В этом году исполняется ровно 20 лет с момента, когда мир впервые увидел службу каталогов Active Directory от Microsoft. Представляющая из себя имплементацию LDAP и Kerberos, именно AD стала тем звеном, которое связало все продукты Microsoft в единую экосистему. Однако спустя 20 лет ИТ-менеджеры все явнее ощущают минусы, связанные с тем, что практически все бизнес-процессы предприятия так или иначе завязаны на программные продукты одной корпорации.
Многочисленные инциденты, начиная от скандалов, связанных со слежкой за пользователями и отказами от локализации накопленных персональных данных, и заканчивая напряженностью в отношениях между США и Россией, послужили своеобразными звоночками, которые заставили ИТ-менеджеров страны задаться вопросами о том, так ли подконтрольна им ИТ-инфраструктура предприятий, как кажется, и что же будет с их инфраструктурой, если в один прекрасный день продукты Microsoft из-за санкций вдруг станут недоступны в нашей стране?
Ответ на эти вопросы не воодушевляет, ведь развернув свою инфраструктуру на программных решениях от одного поставщика, ИТ-менеджеры фактически складывают все яйца в одну корзину. И если несколько лет назад эта корзина казалось довольно крепкой, то сейчас она такого впечатления не производит. Именно поэтому в стране появился устойчивый тренд на если не полную миграцию всей инфраструктуры, то на замещение отдельных её узлов свободными решениями, использование которых исключает перечисленные выше риски.
В числе первых кандидатов на замену, разумеется, оказалась система совместной работы, ведь именно в ней хранится наиболее критичная для любой современной компании информация, а сама система крайне важна для нормального функционирования предприятия. Отличным кандидатом для замены почтового сервера может стать Zimbra Collboration Suite Open-Source с дополнениями Zextras Suite. Данное решение не только обладает широкой функциональностью, но также более выгодно с точки зрения стоимости владения, и лишено рисков, связанных с лицензированием. Кроме того, как мы уже писали, Zimbra Collaboration Suite может интегрироваться с Microsoft AD, а значит, отлично впишется в существующую инфраструктуру предприятия.
Однако после того, как один за другим большинство узлов предприятия будет заменено на свободные аналоги, на повестке обязательно появится вопрос и о замещении Active Directory. Аналогов этого решения очень много, но вслед за отказом от AD обязательно последует необходимость перенастройки других информационных систем, которые сконфигурированы на работу именно с AD. Давайте же посмотрим, какие изменения необходимо внести в настроенную для работы с Active Directory Zimbra, чтобы удалить интеграцию между этими информационными системами.
Если вы настраивали интеграцию Zimbra с AD и автонастройку аккаунтов по нашей инструкции, то порядок действий для ее отключения будет во многом повторять уже пройденный процесс. Только на этот раз следует принять решение о том, что будет использоваться вместо AD. Это может быть любой другой внешний сервер LDAP, либо встроенный в Zimbra LDAP.
Второй путь гораздо проще в осуществлении, но связан с более трудозатратной поддержкой. Так как все пользователи уже существуют в Zimbra LDAP, вам не придется вновь устанавливать и подключать внешний LDAP, а также включать автонастройку аккаунтов в Zimbra Collaboration Suite. Для этого достаточно в администраторской консоли Zimbra в левой боковой панели выбрать пункт Configure, а затем и подпункт Domains. В списке доменов теперь надо выбрать тот, который мы будем использовать и, нажав на выбранном домене правую кнопку мыши, выбрать пункт «Configure Authentification», где и нужно переключить способ авторизации на «Внутренний». При выборе этого метода аутентификации никаких дальнейших настроек производить не потребуется.
Хоть Zimbra LDAP и является, в сущности, LDAP-сервером, в целях безопасности в него был заложен ряд ограничений, из-за которых он не поддерживает некоторые методы аутентификации, и поэтому у вас может получиться использовать его для аутентификации в одних приложениях и не получиться в других приложениях и сервисах на предприятии. Кроме того, крайне плохой идеей будет включать доступ к Zimbra LDAP из внешнего интернета. Именно поэтому, если не вы будете делать Zimbra LDAP основной на предприятии и продолжать использовать Zimbra в сочетании со встроенной LDAP, вам придется добавлять и удалять пользователей вручную, а также вручную управлять их паролями. О том, как это делать, читайте в нашей статье, посвященной парольной политике безопасности в Zimbra.
Первый же путь заключается в развертывании отдельного полнофункционального LDAP-сервера на предприятии и настройке аутентификации в Zimbra на основании данных из него. Вариантов подобных LDAP-серверов масса, именно поэтому мы рассмотрим процесс такой настройки на основе Zentyal LDAP, как бесплатного и свободного решения.
Пусть сервер с Zentyal находится в локальной сети предприятия по адресу 192.168.1.100, в то время как сервер Zimbra имеет FQDN mail.company.ru. Как и в предыдущем случае, для настройки авторизации через внешний LDAP зайдем в консоль администрирования Zimbra. Здесь в левой боковой панели выберем пункт Configure, а затем и подпункт Domains. В списке доменов теперь надо выбрать тот, который мы будем использовать и, нажав на выбранном домене правую кнопку мыши, выбрать пункт «Configure Authentification», где и нужно переключить способ авторизации на «Внешний LDAP». Здесь нам потребуется указать следующие данные:
После этого нужно протестировать работоспособность авторизации через Zentyal LDAP. Для этого нужно создать в Zimbra пользователя, который имеется в Zentyal LDAP и попробовать войти в веб-интерфейс. Если пароль будет правильным, вход увенчается успехом, если же введенный пароль не совпадёт с тем, что хранится в LDAP, то произойдет ошибка входа.
Для того, чтобы пользователи автоматически создавались в Zimbra, необходимо выполнить несколько команд:
После этого при первой успешной попытке входа в почтовый ящик Zimbra по имени и паролю пользователя, внесенного в LDAP, аккаунт будет создаваться автоматически, что избавит администратора от необходимости создавать пользователей в Zimbra вручную.
Таким образом, Zimbra Open-source Edition способна отлично работать не только с AD, но и с любым другим LDAP-сервером, что с одной стороны обеспечивает возможность использовать ее в любой ИТ-инфраструктуре, а с другой стороны позволяет быстро мигрировать с проприетарного ПО на свободное и обратно, без какого-либо ущерба для функциональности. Кроме того, полнофункциональный веб-клиент Zimbra позволяет пользователям получать доступ к ней с любой платформы.
По всем вопросам, связанными c Zextras Suite вы можете обратиться к Представителю компании «Zextras» Екатерине Триандафилиди по электронной почте ekaterina.triandafilidi@zextras.com
Многочисленные инциденты, начиная от скандалов, связанных со слежкой за пользователями и отказами от локализации накопленных персональных данных, и заканчивая напряженностью в отношениях между США и Россией, послужили своеобразными звоночками, которые заставили ИТ-менеджеров страны задаться вопросами о том, так ли подконтрольна им ИТ-инфраструктура предприятий, как кажется, и что же будет с их инфраструктурой, если в один прекрасный день продукты Microsoft из-за санкций вдруг станут недоступны в нашей стране?
Ответ на эти вопросы не воодушевляет, ведь развернув свою инфраструктуру на программных решениях от одного поставщика, ИТ-менеджеры фактически складывают все яйца в одну корзину. И если несколько лет назад эта корзина казалось довольно крепкой, то сейчас она такого впечатления не производит. Именно поэтому в стране появился устойчивый тренд на если не полную миграцию всей инфраструктуры, то на замещение отдельных её узлов свободными решениями, использование которых исключает перечисленные выше риски.
В числе первых кандидатов на замену, разумеется, оказалась система совместной работы, ведь именно в ней хранится наиболее критичная для любой современной компании информация, а сама система крайне важна для нормального функционирования предприятия. Отличным кандидатом для замены почтового сервера может стать Zimbra Collboration Suite Open-Source с дополнениями Zextras Suite. Данное решение не только обладает широкой функциональностью, но также более выгодно с точки зрения стоимости владения, и лишено рисков, связанных с лицензированием. Кроме того, как мы уже писали, Zimbra Collaboration Suite может интегрироваться с Microsoft AD, а значит, отлично впишется в существующую инфраструктуру предприятия.
Однако после того, как один за другим большинство узлов предприятия будет заменено на свободные аналоги, на повестке обязательно появится вопрос и о замещении Active Directory. Аналогов этого решения очень много, но вслед за отказом от AD обязательно последует необходимость перенастройки других информационных систем, которые сконфигурированы на работу именно с AD. Давайте же посмотрим, какие изменения необходимо внести в настроенную для работы с Active Directory Zimbra, чтобы удалить интеграцию между этими информационными системами.
Если вы настраивали интеграцию Zimbra с AD и автонастройку аккаунтов по нашей инструкции, то порядок действий для ее отключения будет во многом повторять уже пройденный процесс. Только на этот раз следует принять решение о том, что будет использоваться вместо AD. Это может быть любой другой внешний сервер LDAP, либо встроенный в Zimbra LDAP.
Второй путь гораздо проще в осуществлении, но связан с более трудозатратной поддержкой. Так как все пользователи уже существуют в Zimbra LDAP, вам не придется вновь устанавливать и подключать внешний LDAP, а также включать автонастройку аккаунтов в Zimbra Collaboration Suite. Для этого достаточно в администраторской консоли Zimbra в левой боковой панели выбрать пункт Configure, а затем и подпункт Domains. В списке доменов теперь надо выбрать тот, который мы будем использовать и, нажав на выбранном домене правую кнопку мыши, выбрать пункт «Configure Authentification», где и нужно переключить способ авторизации на «Внутренний». При выборе этого метода аутентификации никаких дальнейших настроек производить не потребуется.
Хоть Zimbra LDAP и является, в сущности, LDAP-сервером, в целях безопасности в него был заложен ряд ограничений, из-за которых он не поддерживает некоторые методы аутентификации, и поэтому у вас может получиться использовать его для аутентификации в одних приложениях и не получиться в других приложениях и сервисах на предприятии. Кроме того, крайне плохой идеей будет включать доступ к Zimbra LDAP из внешнего интернета. Именно поэтому, если не вы будете делать Zimbra LDAP основной на предприятии и продолжать использовать Zimbra в сочетании со встроенной LDAP, вам придется добавлять и удалять пользователей вручную, а также вручную управлять их паролями. О том, как это делать, читайте в нашей статье, посвященной парольной политике безопасности в Zimbra.
Первый же путь заключается в развертывании отдельного полнофункционального LDAP-сервера на предприятии и настройке аутентификации в Zimbra на основании данных из него. Вариантов подобных LDAP-серверов масса, именно поэтому мы рассмотрим процесс такой настройки на основе Zentyal LDAP, как бесплатного и свободного решения.
Пусть сервер с Zentyal находится в локальной сети предприятия по адресу 192.168.1.100, в то время как сервер Zimbra имеет FQDN mail.company.ru. Как и в предыдущем случае, для настройки авторизации через внешний LDAP зайдем в консоль администрирования Zimbra. Здесь в левой боковой панели выберем пункт Configure, а затем и подпункт Domains. В списке доменов теперь надо выбрать тот, который мы будем использовать и, нажав на выбранном домене правую кнопку мыши, выбрать пункт «Configure Authentification», где и нужно переключить способ авторизации на «Внешний LDAP». Здесь нам потребуется указать следующие данные:
- LDAP://192.168.1.100:390
- LDAP filter: (&(|(objectclass=inetOrgPerson))|(memberof=cn=mail,ou=groups,dc=company,dc=ru))(uid=%u)) "
- LDAP based search: ou=Users,dc=company,dc=ru
- Bind DN: admin cn=,dc=company,dc=ru
- Bind password: ********
После этого нужно протестировать работоспособность авторизации через Zentyal LDAP. Для этого нужно создать в Zimbra пользователя, который имеется в Zentyal LDAP и попробовать войти в веб-интерфейс. Если пароль будет правильным, вход увенчается успехом, если же введенный пароль не совпадёт с тем, что хранится в LDAP, то произойдет ошибка входа.
Для того, чтобы пользователи автоматически создавались в Zimbra, необходимо выполнить несколько команд:
zmprov md company.ru zimbraAutoProvMode LAZY
zmprov md company.ru zimbraAutoProvLdapURL ldap://192.168.1.100:390
zmprov md company.ru zimbraAutoProvLdapAdminBindDn " admin cn=,dc=company,dc=ru"
zmprov md company.ru zimbraAutoProvLdapAdminBindPassword "********"
zmprov md company.ru zimbraAutoProvLdapSearchFilter " (&(|(objectclass=inetOrgPerson)((memberof=cn=mail,ou=Groups,dc=company,dc=ru))(uid=%u)) "
zmprov md company.ru zimbraAutoProvLdapSearchBase "ou=Users,dc=company,dc=ru"
zmprov md company.ru +zimbraAutoProvAttrMap description=description +zimbraAutoProvAttrMap cn=displayName +zimbraAutoProvAttrMap givenName=givenName +zimbraAutoProvAttrMap sn=sn
zmcontrol restartПосле этого при первой успешной попытке входа в почтовый ящик Zimbra по имени и паролю пользователя, внесенного в LDAP, аккаунт будет создаваться автоматически, что избавит администратора от необходимости создавать пользователей в Zimbra вручную.
Таким образом, Zimbra Open-source Edition способна отлично работать не только с AD, но и с любым другим LDAP-сервером, что с одной стороны обеспечивает возможность использовать ее в любой ИТ-инфраструктуре, а с другой стороны позволяет быстро мигрировать с проприетарного ПО на свободное и обратно, без какого-либо ущерба для функциональности. Кроме того, полнофункциональный веб-клиент Zimbra позволяет пользователям получать доступ к ней с любой платформы.
По всем вопросам, связанными c Zextras Suite вы можете обратиться к Представителю компании «Zextras» Екатерине Триандафилиди по электронной почте ekaterina.triandafilidi@zextras.com
