42.64
Rating
Zextras
Цифровое рабочее место Zextras на базе Zimbra OSE
23 January 2019

Как интегрировать Zimbra Collaboration Suite c Active Directory

Zextras corporate blog
Многие предприятия, особенно на территории СНГ, уже имеют сложившуюся ИТ-инфраструктуру, в которой для управления и аутентификацией пользователями зачастую используется такой инструмент как Active Directory от Microsoft. И зачастую у таких предприятий, когда они начинают планировать внедрение Zimbra Collaboration Suite, возникает вопрос о том, сможет ли ZCS нормально вписаться в их инфраструктуру и использовать Microsoft AD для аутентификации пользователей? Что ж, Zimbra вполне способна работать в связке с Active Directory и сейчас мы расскажем о том, как этого добиться.

image

Итак, предположим, что в инфраструктуре вашего предприятия Active Directory находится на домене ad.domain.ru с ip-адресом 192.168.1.102, а Zimbra предполагается установить на домен mail.domain.ru. В процессе интеграции Zimbra и Active Directory мы подключим AD в качестве внешнего LDAP для ZCS и поэтому рекомендуем сразу запретить пользователям самостоятельную смену пароля. Также отметим, что для проверки успешности интеграции Zimbra и Active Directory, на сервере с AD рекомендуется иметь хотя бы один аккаунт с известной вам парой логин/пароль для проверки успешности подключения двух информационных систем.

Подключение AD к ZCS производится в администраторской консоли Zimbra по адресу mail.domain.ru:7071/zimbraAdmin/. Здесь нам предстоит в левой боковой панели выбрать пункт Configure, а затем и подпункт Domains. В списке доменов теперь надо выбрать тот, который мы будем использовать в связке с AD и, нажав на выбранном домене правую кнопку мыши, выбрать пункт «Configure Authentification». После этого на экране появится диалог настройки внешнего LDAP, в котором мы и «подружим» Zimbra с AD.

На странице Authentification Mode следует выбрать пункт «External Active Directory», после чего на странице Authentification Settings ввести данные о сервере с AD. От вас потребуется ввести имя домена, ip-адрес сервера и порт, по которому осуществляется доступ к AD, а следующую страницу под названием LDAP Bind предлагаем оставить незаполненной.

image

В окне Authentification Config Summary можно проверить успешность подключения Zimbra к AD путем ввода корректной пары логин/пароль любого пользователя. В случае, если соединение будет успешным, Zimbra самостоятельно вычислит Bind DN для данного пользователя. После этого можно оставить страницы External Group Settings и Domain Configuration Complete без изменений. На этом интеграция Zimbra с AD закончена и нам остается лишь создать в Zimbra существующих пользователей из AD для успешного выполнения синхронизации между информационными системами.

При небольшом количестве аккаунтов сделать это можно вручную, но в том случае, если аккаунтов действительно много, лучше всего будет автоматизировать данный процесс при помощи функции Auto-provisioning. Для этого нам потребуется зайти на сервер Zimbra и создать файл /srv/autoprovision.zmp со следующим содержимым:

md domain.ru zimbraAutoProvAccountNameMap "sAMAccountName"
md domain.ru zimbraAutoProvAttrMap "sn=sn"
md domain.ru +zimbraAutoProvAttrMap "description=description"
md domain.ru +zimbraAutoProvAttrMap "cn=displayName"
md domain.ru +zimbraAutoProvAttrMap "givenName=givenName"
md domain.ru zimbraAutoProvBatchSize "20"
md domain.ru zimbraAutoProvLdapAdminBindDn "cn=Administrator,cn=users,dc=domain,dc=ru"
md domain.ru zimbraAutoProvLdapAdminBindPassword "P@$$w0rD"
md domain.ru zimbraAutoProvLdapBindDn "cn=Administrator,cn=users,dc=domain,dc=ru"
md domain.ru zimbraAutoProvLdapSearchBase "dc=domain,dc=ru"
md domain.ru zimbraAutoProvLdapSearchFilter "(&(ObjectCategory=person))"
md domain.ru zimbraAutoProvLdapURL "ldap://192.168.1.102:389"
md domain.ru zimbraAutoProvMode "EAGER"
md domain.ru zimbraAutoProvNotificationBody "Ваша учетная запись была создана автоматически. Адрес вашей электронной почты ${ACCOUNT_ADDRESS}."
md domain.ru zimbraAutoProvNotificationFromAddress "admin@domain.ru"
md domain.ru zimbraAutoProvNotificationSubject "Account ${ACCOUNT_ADDRESS} auto provisioned"
ms mail.domain.ru zimbraAutoProvPollingInterval "1m"
ms mail.domain.ru zimbraAutoProvScheduledDomains "domain.ru"


После этого необходимо выполнить созданный нами файл с помощью команд

su — zimbra
zmprov < /srv/autoprovision.zmp

При такой конфигурации Zimbra OSE будет автоматически каждую минуту подхватывать учетные записи на сервере AD и создавать одноименные учетные записи на сервере Zimbra. Отметим, что в некоторых случаях для корректной работы автонастройки может понадобиться изменить номер порта с 389 на 3268.

Отметим также, что поскольку все действия выполняются на стороне Zimbra OSE, корректной работе инструкции могут помешать различные настройки и изменения, внесенные в Active Directory. Кроме того, может возникнуть путаница с правами доступа к папкам на самом сервере Zimbra. В таком случае рекомендуем ознакомиться со скриптом, составленным пользователем kiby75.

После выполнения всех этих действий ваши пользователи смогут входить в свою почту на сервере с Zimbra по паре логин/пароль из AD, что значительно упростит управление ИТ-инфраструктурой предприятия.

По всем вопросам, связанными c Zextras Suite вы можете обратиться к Представителю компании «Zextras» Катерине Триандафилиди по электронной почте katerina@zextras.com
Tags:zimbraactive directoryаутентификацияэлектронная почта
Hubs: Zextras corporate blog
+13
5.7k 16
Comments 9
Information
Founded

2 July 2011

Location

Италия

Employees

201–500 employees

Registered

22 May 2017