazu in der sogo.conf:

"hostname": "ldaps://ldap.example.de:636"

Außerdem kann es notwendig sein, das Zertifikat des LDAP-Servers dem System bekannt zu machen:

sudo cp /pfad/zum/zertifikat.crt /usr/local/share/ca-certificates/
sudo update-ca-certificates

6. Gruppen und Freigaben

SOGo kann auch Gruppen aus LDAP oder AD lesen. Dadurch lassen sich Kalender oder Adressbücher teamweit freigeben.

Beispielhafte Einstellung:

"groupObjectClasses": ["group", "groupOfNames", "posixGroup"]

SOGo erkennt dann Gruppen automatisch und erlaubt Berechtigungsfreigaben über diese Einträge – ideal für Teamarbeit.

7. Test & Fehlersuche

Wenn etwas nicht funktioniert, hilft der Log-Eintrag:

tail -f /var/log/sogo/sogo.log

Häufige Fehlerquellen:

Problem Lösung
Falscher baseDN Prüfe LDAP-Struktur mit ldapsearch
Verbindungsfehler Firewall-Port 389/636 freigeben
Bind-Fehler BindDN oder Passwort prüfen
Keine Benutzer gefunden LDAP-Filter anpassen (z. B. (objectClass=person))

Mit LDAP oder Active Directory wird SOGo zu einer professionellen, zentral administrierbaren Groupware-Lösung. Benutzer müssen nicht doppelt angelegt werden, Passwörter bleiben synchron, und IT-Administratoren behalten die volle Kontrolle über Benutzerrechte und Zugriffe.

Egal ob im kleinen Unternehmen oder in einer großen Organisation – die Integration lohnt sich: Einmal eingerichtet, läuft die zentrale Authentifizierung stabil, sicher und wartungsarm.

Ähnliche Beiträge