Одним из самых простых и удобных способов управления парольной политикой безопасности на предприятии - централизованная аутентификация. Благодаря тому, что проверка подлинности проходит на едином сервере, все операции по смене паролей также происходят в одной информационной системе, а настройка парольной политики безопасности производится единожды. В данной статье мы расскажем о том, как интегрировать Carbonio с внешней Active Directory или внешним LDAP, которые используются на предприятии для аутентификации пользователей.
Данная инструкция подойдет как для пользователей бесплатной версии Carbonio Community Edition, так и коммерческой версии Carbonio.
Аутентификация в Active Directory
Настроить внешнюю аутентификацию с имеющимся сервером Active Directory можно как в консоли администратора, так и в командной строке.
Принцип ее работы заключается в том, что когда пользователь вводит имя своей учетной записи и пароль, данные сличаются не с хранящимися в Carbonio LDAP хэшами паролей, а передаются на внешний сервер AD, где и происходит проверка подлинности. В результате проверки Carbonio получает ответ от Active Directory, который либо подтверждает успешную аутентификацию, либо не подтверждает. На основании этого ответа и осуществляется вход пользователя, либо отображается соответствующая ошибка.
Для настройки в консоли администратора перейдите в раздел Домены - test.carbonio.local - Проверка подлинности
В открывшемся окне выберите метод авторизации внешний Active Directory и укажите ряд необходимых параметров:
Шаблон уникального имени - используйте макросы типа %u, например uid=%u,dc=ad,dc=carbonio,dc=local)
URL - укажите доменное имя или IP-адрес сервера AD, например ad.carbonio.local:389
Фильтр - в качестве фильтра укажите использование только тех учетных записей, которые соответствуют живым пользователям в домене, например (&(objectCategory=person)(objectClass=user))
Базовый поиск - укажите запрос, по которому будут находиться все учетные записи в домене, например (dc=ad,dc=carbonio,dc=local)
Пользователь - укажите имя пользователя, который имеет права на чтение в ветке LDAP, в которой находятся учетные записи вашего почтового домена (Может использоваться имя глобального администратора AD)
Пароль - укажите пароль пользователя, который имеет права на чтение в ветке LDAP, в которой находятся учетные записи вашего почтового домена (Может использоваться пароль глобального администратора AD)
Расположенная ниже опция “Попробуйте локальное управление паролями в случае сбоя другими методами” позволяет помимо пароля из Active Directory использовать для входа и локальный пароль Carbonio. Это может быть полезно в случае отказа или недоступности сервера AD.
Когда все настройки введены, нажмите кнопку “Войти и подтвердить”, чтобы проверить корректность введенных данных. Если соединение успешно, нажмите “Сохранить”, чтобы для сохранения введенных настроек.
В командной строке аутентификация настраивается путем редактирования нескольких атрибутов для настраиваемого домена. Рассмотрим на примере почтового домена test.carbonio.local, пользователи из которого будут аутентифицироваться в домене ad.carbonio.local
Механизм аутентификации - carbonio prov modifyDomain test.carbonio.local zimbraAuthMech ad
Шаблон уникального имени - carbonio prov modifyDomain test.carbonio.local zimbraAuthLdapBindDn uid=%u,dc=ad,dc=carbonio,dc=local
Имя пользователя для поиска и аутентификации - carbonio prov modifyDomain test.carbonio.local zimbraAuthLdapSearchBindDn uid=zextras,dc=ad,dc=carbonio,dc=local
Пароль пользователя для поиска и аутентификации - carbonio prov modifyDomain test.carbonio.local zimbraAuthLdapSearchBindPassword 654321
Поисковая база - carbonio prov modifyDomain test.carbonio.local zimbraAuthLdapSearchBase dc=ad,dc=carbonio,dc=local
Фильтр поиска - carbonio prov modifyDomain test.carbonio.local zimbraAuthLdapSearchFilter samaccountname=%u
Адрес сервера Active Directory - carbonio prov modifyDomain test.carbonio.local zimbraAuthLdapURL ldap://ad.carbonio.local
В случае, если вы хотите также использовать и локальные пароли Carbonio, используйте команду carbonio prov modifyDomain test.carbonio.local zimbraAuthFallbackToLocal TRUE для включения данной функции и carbonio prov modifyDomain test.carbonio.local zimbraAuthFallbackToLocal FALSE для отключения.
Аутентификация пользователей Carbonio во внешнем LDAP настраивается точно так же, как и для Active Directory.
Аутентификация пользователей вне шаблона
Пример настройки аутентификации, приведенный выше, распространяется на весь домен и корректно работает только в том случае, если в домене на стороне Active Directory или LDAP есть пользователи с теми же именами, что и в Carbonio.
В случае, если такого паттерна нет и учетные записи пользователей на стороне Active Directory или LDAP имеют другие имена, потребуется настройка BindDN для каждого такого пользователя отдельно.
Делается это при помощи командной строки. К примеру, команда carbonio prov modifyAccount zextras@test.carbonio.local zimbraAuthLdapBindDn uid=admin,dc=ad,dc=carbonio,dc=local поставит в соответствие учетной записи Carbonio zextras@test.carbonio.local учетную запись admin@ad.carbonio.local.
При этом, если вы ранее настроили аутентификацию по шаблону для всего домена, все учетные записи, подходящие под настроенный шаблон смогут использовать введенные настройки для аутентификации и дополнительно указывать для них Bind DN не потребуется.
По вопросам тестирования, приобретения, предоставления лицензии и консультаций обращаться на почту sales@svzcloud.ru к эксклюзивному партнеру Zextras.
Получить информацию и обменяться информацией о Carbonio CE вы можете в группах в Telegram CarbonioMail и Carbonio CE Unofficial
