Многие предприятия, особенно на территории СНГ, уже имеют сложившуюся ИТ-инфраструктуру, в которой для управления и аутентификацией пользователями зачастую используется такой инструмент как Active Directory от Microsoft. И зачастую у таких предприятий, когда они начинают планировать внедрение Zimbra Collaboration Suite, возникает вопрос о том, сможет ли ZCS нормально вписаться в их инфраструктуру и использовать Microsoft AD для аутентификации пользователей? Что ж, Zimbra вполне способна работать в связке с Active Directory и сейчас мы расскажем о том, как этого добиться.
Итак, предположим, что в инфраструктуре вашего предприятия Active Directory находится на домене domain.local, а Zimbra предполагается установить на домен mail.domain.com. В процессе интеграции Zimbra и Active Directory мы подключим AD в качестве внешнего LDAP для ZCS и поэтому рекомендуем сразу запретить пользователям в AD самостоятельную смену пароля. Также отметим, что для проверки успешности интеграции Zimbra и Active Directory, на сервере с AD рекомендуется иметь хотя бы один аккаунт с известной вам парой логин/пароль для проверки успешности подключения двух информационных систем.
Подключение AD к ZCS производится в администраторской консоли Zimbra по адресу mail.domain.com:7071/zimbraAdmin/. Здесь нам предстоит в левой боковой панели выбрать пункт Configure, а затем и подпункт Domains. В списке доменов теперь надо выбрать тот, который мы будем использовать в связке с AD и, нажав на выбранном домене правую кнопку мыши, выбрать пункт «Configure Authentification». После этого на экране появится диалог настройки внешнего LDAP, в котором мы и «подружим» Zimbra с AD.
На странице Authentification Mode следует выбрать пункт «External Active Directory», после чего на странице Authentification Settings ввести данные о сервере с AD. От вас потребуется ввести имя домена, ip-адрес сервера и порт, по которому осуществляется доступ к AD, а следующую страницу под названием LDAP Bind предлагаем оставить незаполненной.
В окне Authentification Config Summary можно проверить успешность подключения Zimbra к AD путем ввода корректной пары логин/пароль любого пользователя. В случае, если соединение будет успешным, Zimbra самостоятельно вычислит Bind DN для данного пользователя. После этого можно оставить страницы External Group Settings и Domain Configuration Complete без изменений. На этом интеграция Zimbra с AD закончена и нам остается лишь создать в Zimbra существующих пользователей из AD для успешного выполнения синхронизации между информационными системами.
При небольшом количестве аккаунтов сделать это можно вручную, но в том случае, если аккаунтов действительно много, лучше всего будет автоматизировать данный процесс при помощи функции Auto-provisioning. Для этого нам потребуется зайти на сервер Zimbra и совершить там ряд манипуляций в командной строке:
su zimbra
zmprov md domain.com zimbraAutoProvMode LAZY
zmprov md domain.com zimbraAutoProvLdapURL "ldap://domain.local:389"
zmprov md domain.com zimbraAutoProvLdapStartTlsEnabled FALSE
zmprov md domain.com zimbraAutoProvLdapAdminBindDn "zimbra@domain.local"
zmprov md domain.com zimbraAutoProvLdapAdminBindPassword PassworD
zmprov md domain.com zimbraAutoProvLdapSearchBase "ou=User,dc=domain,dc=local)"
zmprov md domain.com zimbraAutoProvLdapSearchFilter "(samAccountName=%u)"
zmprov md domain.com zimbraAutoProvLdapBindDn "%u@%d"
zmprov md domain.com zimbraAutoProvAccountNameMap sAMAccountName
zmprov md domain.com +zimbraAutoProvAttrMap "sn=sn" +zimbraAutoProvAttrMap "description=description" +zimbraAutoProvAttrMap "cn=displayName" +zimbraAutoProvAttrMap "givenName=givenName" +zimbraAutoProvAttrMap "zimbraMailAlias=mail"
zmprov md domain.com zimbraAutoProvNotificationFromAddress admin@domain.com
zmprov md domain.com zimbraAutoProvNotificationSubject "Мы рады приветствовать вас на борту нашего почтового сервера"
zmprov md domain.com zimbraAutoProvNotificationBody "Ваш аккаунт был создан автоматически. Ознакомьтесь с инструкцией по работе с электронной почтой, перейдя по данной ссылке"
zmprov md domain.com zimbraAutoProvBatchSize 20
zmprov md domain.com zimbraAutoProvAuthMech LDAP
zmcontrol restartПри такой конфигурации аккаунт пользователя будет автоматически создаваться на сервере Zimbra при первой попытке входа в веб-клиент по имеющейся паре логин/пароль. Отметим, что в некоторых случаях для корректной работы автонастройки может понадобиться изменить номер порта с 389 на 3268.
После выполнения всех этих действий ваши пользователи смогут входить в свою почту на сервере с Zimbra по паре логин/пароль из AD, что значительно упростит управление ИТ-инфраструктурой предприятия
Автор: KaterinaZextras
