Как интегрировать Zimbra Collaboration Suite c Active Directory

    Многие предприятия, особенно на территории СНГ, уже имеют сложившуюся ИТ-инфраструктуру, в которой для управления и аутентификацией пользователями зачастую используется такой инструмент как Active Directory от Microsoft. И зачастую у таких предприятий, когда они начинают планировать внедрение Zimbra Collaboration Suite, возникает вопрос о том, сможет ли ZCS нормально вписаться в их инфраструктуру и использовать Microsoft AD для аутентификации пользователей? Что ж, Zimbra вполне способна работать в связке с Active Directory и сейчас мы расскажем о том, как этого добиться.

    image

    Итак, предположим, что в инфраструктуре вашего предприятия Active Directory находится на домене domain.local, а Zimbra предполагается установить на домен mail.domain.com. В процессе интеграции Zimbra и Active Directory мы подключим AD в качестве внешнего LDAP для ZCS и поэтому рекомендуем сразу запретить пользователям самостоятельную смену пароля. Также отметим, что для проверки успешности интеграции Zimbra и Active Directory, на сервере с AD рекомендуется иметь хотя бы один аккаунт с известной вам парой логин/пароль для проверки успешности подключения двух информационных систем.

    Подключение AD к ZCS производится в администраторской консоли Zimbra по адресу mail.domain.com:7071/zimbraAdmin/. Здесь нам предстоит в левой боковой панели выбрать пункт Configure, а затем и подпункт Domains. В списке доменов теперь надо выбрать тот, который мы будем использовать в связке с AD и, нажав на выбранном домене правую кнопку мыши, выбрать пункт «Configure Authentification». После этого на экране появится диалог настройки внешнего LDAP, в котором мы и «подружим» Zimbra с AD.

    На странице Authentification Mode следует выбрать пункт «External Active Directory», после чего на странице Authentification Settings ввести данные о сервере с AD. От вас потребуется ввести имя домена, ip-адрес сервера и порт, по которому осуществляется доступ к AD, а следующую страницу под названием LDAP Bind предлагаем оставить незаполненной.

    image

    В окне Authentification Config Summary можно проверить успешность подключения Zimbra к AD путем ввода корректной пары логин/пароль любого пользователя. В случае, если соединение будет успешным, Zimbra самостоятельно вычислит Bind DN для данного пользователя. После этого можно оставить страницы External Group Settings и Domain Configuration Complete без изменений. На этом интеграция Zimbra с AD закончена и нам остается лишь создать в Zimbra существующих пользователей из AD для успешного выполнения синхронизации между информационными системами.

    При небольшом количестве аккаунтов сделать это можно вручную, но в том случае, если аккаунтов действительно много, лучше всего будет автоматизировать данный процесс при помощи функции Auto-provisioning. Для этого нам потребуется зайти на сервер Zimbra и совершить там ряд манипуляций в командной строке:

    su zimbra
    zmprov md domain.com zimbraAutoProvMode LAZY
    zmprov md domain.com zimbraAutoProvLdapURL "ldap://domain.local:389"
    zmprov md domain.com zimbraAutoProvLdapStartTlsEnabled FALSE
    zmprov md domain.com zimbraAutoProvLdapAdminBindDn "zimbra@domain.local"
    zmprov md domain.com zimbraAutoProvLdapAdminBindPassword PassworD
    zmprov md domain.com zimbraAutoProvLdapSearchBase "ou=User,dc=domain,dc=local)"
    zmprov md domain.com zimbraAutoProvLdapSearchFilter "(samAccountName=%u)"
    zmprov md domain.com zimbraAutoProvLdapBindDn "%u@%d"
    zmprov md domain.com zimbraAutoProvAccountNameMap sAMAccountName
    zmprov md domain.com +zimbraAutoProvAttrMap "sn=sn" +zimbraAutoProvAttrMap "description=description" +zimbraAutoProvAttrMap "cn=displayName" +zimbraAutoProvAttrMap "givenName=givenName" +zimbraAutoProvAttrMap "zimbraMailAlias=mail"
    zmprov md domain.com zimbraAutoProvNotificationFromAddress admin@domain.com
    zmprov md domain.com zimbraAutoProvNotificationSubject "Мы рады приветствовать вас на борту нашего почтового сервера"
    zmprov md domain.com zimbraAutoProvNotificationBody "Ваш аккаунт был создан автоматически. Ознакомьтесь с инструкцией по работе с электронной почтой, перейдя по данной ссылке"
    zmprov md domain.com zimbraAutoProvBatchSize 20
    zmprov md domain.com zimbraAutoProvAuthMech LDAP
    zmcontrol restart

    При такой конфигурации аккаунт пользователя будет автоматически создаваться на сервере Zimbra при первой попытке входа в веб-клиент по имеющейся паре логин/пароль. Отметим, что в некоторых случаях для корректной работы автонастройки может понадобиться изменить номер порта с 389 на 3268.

    После выполнения всех этих действий ваши пользователи смогут входить в свою почту на сервере с Zimbra по паре логин/пароль из AD, что значительно упростит управление ИТ-инфраструктурой предприятия
    • +13
    • 1,3k
    • 9
    Zimbra
    97,00
    Zimbra и модульное расширение Zextras Suite
    Поделиться публикацией

    Комментарии 9

      0
      Отметим, что в некоторых случаях для корректной работы автонастройки может понадобиться изменить номер порта с 389 на 3268.

      В многодоменной инфре. По идее GC в однодоменной (для тех кому эта статья полезна) использовать не к чему.

      «Афтар пиши есче!» Ну в смысле мне уже поздно, но статья однозначно полезна.
        0
        Спасибо на добром слове! На очереди статья про настройку SSO в Zimbra ;)
        0
        Почему не EAGER? Он же гораздо удобнее.
          –1
          Добрый вечер. Eager mode не дает каких-либо действительно весомых преимуществ по сравнению с Lazy, но при этом сложнее гораздо настраивается и у некоторых администраторов Zimbra просто не работает, а за счет регулярного обращения к AD еще и создает дополнительную нагрузку на инфраструктуру. Поэтому мы и рекомендуем Lazy mode как наиболее простой и надежный вариант, эффективно решающий вопрос с автоматическим созданием учетных записей.
            0
            Проблемы начнутся, если вместо web-клиента использовать любой Desktop'ный клиент. LAZY метод работает только с web, то есть пользователю сначала надо через браузер заходить, и только потом настраивать клиента, а если о не в курсе, как работает почтовый сервер — у него батхёрт на ровном месте начнется.
            EAGER же решает эту проблему. В этом его действительно весомое преимущество. Да и настраивается он не многим сложнее, чем LAZY.
              0
              Проблема не в том, что он сложнее или проще настраивается, а в том, что он не у всех работает. Все-таки 100%-работающий режим, удовлетворяющий потребности 95% администраторов Zimbra намного лучше, чем режим, который удовлетворит 100% администраторов, но при этом не будет работать на 100%.
                0
                Система не может работать или не работать, в зависимости от своего желания. Это так не работает. Если система работает у одних, но не работает у других — дело не в системе, а в том, что эти другие делают что-то не так.
                  0
                  Это может быть фундаментальный недостаток системы. Например ограничение на объем базы samba4.
                  KaterinaZextras, а может стоит написать статью с использованием EAGER-метода? Заодно может достоинства и недостатки отразить?
                    0
                    Да, пожалуй, стоит написать. Но надо сразу обозначить кейсы, в которых нельзя будет обойтись без EAGER mode, чтобы избавить людей от лишних проблем.

        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

        Самое читаемое