Wiele przedsiębiorstw, szczególnie w krajach WNP, posiada już rozwiniętą infrastrukturę informatyczną, która często wykorzystuje narzędzie takie jak Active Directory firmy Microsoft do zarządzania i uwierzytelniania użytkowników. I często takie przedsiębiorstwa, gdy zaczynają planować wdrożenie Zimbra Collaboration Suite, mają pytanie, czy ZCS może zmieścić się w ich infrastrukturze i używać Microsoft AD do uwierzytelniania użytkowników? Cóż, Zimbra jest w stanie współpracować z Active Directory, a teraz powiemy Ci, jak to osiągnąć.
Załóżmy więc, że w infrastrukturze Twojego przedsiębiorstwa Active Directory znajduje się w domenie domena.lokalna, a Zimbra ma być zainstalowana na domenie poczta.domena.comPodczas procesu integracji Zimbry i Active Directory połączymy AD jako zewnętrzny serwer LDAP dla ZCS, dlatego zalecamy natychmiastowe uniemożliwienie użytkownikom samodzielnej zmiany haseł. Należy również pamiętać, że aby zweryfikować pomyślną integrację Zimbry i Active Directory, serwer W przypadku AD zaleca się posiadanie przynajmniej jednego konta ze znaną parą login/hasło, aby sprawdzić, czy oba systemy informatyczne poprawnie się łączą.
Podłączenie AD do ZCS odbywa się w konsoli administracyjnej Zimbra pod adresem poczta.domena.com. Tutaj musimy wybrać element Konfiguruj na lewym pasku bocznym, a następnie element podrzędny Domeny. Na liście domen musimy teraz wybrać tę, której będziemy używać w połączeniu z AD i klikając prawym przyciskiem myszy na wybraną domenę, wybrać pozycję „Konfiguruj uwierzytelnianie”. Następnie na ekranie pojawi się okno dialogowe umożliwiające ustawienie zewnętrznego LDAP, w którym „zaprzyjaźnimy się” z Zimbrą z AD.
Na stronie Tryb uwierzytelniania wybierz opcję „Zewnętrzny katalog Active Directory”, a następnie na stronie Ustawienia uwierzytelniania wprowadź dane dotyczące serwer Z AD. Zostaniesz poproszony o podanie nazwy domeny, adresu IP serwera i portu używanego do dostępu do AD. Sugerujemy pozostawienie następnej strony zatytułowanej „Powiązanie LDAP” pustej.
W oknie Podsumowanie konfiguracji uwierzytelniania możesz sprawdzić powodzenie połączenia Zimbry z usługą AD, wprowadzając poprawną parę login/hasło dla dowolnego użytkownika. Jeśli połączenie się powiedzie, Zimbra niezależnie obliczy nazwę wyróżniającą Bind dla tego użytkownika. Następnie możesz pozostawić strony Ustawienia grupy zewnętrznej i Kompletna konfiguracja domeny bez zmian. To kończy integrację Zimbry z AD i jedyne, co musimy zrobić, to utworzyć istniejących użytkowników z AD w Zimbrze, aby pomyślnie zsynchronizować się między systemami informatycznymi.
Jeśli masz małą liczbę kont, możesz to zrobić ręcznie, natomiast jeśli kont jest naprawdę dużo, najlepiej zautomatyzować ten proces za pomocą funkcji Auto-provisioningu. Aby to zrobić, musimy udać się na serwer Zimbra i wykonać tam szereg manipulacji z wiersza poleceń:
su zimbra
zmprov md domain.com zimbraAutoProvMode LAZY
zmprov md domain.com zimbraAutoProvLdapURL "ldap://domain.local:389"
zmprov md domain.com zimbraAutoProvLdapStartTlsEnabled FALSE
zmprov md domain.com zimbraAutoProvLdapAdminBindDn "zimbra@domain.local"
zmprov md domain.com zimbraAutoProvLdapAdminBindPassword PassworD
zmprov md domain.com zimbraAutoProvLdapSearchBase "ou=User,dc=domain,dc=local)"
zmprov md domain.com zimbraAutoProvLdapSearchFilter "(samAccountName=%u)"
zmprov md domain.com zimbraAutoProvLdapBindDn "%u@%d"
zmprov md domain.com zimbraAutoProvAccountNameMap sAMAccountName
zmprov md domain.com +zimbraAutoProvAttrMap "sn=sn" +zimbraAutoProvAttrMap "description=description" +zimbraAutoProvAttrMap "cn=displayName" +zimbraAutoProvAttrMap "givenName=givenName" +zimbraAutoProvAttrMap "zimbraMailAlias=mail"
zmprov md domain.com zimbraAutoProvNotificationFromAddress admin@domain.com
zmprov md domain.com zimbraAutoProvNotificationSubject "Мы рады приветствовать вас на борту нашего почтового сервера"
zmprov md domain.com zimbraAutoProvNotificationBody "Ваш аккаунт был создан автоматически. Ознакомьтесь с инструкцией по работе с электронной почтой, перейдя по данной ссылке"
zmprov md domain.com zimbraAutoProvBatchSize 20
zmprov md domain.com zimbraAutoProvAuthMech LDAP
zmcontrol restartPrzy tej konfiguracji konto użytkownika zostanie automatycznie utworzone na serwerze Zimbra przy pierwszej próbie zalogowania się do klienta internetowego przy użyciu istniejącej pary login/hasło. Należy pamiętać, że w niektórych przypadkach, aby automatyczne dostrajanie działało poprawnie, może być konieczna zmiana numeru portu z 389 na 3268.
Po wykonaniu wszystkich tych kroków Twoi użytkownicy będą mogli zalogować się do swojej poczty na serwerze Zimbra przy użyciu pary login/hasło z AD, co znacznie uprości zarządzanie infrastrukturą IT przedsiębiorstwa
Źródło: www.habr.com
