Как мигрировать с AD на LDAP при использовании Zimbra

    В этом году исполняется ровно 20 лет с момента, когда мир впервые увидел службу каталогов Active Directory от Microsoft. Представляющая из себя имплементацию LDAP и Kerberos, именно AD стала тем звеном, которое связало все продукты Microsoft в единую экосистему. Однако спустя 20 лет ИТ-менеджеры все явнее ощущают минусы, связанные с тем, что практически все бизнес-процессы предприятия так или иначе завязаны на программные продукты одной корпорации.

    Многочисленные инциденты, начиная от скандалов, связанных со слежкой за пользователями и отказами от локализации накопленных персональных данных, и заканчивая напряженностью в отношениях между США и Россией, послужили своеобразными звоночками, которые заставили ИТ-менеджеров страны задаться вопросами о том, так ли подконтрольна им ИТ-инфраструктура предприятий, как кажется, и что же будет с их инфраструктурой, если в один прекрасный день продукты Microsoft из-за санкций вдруг станут недоступны в нашей стране?

    image

    Ответ на эти вопросы не воодушевляет, ведь развернув свою инфраструктуру на программных решениях от одного поставщика, ИТ-менеджеры фактически складывают все яйца в одну корзину. И если несколько лет назад эта корзина казалось довольно крепкой, то сейчас она такого впечатления не производит. Именно поэтому в стране появился устойчивый тренд на если не полную миграцию всей инфраструктуры, то на замещение отдельных её узлов свободными решениями, использование которых исключает перечисленные выше риски.

    В числе первых кандидатов на замену, разумеется, оказалась система совместной работы, ведь именно в ней хранится наиболее критичная для любой современной компании информация, а сама система крайне важна для нормального функционирования предприятия. Отличным кандидатом для замены почтового сервера может стать Zimbra Collboration Suite Open-Source с дополнениями Zextras Suite. Данное решение не только обладает широкой функциональностью, но также более выгодно с точки зрения стоимости владения, и лишено рисков, связанных с лицензированием. Кроме того, как мы уже писали, Zimbra Collaboration Suite может интегрироваться с Microsoft AD, а значит, отлично впишется в существующую инфраструктуру предприятия.

    Однако после того, как один за другим большинство узлов предприятия будет заменено на свободные аналоги, на повестке обязательно появится вопрос и о замещении Active Directory. Аналогов этого решения очень много, но вслед за отказом от AD обязательно последует необходимость перенастройки других информационных систем, которые сконфигурированы на работу именно с AD. Давайте же посмотрим, какие изменения необходимо внести в настроенную для работы с Active Directory Zimbra, чтобы удалить интеграцию между этими информационными системами.

    Если вы настраивали интеграцию Zimbra с AD и автонастройку аккаунтов по нашей инструкции, то порядок действий для ее отключения будет во многом повторять уже пройденный процесс. Только на этот раз следует принять решение о том, что будет использоваться вместо AD. Это может быть любой другой внешний сервер LDAP, либо встроенный в Zimbra LDAP.

    Второй путь гораздо проще в осуществлении, но связан с более трудозатратной поддержкой. Так как все пользователи уже существуют в Zimbra LDAP, вам не придется вновь устанавливать и подключать внешний LDAP, а также включать автонастройку аккаунтов в Zimbra Collaboration Suite. Для этого достаточно в администраторской консоли Zimbra в левой боковой панели выбрать пункт Configure, а затем и подпункт Domains. В списке доменов теперь надо выбрать тот, который мы будем использовать и, нажав на выбранном домене правую кнопку мыши, выбрать пункт «Configure Authentification», где и нужно переключить способ авторизации на «Внутренний». При выборе этого метода аутентификации никаких дальнейших настроек производить не потребуется.

    Хоть Zimbra LDAP и является, в сущности, LDAP-сервером, в целях безопасности в него был заложен ряд ограничений, из-за которых он не поддерживает некоторые методы аутентификации, и поэтому у вас может получиться использовать его для аутентификации в одних приложениях и не получиться в других приложениях и сервисах на предприятии. Кроме того, крайне плохой идеей будет включать доступ к Zimbra LDAP из внешнего интернета. Именно поэтому, если не вы будете делать Zimbra LDAP основной на предприятии и продолжать использовать Zimbra в сочетании со встроенной LDAP, вам придется добавлять и удалять пользователей вручную, а также вручную управлять их паролями. О том, как это делать, читайте в нашей статье, посвященной парольной политике безопасности в Zimbra.

    Первый же путь заключается в развертывании отдельного полнофункционального LDAP-сервера на предприятии и настройке аутентификации в Zimbra на основании данных из него. Вариантов подобных LDAP-серверов масса, именно поэтому мы рассмотрим процесс такой настройки на основе Zentyal LDAP, как бесплатного и свободного решения.

    Пусть сервер с Zentyal находится в локальной сети предприятия по адресу 192.168.1.100, в то время как сервер Zimbra имеет FQDN mail.company.ru. Как и в предыдущем случае, для настройки авторизации через внешний LDAP зайдем в консоль администрирования Zimbra. Здесь в левой боковой панели выберем пункт Configure, а затем и подпункт Domains. В списке доменов теперь надо выбрать тот, который мы будем использовать и, нажав на выбранном домене правую кнопку мыши, выбрать пункт «Configure Authentification», где и нужно переключить способ авторизации на «Внешний LDAP». Здесь нам потребуется указать следующие данные:

    • LDAP://192.168.1.100:390
    • LDAP filter: (&(|(objectclass=inetOrgPerson))|(memberof=cn=mail,ou=groups,dc=company,dc=ru))(uid=%u)) "
    • LDAP based search: ou=Users,dc=company,dc=ru
    • Bind DN: admin cn=,dc=company,dc=ru
    • Bind password: ********

    После этого нужно протестировать работоспособность авторизации через Zentyal LDAP. Для этого нужно создать в Zimbra пользователя, который имеется в Zentyal LDAP и попробовать войти в веб-интерфейс. Если пароль будет правильным, вход увенчается успехом, если же введенный пароль не совпадёт с тем, что хранится в LDAP, то произойдет ошибка входа.

    Для того, чтобы пользователи автоматически создавались в Zimbra, необходимо выполнить несколько команд:

    zmprov md company.ru zimbraAutoProvMode LAZY
    zmprov md company.ru zimbraAutoProvLdapURL ldap://192.168.1.100:390
    zmprov md company.ru  zimbraAutoProvLdapAdminBindDn " admin cn=,dc=company,dc=ru"
    zmprov md company.ru zimbraAutoProvLdapAdminBindPassword "********"
    zmprov md company.ru zimbraAutoProvLdapSearchFilter " (&(|(objectclass=inetOrgPerson)((memberof=cn=mail,ou=Groups,dc=company,dc=ru))(uid=%u)) "
    zmprov md company.ru zimbraAutoProvLdapSearchBase "ou=Users,dc=company,dc=ru"
    zmprov md company.ru +zimbraAutoProvAttrMap description=description +zimbraAutoProvAttrMap cn=displayName +zimbraAutoProvAttrMap givenName=givenName +zimbraAutoProvAttrMap sn=sn
    zmcontrol restart

    После этого при первой успешной попытке входа в почтовый ящик Zimbra по имени и паролю пользователя, внесенного в LDAP, аккаунт будет создаваться автоматически, что избавит администратора от необходимости создавать пользователей в Zimbra вручную.

    Таким образом, Zimbra Open-source Edition способна отлично работать не только с AD, но и с любым другим LDAP-сервером, что с одной стороны обеспечивает возможность использовать ее в любой ИТ-инфраструктуре, а с другой стороны позволяет быстро мигрировать с проприетарного ПО на свободное и обратно, без какого-либо ущерба для функциональности. Кроме того, полнофункциональный веб-клиент Zimbra позволяет пользователям получать доступ к ней с любой платформы.

    По всем вопросам, связанными c Zextras Suite вы можете обратиться к Представителю компании «Zextras» Катерине Триандафилиди по электронной почте katerina@zextras.com
    Zextras
    58,89
    Zimbra и модульное расширение Zextras Suite
    Поделиться публикацией

    Комментарии 10

      0
      Насколько мне помнится Zentyal не настолько бесплатный как кажется… там есть свои ограничения.
        0
        Бесплатная версия Zentyal не ограничивает пользователя при использовании LDAP. Zentyal был выбран в качестве примера исключительно из-за того, что этот дистрибутив нацелен на то, чтобы быть максимально понятным для системных администраторов, которые до этого использовали Windows Server, на котором, собственно, и работает AD, с которой и требуется перейти на LDAP
      • НЛО прилетело и опубликовало эту надпись здесь
          0
          Добрый день, LDAP — это далеко не новое решение и дополнительной функциональности у него нет. Однако, если вспомнить недавнюю историю с торговыми санкциями США в отношении Huawei, иметь запасной вариант всегда полезно.
          0
          США в итоге испугались и сняли все санкции с Huawei, более того разрешили закупать их продукцию для сетей общего пользования…
            0
            Тем не менее это все равно стало серьезным ударом по Huawei. Компания уже приступила к разработке собственной мобильной ОС, так как никто не может гарантировать, что ситуация не повторится.
            0
            Статья весьма интересная, но Zentyal например точно не подойдет для гос.организаций в качестве импортозамещения… Тогда уж какой-нибудь Astra server + Samba 4 AD.
              0
              Кстати, могу сообщить, что Zimbra Open-Source Edition и Zextras Suite в скором будущем планируется протестировать на совместимость с Astra Linux.
              0
              Ну вообще в принципе давать доступ службе каталогов в интернет не имеет особого смысла, и является не очень хорошей идеей.
              Но вообще было бы интересно чтобы появился достойный аналог AD, потому что пока это золотой стандарт
                0
                Достойный аналог AD был, и назывался он eDirectory

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

              Самое читаемое