OpenProject - Konfiguration Mailbenachrichtigung und Authentifizierung
Erfahren Sie, wie Sie ausgehende E-Mails in OpenProject über einen externen SMTP-Server konfigurieren und lernen Sie die wichtigsten Konfigurationseinstellungen für die Authentifizierung kennen. Außerdem wird detailliert die LDAP-Anbindung beschrieben.
Ausgehende E-Mails konfigurieren
In dieser Anleitung wird beschrieben, wie Sie ausgehende E-Mails über einen externen SMTP-Server konfigurieren.
Voraussetzungen
Sie müssen über SMTP-Einstellungen verfügen. Diese können entweder von einem eigenen SMTP-Server oder z.B. einem Gmail-Konto stammen.
Konfiguration über die Admin UI
OpenProject ermöglicht Ihnen die Konfiguration Ihrer SMTP-Einstellungen über die Administrationsoberfläche. Verwenden Sie das Standard-Administratorkonto, das Sie bei der Erstinstallation von OpenProject angelegt haben, und gehen Sie zu Administration > E-Mails und Benachrichtigungen > Mailbenachrichtigung.
Ihnen wird dann folgendes Formular angezeigt.
Geben Sie im ersten Feld die E-Mail-Adresse des Kontos an, dass Sie für den E-Mail-Versand Ihrer OpenProject-Plattform eingerichtet haben.
Im Abschnitt “Konfigurieren Sie Ihren E-Mail-Provider” müssen Sie die Zugangsdaten vom SMTP-Server eingeben. Die übrigen Angaben sind optional.
Nachdem Sie Ihre Eingaben gespeichert haben, können Sie durch einen Klick auf “Test-E-Mail senden” die Funktionsfähigkeit des E-Mail-Versands testen.
SMTP-Optionen
| Option | Setting / ENV name | Description |
| Email delivery method / E-Mail-Versandmethode | email_delivery_method / OPENPROJECT_EMAIL__DELIVERY__METHOD | email delivery method to be used / zu verwendende E-Mail-Zustellungsmethode / (smtp, sendmail) |
| SMTP server / SMTP-Server | smtp_address / OPENPROJECT_SMTP__ADDRESS | Your email SMTP server host name, for example: / Der Hostname Ihres E-Mail-SMTP-Servers, zum Beispiel: /smtp.example.net |
| SMTP port / SMTP-Port | smtp_port / OPENPROJECT_SMTP__PORT | SMTP server port. Common options are 25 (plain) and 587 (SSL/TLS) / MTP-Server-Anschluss. Übliche Optionen sind 25 (einfach) und 587 (SSL/TLS) |
| SMTP (HELO) domain / SMTP (HELO) Domain | smtp_domain / OPENPROJECT_SMTP__DOMAIN | Fully-qualified domain name of the SMTP client. This commonly will be the host name of the OpenProject server. / Vollständig qualifizierter Domänenname des SMTP-Clients. Dies ist in der Regel der Hostname des OpenProject-Servers. |
| SMTP authentication / SMTP-Authentifizierung | smtp_authentication / OPENPROJECT_SMTP__AUTHENTICATION | Authentication method, possible values: none, plain, login, cram_md5 / Authentifizierungsmethode, mögliche Werte: none, plain, login, cram_md5 |
| SMTP user name / SMTP-Benutzername | smtp_user_name / OPENPROJECT_SMTP__USER__NAME | User name for authentication against the SMTP server (when authentication is required) / Benutzername für die Authentifizierung gegenüber dem SMTP-Server (wenn eine Authentifizierung erforderlich ist) |
| SMTP password / SMTP-Passwort | smtp_password / OPENPROJECT_SMTP__PASSWORD | Password for authentication against the SMTP server (when authentication is required) / Passwort für die Authentifizierung gegenüber dem SMTP-Server (wenn eine Authentifizierung erforderlich ist) |
| Automatically use STARTTLS / Automatisch STARTTLS verwenden | smtp_enable_starttls_auto / OPENPROJECT_SMTP__ENABLE__STARTTLS__AUTO | You can enable or disable STARTTLS here in case it doesn’t work. Make sure you don’t login to a SMTP server over a public network when using this. Recommended to leave this on if your server supports it. Possible values: true / false / Sie können STARTTLS hier aktivieren oder deaktivieren, falls es nicht funktioniert. Stellen Sie sicher, dass Sie sich nicht über ein öffentliches Netzwerk bei einem SMTP-Server anmelden, wenn Sie dies verwenden. Es wird empfohlen, diese Option zu aktivieren, wenn Ihr Server sie unterstützt. Mögliche Werte: true / false |
| OpenSSL verify mode / OpenSSL-Überprüfungsmodus | smtp_openssl_verify_mode / OPENPROJECT_SMTP__OPENSSL__VERIFY__MODE | Define how the SMTP server certificate is validated. Make sure you don’t just disable verification here unless both, OpenProject and SMTP servers are on a private network. Possible values: none, peer, client_once or fail_if_no_peer_cert. Note: This setting can only be set through ENV/settings / Legen Sie fest, wie das Zertifikat des SMTP-Servers überprüft werden soll. Stellen Sie sicher, dass Sie die Überprüfung hier nicht einfach deaktivieren, es sei denn, sowohl OpenProject als auch der SMTP-Server befinden sich in einem privaten Netzwerk. Mögliche Werte: none, peer, client_once oder fail_if_no_peer_cert. Hinweis: Diese Einstellung kann nur über ENV/Einstellungen vorgenommen werden. |
Authentifizierung
Konfigurieren Sie die Authentifizierungseinstellungen und Authentifizierungsanbieter in OpenProject. Um diese Authentifizierungseinstellungen anzupassen, navigieren Sie zu Ihrem Benutzernamen und wählen Sie -> Administration -> Authentication.
Übersicht
| Thema | Community-Feature | Inhalt |
| Einstellungen | ja | Konfigurieren Sie allgemeine Authentifizierungseinstellungen, wie Registrierung, Passwörter und mehr. |
| OAuth-Anwendungen | ja | Wie man OAuth-Anwendungen in OpenProject konfiguriert. |
| OpenID-Provider | nein | Wie man OpenID-Anbieter in OpenProject konfiguriert. |
| Zwei-Faktor-Authentifizierung | ja | Einrichten und Verwalten der Zwei-Faktor-Authentifizierung (2FA) in OpenProject. |
| ReCAPTCHA | ja | So aktivieren Sie reCAPTCHA in OpenProject. |
| LDAP-Authentifizierung | ja | So richten Sie die LDAP-Authentifizierung in OpenProject ein. |
| Synchronisierte LDAP-Gruppen | nein | So konfigurieren Sie die LDAP-Gruppensynchronisation in OpenProject. (Zusatzmodul für Unternehmen) |
Hinweis
OpenID-Provider und LDAP-Gruppensynchronisation sind nur in der Enterpriese-Edition enthalten.
Einstellungen
Um die allgemeinen Authentifizierungseinstellungen des Systems anzupassen, navigieren Sie zu Administration -> Authentifizierung und wählen Sie -> Einstellungen.
In den Authentifizierungseinstellungen können Sie folgende Einstellungen vornehmen:
Allgemeine Authentifizierungseinstellungen
- Wählen Sie, ob für den Zugriff auf OpenProject eine Authentifizierung erforderlich ist. Achtung: Wenn Sie dieses Kontrollkästchen deaktivieren, ist Ihre OpenProject-Instanz für die Allgemeinheit sichtbar, ohne dass Sie sich anmelden müssen. Die Sichtbarkeit einzelner Projekte hängt von dieser Einstellung ab.
- Wählen Sie eine Option für die Selbstregistrierung. Die Selbstregistrierung kann entweder deaktiviert oder zugelassen werden:
- Kontoaktivierung per E-Mail bedeutet, dass der Nutzer eine E-Mail erhält und die Aktivierung bestätigen muss.
- Manuelle Kontoaktivierung bedeutet, dass ein Systemadministrator den neu registrierten Benutzer manuell aktivieren muss.
- Automatische Kontoaktivierung bedeutet, dass ein neu registrierter Benutzer automatisch aktiviert wird.
- Legen Sie fest, ob die E-Mail-Adresse als Anmeldename verwendet werden soll.
Hinweis:
Standardmäßig gilt die Selbstregistrierung nur für interne Benutzer (Anmeldung mit Benutzername und Passwort). Wenn Sie über einen Identitätsanbieter wie LDAP, SAML oder OpenID Connect verfügen, verwenden Sie die entsprechenden Einstellungen in deren Konfiguration, um zu steuern, welche Benutzer für die automatische Benutzererstellung in Frage kommen.
Kennworteinstellungen konfigurieren
Sie können verschiedene Einstellungen vornehmen, um die Kennworteinstellungen in OpenProject zu konfigurieren.
- Definieren Sie die Mindestlänge des Passworts.
- Definieren Sie die Passwortstärke und legen Sie fest, welche Zeichenklassen zwingend Bestandteil des Passwortes sein müssen.
- Definieren Sie die Mindestanzahl der erforderlichen Zeichenklassen.
- Legen Sie die Anzahl der Tage fest, nach denen ein Passwortwechsel erzwungen werden soll.
- Definieren Sie die Anzahl der zuletzt verwendeten Passwörter, die ein Benutzer nicht wieder verwenden darf.
- Aktivieren Sie die Funktion Passwort vergessen. Auf diese Weise kann ein Benutzer sein eigenes Passwort per E-Mail zurücksetzen.
Weitere Authentifizierungs-Einstellungen
Eine Reihe weiterer Authentifizierungsparameter kann definiert werden.
- Legen Sie die Anzahl der fehlgeschlagenen Anmeldeversuche fest, nach denen ein Benutzer vorübergehend gesperrt wird.
- Legen Sie die Zeitspanne fest, für die der Benutzer nach fehlgeschlagenen Anmeldeversuchen gesperrt wird.
- Aktivieren oder deaktivieren Sie die Option Autologin. Mit dieser Option kann ein Benutzer angemeldet bleiben, auch wenn er die Website verlässt. Wenn diese Option aktiviert ist, erscheint auf dem Anmeldebildschirm die Option "Angemeldet bleiben", die ausgewählt werden kann.
- Aktivieren Sie die Option "Sitzung läuft ab". Wenn Sie diese Option auswählen, wird ein zusätzliches Feld geöffnet, in dem Sie die Dauer der Inaktivität vor Ablauf der Sitzung festlegen können.
- Legen Sie fest, dass Benutzer-Login, Name und E-Mail-Adresse für alle Anfragen protokolliert werden sollen.
- Aktivieren Sie den REST-Webdienst. Mit dieser Einstellung können Benutzer auf die OpenProject-API zugreifen, indem sie ein API-Token verwenden, das auf der Seite "Mein Konto" des Benutzers erstellt wurde.
In diesem Tutorial wird die Einrichtung einer LDAP-Authentifizierung erklärt.
LDAP-Authentifizierung verwalten
Hinweis:
Um auf das Administrationspanel zugreifen und die LDAP-Authentifizierung verwalten zu können, müssen Sie ein Systemadministrator sein.
Um die Liste aller verfügbaren LDAP-Authentifizierungen (Lightweight Directory Access Protocol) anzuzeigen, navigieren Sie zu - > Administration und wählen Sie im Menü auf der linken Seite -> Authentifizierung -> LDAP-Authentifizierung. Es wird eine Liste aller verfügbaren und bereits erstellten Authentifizierungen angezeigt.
Hinzufügen einer neuen LDAP-Authentifizierung
Um eine neue LDAP-Authentifizierung zu erstellen, klicken Sie auf den grünen Button “+ Authentifizierungs-Modus”.
Anschließend können Sie die LDAP-Konfiguration angeben. Dies kann ein beliebiger Verzeichnisdienst sein, der mit dem LDAPv3 Standard kompatibel ist, wie z.B. Microsoft Active Directory oder openLDAP. Die Konfiguration hängt von der spezifischen Datenbank/Anwendung ab, über die die Authentifizierung mit OpenProject erfolgen soll.
Die folgenden Screenshots zeigen eine Beispielkonfiguration für einen neuen LDAP Authentifizierungsmodus. Im Folgenden werden alle verfügbaren Optionen beschrieben.
LDAP-Verbindungsdetails und Sicherheit
- Name: Beliebiger Bezeichner, der verwendet wird, um anzuzeigen, von welcher Authentifizierungsquelle ein Benutzer kommt (z. B. in der Ansicht Verwaltung > Benutzer)
- Host: Vollständiger Hostname des LDAP-Servers, z.B. ldap.yourdomain.com oder yourldapdomain.com
- Anschluss: LDAP-Anschluss. In der Regel ist dies 389 für LDAP und StartTLS und 636 für LDAP über SSL-Verbindungen.
- Verbindungsverschlüsselung: Wählen Sie die geeignete Verbindungsverschlüsselung.
- Empfohlene Option: STARTTLS stellt ein TLS-Verbindungsupgrade aus, um die Verbindung zu verschlüsseln, nachdem eine Verbindung zum LDAP-Server über den unverschlüsselten PORT (standardmäßig 389) hergestellt wurde.
- Für LDAPS-Verbindungen (LDAP over SSL) verwenden Sie LDAPS , dies ist ein SSL-Verschlüsselungsmuster, das SSL-Zertifikate verwendet und eine Verbindung zu einem separaten Port auf dem LDAP-Server herstellt. Einige ältere LDAP-Server unterstützen nur diese Option, aber diese Option ist bei den meisten LDAP-Servern zugunsten der STARTTLS-Methode veraltet.
- Für unverschlüsselte Verbindungen wählen Sie none . Es wird keine TLS/SSL-Verbindung aufgebaut, Ihre Verbindung ist unsicher und es findet keine Überprüfung statt.
- SSL-Verschlüsselungsoptionen: Bietet zusätzliche Optionen für LDAPS- und STARTTLS-Verbindungen. Beachten Sie, dass diese Optionen nicht für die Option Verbindungsverschlüsselung keine gelten.
- SSL-Zertifikat verifizieren: Standardmäßig wird bei STARTTLS und LDAPS die Vertrauenskette von SSL-Zertifikaten während der Verbindung überprüft. Da unserer Erfahrung nach viele LDAP-Server selbstsignierte Zertifikate verwenden, schlägt die Aktivierung dieser Option ohne Angabe des SSL-Zertifikats fehl. Wir empfehlen jedoch, dieses Kontrollkästchen für alle in der Produktion verwendeten LDAP-Verbindungen zu aktivieren.
- LDAP-Server-SSL-Zertifikat: Wenn das Zertifikat des LDAP-Servers auf dem System, auf dem der OpenProject-Server läuft, nicht vertrauenswürdig ist, haben Sie die Möglichkeit, ein oder mehrere PEM-kodierte X509-Zertifikate anzugeben. Bei diesem Zertifikat kann es sich um das eigene Zertifikat des LDAP-Servers oder um eine Zwischen- oder Stammzertifizierungsstelle handeln, der Sie für diese Verbindung vertrauen.
LDAP-System-Benutzeranmeldedaten
Als nächstes müssen Sie einen Systembenutzer eingeben, der READ-Zugriff auf die Benutzer hat, um diese zu identifizieren und zu synchronisieren. Beachten Sie, dass die meisten Operationen mit dem LDAP während der Authentifizierung nicht mit diesen Anmeldedaten durchgeführt werden, sondern mit den Anmeldedaten, die der Benutzer im Anmeldeformular angegeben hat, um eine reguläre Benutzerverbindung mit dem LDAP herzustellen.
- Konto: Der vollständige DN eines Systembenutzers, der verwendet wird, um Benutzerdetails im LDAP nachzuschlagen. Er muss Leserechte unter dem Basis-DN haben. Er wird nicht für die Benutzeranmeldung bei der Authentifizierung verwendet (z.B. “CN=openproject,DC=ldap,DC=yourdomain,DC=com”).
- Passwort: Das Bindungspasswort des obigen Systembenutzer-DN.
LDAP Details
Anschließend können Sie festlegen, welche Domänen OpenProject im LDAP durchsuchen soll und ob Benutzer automatisch in OpenProject angelegt werden sollen, wenn sie darauf zugreifen. Schauen wir uns nun die verfügbaren Optionen an:
- Basis-DN: Geben Sie den Basis-DN ein, in dem im LDAP-Baum nach Benutzern und Gruppen gesucht werden soll.
- Filter string: Geben Sie optional einen LDAP RFC4515 Filterstring ein, um die zurückgegebenen Benutzer weiter einzuschränken. Damit können Sie den Zugriff auf OpenProject mit einem sehr flexiblen Filter einschränken. Bei der Gruppensynchronisation werden nur Benutzer hinzugefügt, die diesem Filter entsprechen (z.B. “(memberof=CN=OpenProject,DC=ldap,DC=yourdomain,DC=com)”).
- Automatische Benutzererstellung: Aktivieren Sie diese Option, um Benutzer automatisch in OpenProject anzulegen, wenn sie sich zum ersten Mal in OpenProject anmelden. Dabei wird die unten stehende LDAP-Attributzuordnung verwendet, um die erforderlichen Attribute auszufüllen. Der Benutzer wird zu einem Registrierungsbildschirm weitergeleitet, um die erforderlichen Attribute auszufüllen, wenn diese im LDAP fehlen.
Attribut-Zuordnung
Das Attribut-Mapping wird verwendet, um die Attribute von OpenProject mit den Attributen des LDAP-Verzeichnisses zu identifizieren. Mindestens das Login-Attribut wird benötigt, um aus den Anmeldedaten DNs zu erzeugen.
- Benutzername: Das Login-Attribut im LDAP. wird verwendet, um den DN aus login-attribute=value zu konstruieren. In den meisten Fällen wird dies uid sein.
- Vorname: Der Name des Attributs im LDAP, das auf den Vornamen abgebildet wird. In den meisten Fällen wird dies givenName sein. Wenn leer, wird der Benutzer bei der Registrierung zur Eingabe aufgefordert, wenn die automatische Benutzererstellung aktiviert ist.
- Nachname: Der Attributname im LDAP, der auf den Nachnamen abgebildet wird. In den meisten Fällen ist dies sn. Ist er leer, wird der Benutzer bei der Registrierung zur Eingabe aufgefordert, wenn die automatische Benutzeranlage aktiviert ist.
- E-Mail: Der Attributname im LDAP, der der E-Mail-Adresse des Benutzers zugeordnet ist. Normalerweise ist dies mail. Wenn diese Option leer bleibt, wird der Benutzer bei der Registrierung zur Eingabe aufgefordert, wenn die automatische Benutzererstellung aktiviert ist.
- Admin: Geben Sie ein Attribut an, das, wenn es wahr ist, den Benutzer zu einem Admin-Konto in OpenProject macht. Lassen Sie es leer, um den Admin-Status nicht über LDAP-Attribute zu setzen.
Klicken Sie abschließend auf Erstellen, um den LDAP Authentifizierungsmodus zu speichern. Sie werden auf die Index-Seite mit dem erstellten Authentifizierungsmodus weitergeleitet. Klicken Sie auf die Schaltfläche Test, um eine Testverbindung mit den Anmeldedaten des Systembenutzers zu erstellen.