Wdrożenie biurowych stacji roboczych Zextras/Zimbra w Yandex.Cloud

Wprowadzenie

Optymalizacja infrastruktury biurowej i wdrażanie nowych przestrzeni do pracy to główne wyzwanie dla firm każdego typu i wielkości. Najlepszą opcją przy nowym projekcie jest wynajęcie zasobów w chmurze i zakup licencji, z których można korzystać zarówno u dostawcy, jak i we własnym centrum danych. Jednym z rozwiązań takiego scenariusza jest Apartament Zextras, która pozwala na stworzenie platformy współpracy i komunikacji korporacyjnej przedsiębiorstwa zarówno w środowisku chmurowym, jak i na własnej infrastrukturze.

Rozwiązanie przeznaczone jest dla biur dowolnej wielkości i posiada dwa główne scenariusze wdrożeń: jeśli posiadasz do 3000 XNUMX tysięcy skrzynek pocztowych i nie ma wysokich wymagań dotyczących odporności na awarie, możesz skorzystać z instalacji jednoserwerowej oraz opcji instalacji wieloserwerowej wspiera niezawodne i responsywne działanie dziesiątek i setek tysięcy skrzynek pocztowych. We wszystkich przypadkach użytkownik uzyskuje dostęp do poczty, dokumentów i wiadomości za pośrednictwem jednego interfejsu internetowego z miejsca pracy z dowolnym systemem operacyjnym bez konieczności instalowania i konfigurowania dodatkowego oprogramowania lub za pośrednictwem aplikacji mobilnych na iOS i Androida. Możliwe jest wykorzystanie znanych klientów Outlook i Thunderbird.

Aby wdrożyć projekt, partner Zextras - SVZ wybrał Yandex.Cloud, ponieważ jego architektura jest podobna do AWS i obsługuje pamięć masową kompatybilną z S3, co obniży koszty przechowywania dużych ilości poczty, wiadomości i dokumentów oraz zwiększy odporność rozwiązania na awarie.

W środowisku Yandex.Cloud do instalacji pojedynczego serwera wykorzystywane są podstawowe narzędzia do zarządzania maszynami wirtualnymi „Chmura obliczeniowa” i możliwości zarządzania siecią wirtualną „Wirtualna chmura prywatna”. W przypadku instalacji wieloserwerowej, oprócz określonych narzędzi, konieczne jest zastosowanie technologii „Grupa miejsc docelowych”, jeśli to konieczne (w zależności od skali systemu) - również „Grupy instancji”i równoważenie sieci Moduł równoważenia obciążenia Yandex.

Pamięć obiektowa zgodna z S3 Obiektowa pamięć masowa Yandex można go używać w obu opcjach instalacji, a także można go podłączyć do systemów wdrożonych lokalnie w celu ekonomicznego i odpornego na awarie przechowywania danych serwera pocztowego w Yandex.Cloud.

W przypadku instalacji jednoserwerowej, w zależności od liczby użytkowników i/lub skrzynek pocztowych, wymagane jest: dla serwera głównego 4-12 vCPU, 8-64 GB vRAM (konkretne wartości vCPU i vRAM zależą od liczby skrzynek pocztowych i rzeczywistego obciążenia), co najmniej 80 GB miejsca na dysku na system operacyjny i aplikacje, a także dodatkowe miejsce na dysku do przechowywania poczty, indeksów, logów itp., w zależności od liczby i średniej wielkości skrzynek pocztowych, które może dynamicznie zmieniać się podczas pracy systemu; dla pomocniczych serwerów Docs: 2-4 vCPU, 2-16 GB vRAM, 16 GB miejsca na dysku (konkretne wartości zasobów i liczba serwerów zależą od rzeczywistego obciążenia); Dodatkowo może być wymagany serwer TURN/STUN (jego potrzeba jako osobnego serwera i zasoby zależą od rzeczywistego obciążenia). W przypadku instalacji wieloserwerowych ilość i przeznaczenie maszyn wirtualnych typu RPG oraz przydzielone im zasoby ustalane są indywidualnie w zależności od wymagań użytkownika.

Cel artykułu

Opis wdrożenia w środowisku Yandex.Cloud produktów Zextras Suite w oparciu o serwer pocztowy Zimbra w opcji instalacji jednoserwerowej. Powstałą instalację można wykorzystać w środowisku produkcyjnym (doświadczeni użytkownicy mogą dokonać niezbędnych ustawień i dodać zasoby).

System Zextras Suite/Zimbra obejmuje:

• Zimbra — poczta korporacyjna z możliwością współdzielenia skrzynek pocztowych, kalendarzy i list kontaktów (książek adresowych).
• Dokumentacja Zextras — wbudowany pakiet biurowy oparty na LibreOffice online do tworzenia dokumentów, arkuszy kalkulacyjnych i prezentacji oraz współpracy z nimi.
• Napęd Zextras – indywidualne miejsce do przechowywania plików, które umożliwia edycję, przechowywanie i udostępnianie plików i folderów innym użytkownikom.
• Zespół Zextras – komunikator obsługujący konferencje audio i wideo. Dostępne wersje to Team Basic, który umożliwia komunikację tylko 1:1 oraz Team Pro, który obsługuje konferencje, kanały, udostępnianie ekranu, udostępnianie plików i inne funkcje dla wielu użytkowników.
• Zextras Mobile – obsługa urządzeń mobilnych poprzez Exchange ActiveSync w celu synchronizacji poczty z urządzeniami mobilnymi z funkcjami zarządzania MDM (Mobile Device Management). Umożliwia używanie programu Microsoft Outlook jako klienta poczty e-mail.
• Administrator Zextras – wdrożenie wielodostępnej administracji systemem z delegowaniem administratorów do zarządzania grupami klientów i klasami usług.
• Kopia zapasowa Zextras -pełny cykl tworzenia kopii zapasowych i odzyskiwania danych w czasie rzeczywistym
• Magazyn energii Zextras — hierarchiczne przechowywanie obiektów systemu pocztowego z obsługą klas przetwarzania danych, z możliwością przechowywania danych lokalnie lub w magazynach chmurowych architektury S3, w tym Yandex Object Storage.

Po zakończeniu instalacji użytkownik otrzymuje system pracujący w środowisku Yandex.Cloud.

Warunki i ograniczenia

1. Przydzielanie miejsca na dysku dla skrzynek pocztowych, indeksów i innych typów danych nie jest objęte tą usługą, ponieważ Zextras Powerstore obsługuje wiele typów pamięci. Rodzaj i wielkość magazynu zależy od zadań i parametrów systemu. W razie potrzeby można to zrobić w dalszej części procesu przekształcenia opisywanej instalacji w produkcyjną.
2. Aby uprościć instalację, nie bierze się pod uwagę użycia zarządzanego przez administratora serwera DNS do rozpoznawania wewnętrznych (niepublicznych) nazw domen; używany jest standardowy serwer DNS Yandex.Cloud. W przypadku zastosowania w środowisku produkcyjnym zaleca się wykorzystanie serwera DNS, który może już istnieć w infrastrukturze korporacyjnej.
3. Zakłada się, że konto w Yandex.Cloud używane jest z ustawieniami domyślnymi (w szczególności po zalogowaniu się do „Konsoli” usługi znajduje się jedynie katalog (na liście „Dostępne chmury” pod nazwą domyślną). zaznajomieni z pracą w Yandex.Cloud, mogą według własnego uznania utworzyć osobny katalog dla stanowiska testowego lub skorzystać z istniejącego.
4. Użytkownik musi posiadać publiczną strefę DNS, do której musi mieć dostęp administracyjny.
5. Użytkownik musi mieć dostęp do katalogu w „Konsoli” Yandex.Cloud z co najmniej rolą „edytora” („Właściciel chmury” domyślnie posiada wszystkie niezbędne uprawnienia; istnieją instrukcje udzielania dostępu do chmury innym użytkownikom : czas, два, trzy)
6. W tym artykule nie opisano instalowania niestandardowych certyfikatów X.509 używanych do zabezpieczania komunikacji sieciowej przy użyciu mechanizmów TLS. Po zakończeniu instalacji użyte zostaną certyfikaty z podpisem własnym, umożliwiające dostęp do zainstalowanego systemu za pomocą przeglądarek. Zwykle wyświetlają powiadomienie, że serwer nie posiada weryfikowalnego certyfikatu, ale pozwalają na dalszą pracę. Do czasu instalacji certyfikatów weryfikowanych na urządzeniach klienckich (podpisanych przez publiczne i/lub korporacyjne urzędy certyfikacji) aplikacje na urządzenia mobilne mogą nie działać z zainstalowanym systemem. Dlatego konieczna jest instalacja określonych certyfikatów na środowisku produkcyjnym, która odbywa się po zakończeniu testu zgodnie z firmową polityką bezpieczeństwa.

Opis procesu instalacji systemu Zextras/Zimbra w wersji „jednoserwerowej”.

1. Wstępne przygotowanie

Przed rozpoczęciem instalacji należy upewnić się, że:

) Dokonanie zmian w publicznej strefie DNS (utworzenie rekordu A dla serwera Zimbra i rekordu MX dla obsługiwanej domeny pocztowej).
b) Konfigurowanie infrastruktury sieci wirtualnej w Yandex.Cloud.

Jednocześnie po wprowadzeniu zmian w strefie DNS propagacja tych zmian zajmuje trochę czasu, ale z drugiej strony nie można utworzyć rekordu A bez znajomości powiązanego z nim adresu IP.

Dlatego działania są wykonywane w następującej kolejności:

1. Zarezerwuj publiczny adres IP w Yandex.Cloud

1.1 W „Konsoli Yandex.Cloud” (w razie potrzeby wybierając foldery w „dostępnych chmurach”) przejdź do sekcji Wirtualna Chmura Prywatna, podsekcja Adresy IP, następnie kliknij przycisk „Zarezerwuj adres”, wybierz preferowaną strefę dostępności (lub zgódź się z proponowaną wartością; ta strefa dostępności musi być następnie wykorzystana do wszystkich działań opisanych później w Yandex.Cloud, jeśli odpowiednie formularze mają opcję wyboru strefy dostępności), w otwartym oknie dialogowym możesz, jeśli chcesz, ale niekoniecznie, wybierz opcję „Ochrona DDoS” i kliknij przycisk „Zarezerwuj” (patrz też dokumentacja).

Po zamknięciu okna dialogowego na liście adresów IP będzie dostępny statyczny adres IP przydzielony przez system, który można skopiować i wykorzystać w kolejnym kroku.

1.2 W strefie DNS „forward” utwórz rekord A dla serwera Zimbra wskazujący na wcześniej przydzielony adres IP, rekord A dla serwera TURN wskazujący na ten sam adres IP oraz rekord MX dla zaakceptowanej domeny pocztowej. W naszym przykładzie będą to odpowiednio mail.testmail.svzcloud.ru (serwer Zimbra), turn.testmail.svzcloud.ru (serwer TURN) i testmail.svzcloud.ru (domena pocztowa).

1.3 W Yandex.Cloud, w wybranej strefie dostępności dla podsieci, która będzie używana do wdrażania maszyn wirtualnych, włącz NAT w Internecie.

W tym celu w sekcji Wirtualna Chmura Prywatna w podsekcji „Sieci chmurowe” wybierz odpowiednią sieć chmurową (domyślnie dostępna jest tam tylko sieć domyślna), zaznacz w niej odpowiednią strefę dostępności i wybierz „Włącz NAT w Internecie ” w jego ustawieniach.

Status zmieni się na liście podsieci:

Więcej szczegółów znajdziesz w dokumentacji: czas и два.

2. Twórz maszyny wirtualne

2.1. Tworzenie maszyny wirtualnej dla Zimbry

Sekwencja działań:

2.1.1 W „Konsoli Yandex.Cloud” przejdź do sekcji Compute Cloud, podsekcji „Maszyny wirtualne”, kliknij przycisk „Utwórz maszynę wirtualną” (więcej informacji na temat tworzenia maszyny wirtualnej znajdziesz w artykule dokumentacja).

2.1.2 Tam musisz ustawić:

• Nazwa – dowolna (zgodna z formatem obsługiwanym przez Yandex.Cloud)
• Strefa dostępności – musi odpowiadać tej wybranej wcześniej dla sieci wirtualnej.
• W „Obrazach publicznych” wybierz Ubuntu 18.04 lts
• Zainstaluj dysk rozruchowy o pojemności co najmniej 80 GB. Do celów testowych wystarczy typ HDD (a także do zastosowań produkcyjnych, pod warunkiem, że niektóre typy danych zostaną przeniesione na dyski typu SSD). W razie potrzeby po utworzeniu maszyny wirtualnej można dodać dodatkowe dyski.

W zestawie „zasoby obliczeniowe”:

• vCPU: co najmniej 4.
• Gwarantowany udział vCPU: na czas działań opisanych w artykule co najmniej 50%; po instalacji, w razie potrzeby, można go zmniejszyć.
• RAM: zalecane 8 GB.
• Podsieć: wybierz podsieć, dla której włączono internetowy NAT na etapie wstępnego przygotowania.
• Adres publiczny: wybierz z listy adres IP użyty wcześniej do utworzenia rekordu A w DNS.
• Użytkownik: według własnego uznania, ale inny niż użytkownik root i konta systemu Linux.
• Musisz określić publiczny (otwarty) klucz SSH.

→ Dowiedz się więcej o korzystaniu z protokołu SSH

Zobacz także Aplikacja 1. Tworzenie kluczy SSH w openssh i putty oraz konwersja kluczy z putty do formatu openssh.

2.1.3 Po zakończeniu konfiguracji kliknij „Utwórz maszynę wirtualną”.

2.2. Tworzenie maszyny wirtualnej dla Zextras Docs

Sekwencja działań:

2.2.1 W „Konsoli Yandex.Cloud” przejdź do sekcji Compute Cloud, podsekcji „Maszyny wirtualne”, kliknij przycisk „Utwórz maszynę wirtualną” (więcej informacji na temat tworzenia maszyny wirtualnej znajdziesz w artykule tutaj).

2.2.2 Tam musisz ustawić:

• Nazwa – dowolna (zgodna z formatem obsługiwanym przez Yandex.Cloud)
• Strefa dostępności – musi odpowiadać tej wybranej wcześniej dla sieci wirtualnej.
• W „Obrazach publicznych” wybierz Ubuntu 18.04 lts
• Zainstaluj dysk rozruchowy o pojemności co najmniej 80 GB. Do celów testowych wystarczy typ HDD (a także do zastosowań produkcyjnych, pod warunkiem, że niektóre typy danych zostaną przeniesione na dyski typu SSD). W razie potrzeby po utworzeniu maszyny wirtualnej można dodać dodatkowe dyski.

W zestawie „zasoby obliczeniowe”:

• vCPU: co najmniej 2.
• Gwarantowany udział vCPU: na czas działań opisanych w artykule co najmniej 50%; po instalacji, w razie potrzeby, można go zmniejszyć.
• RAM: co najmniej 2 GB.
• Podsieć: wybierz podsieć, dla której włączono internetowy NAT na etapie wstępnego przygotowania.
• Adres publiczny: brak adresu (to urządzenie nie wymaga dostępu z Internetu, jedynie dostęp wychodzący z tego urządzenia do Internetu, który zapewnia opcja „NAT do Internetu” używanej podsieci).
• Użytkownik: według własnego uznania, ale inny niż użytkownik root i konta systemu Linux.
• Zdecydowanie musisz ustawić publiczny (otwarty) klucz SSH, możesz użyć tego samego, co dla serwera Zimbra, możesz wygenerować osobną parę kluczy, ponieważ klucz prywatny dla serwera Zextras Docs będzie musiał zostać umieszczony na serwerze Zimbra dysk.

Zobacz także Dodatek 1. Tworzenie kluczy SSH w openssh i putty oraz konwertowanie kluczy z putty do formatu openssh.

2.2.3 Po zakończeniu konfiguracji kliknij „Utwórz maszynę wirtualną”.

2.3 Utworzone maszyny wirtualne będą dostępne na liście maszyn wirtualnych, która wyświetla w szczególności ich status oraz wykorzystywane adresy IP, zarówno publiczne, jak i wewnętrzne. Informacje o adresach IP będą wymagane w kolejnych krokach instalacji.

3. Przygotowanie serwera Zimbra do instalacji

3.1 Instalacja aktualizacji

Musisz zalogować się do serwera Zimbra pod jego publicznym adresem IP, używając preferowanego klienta ssh, używając prywatnego klucza ssh i używając nazwy użytkownika określonej podczas tworzenia maszyny wirtualnej.

Po zalogowaniu wykonaj komendy:

sudo apt update
sudo apt upgrade

(wykonując ostatnie polecenie, odpowiedz „y” na pytanie, czy jesteś pewien instalacji proponowanej listy aktualizacji)

Po zainstalowaniu aktualizacji możesz (ale nie musisz) uruchomić polecenie:

sudo apt autoremove

Na koniec kroku uruchom polecenie

sudo shutdown –r now

3.2 Dodatkowa instalacja aplikacji

Musisz zainstalować klienta NTP, aby zsynchronizować czas systemowy i aplikację ekranową za pomocą następującego polecenia:

sudo apt install ntp screen

(Wykonując ostatnie polecenie, odpowiedz „y” na pytanie, czy na pewno zainstalujesz załączoną listę pakietów)

Dla wygody administratora możesz także zainstalować dodatkowe narzędzia. Na przykład Midnight Commander można zainstalować za pomocą polecenia:

sudo apt install mc

3.3. Zmiana konfiguracji systemu

3.3.1 W pliku /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg zmienić wartość parametru zarządzaj_etc_hostami c prawdziwy na fałszywy.

Uwaga: aby zmienić ten plik, edytor musi zostać uruchomiony z uprawnieniami użytkownika root, na przykład „sudo vi /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg” lub, jeśli zainstalowany jest pakiet mc, możesz użyć polecenia „sudo mcedit /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg»

3.3.2 Edytować / Etc / hosts w następujący sposób zastępując w linii definiującej FQDN hosta adres z 127.0.0.1 na wewnętrzny adres IP tego serwera, a nazwę z pełnej nazwy w strefie .internal na publiczną nazwę serwera podaną wcześniej w A -rekord strefy DNS i odpowiedni poprzez zmianę krótkiej nazwy hosta (jeśli różni się ona od krótkiej nazwy hosta z publicznego rekordu A DNS).

Przykładowo w naszym przypadku plik hosts wyglądał następująco:

Po edycji przyjął postać:

Uwaga: aby zmienić ten plik, edytor musi zostać uruchomiony z uprawnieniami użytkownika root, na przykład „sudo vi /etc/hosts” lub, jeśli zainstalowany jest pakiet mc, możesz użyć polecenia „sudo mcedit /etc/hosts»

3.4 Ustaw hasło użytkownika

Jest to konieczne ze względu na fakt, że w przyszłości zapora sieciowa zostanie skonfigurowana i w przypadku pojawienia się z nią jakichkolwiek problemów, jeśli użytkownik posiada hasło, będzie można zalogować się do maszyny wirtualnej za pomocą konsoli szeregowej z poziomu Yandex. Konsola internetowa Cloud i wyłącz zaporę ogniową i/lub napraw błąd. Tworząc maszynę wirtualną, użytkownik nie posiada hasła, dlatego dostęp możliwy jest jedynie poprzez SSH z wykorzystaniem uwierzytelnienia za pomocą klucza.

Aby ustawić hasło należy uruchomić komendę:

sudo passwd <имя пользователя>

Przykładowo w naszym przypadku będzie to polecenie „użytkownik hasła sudo".

4. Instalacja pakietu Zimbra i Zextras

4.1. Pobieranie dystrybucji Zimbra i Zextras Suite

4.1.1 Pobieranie dystrybucji Zimbra

Sekwencja działań:

1) Przejdź do adresu URL za pomocą przeglądarki www.zextras.com/download-zimbra-9 i wypełnij formularz. Otrzymasz wiadomość e-mail z łączami do pobrania Zimbry dla różnych systemów operacyjnych.

2) Wybierz aktualną wersję dystrybucyjną dla platformy Ubuntu 18.04 LTS i skopiuj link

3) Pobierz dystrybucję Zimbra na serwer Zimbra i rozpakuj ją. Aby to zrobić, uruchom polecenia w sesji ssh na serwerze Zimbra

cd ~
mkdir zimbra
cd zimbra
wget <url, скопированный на предыдущем шаге>
tar –zxf <имя скачанного файла>

(w naszym przykładzie jest to „tar –zxf zcs-9.0.0_OSE_UBUNTU18_latest-zextras.tgz")

4.1.2 Pobieranie dystrybucji Zextras Suite

Sekwencja działań:

1) Przejdź do adresu URL za pomocą przeglądarki www.zextras.com/download

2) Wypełnij formularz wpisując wymagane dane i kliknij przycisk „POBIERZ TERAZ”.

3) Otworzy się strona pobierania

Ma dwa interesujące nas adresy URL: jeden na górze strony dla samego pakietu Zextras, którego będziemy potrzebować teraz, a drugi na dole w bloku Docs Server dla Ubuntu 18.04 LTS, który będzie potrzebny później zainstaluj Zextras Docs na maszynie wirtualnej dla Docs.

4) Pobierz dystrybucję Zextras Suite na serwer Zimbra i rozpakuj ją. Aby to zrobić, uruchom polecenia w sesji ssh na serwerze Zimbra

cd ~
mkdir zimbra
cd zimbra

(jeśli bieżący katalog nie zmienił się po poprzednim kroku, powyższe polecenia można pominąć)

wget http://download.zextras.com/zextras_suite-latest.tgz
tar –zxf zextras_suite-latest.tgz

4.2. Instalacja Zimbry

Sekwencja działań

1) Przejdź do katalogu, w którym rozpakowano pliki w kroku 4.1.1 (można je wyświetlić za pomocą polecenia ls w katalogu ~/zimbra).

W naszym przykładzie byłoby to:

cd ~/zimbra/zcs-9.0.0_OSE_UBUNTU18_latest-zextras/zimbra-installer

2) Uruchom instalację Zimbra za pomocą polecenia

sudo ./install.sh

3) Odpowiadamy na pytania instalatora

Na pytania instalatora można odpowiedzieć za pomocą „y” (odpowiada „tak”), „n” (odpowiada „nie”) lub pozostawić sugestię instalatora bez zmian (oferuje opcje, wyświetlając je w nawiasach kwadratowych, np. „ [T]” lub „ [N]”.

Czy zgadzasz się z warunkami umowy licencyjnej oprogramowania? - Tak.

Użyj repozytorium pakietów Zimbra? - domyślnie (tak).

"Zainstalować Zimbra-ldap?","Zainstalować Zimbra-Logger?","Zainstalować Zimbrę-MTA?” – domyślnie (tak).

Zainstalować Zimbra-dnscache? – nie (system operacyjny ma domyślnie włączony własny buforujący serwer DNS, więc ten pakiet będzie z nim kolidował ze względu na używane porty).

Zainstalować Zimbra-Snmp? – jeśli chcesz, możesz pozostawić opcję domyślną (tak), nie musisz instalować tego pakietu. W naszym przykładzie pozostawiono opcję domyślną.

"Zainstalować sklep Zimbra?","Zainstalować Zimbra-Apache?","Zainstalować zaklęcie Zimbra?","Zainstalować Zimbra-Memcached?","Zainstalować serwer proxy Zimbra?” – domyślnie (tak).

Zainstalować Zimbra-Snmp? – nie (pakiet faktycznie nie jest obsługiwany i jest funkcjonalnie zastępowany przez Zextras Drive).

Zainstalować Zimbra-imapd? – domyślnie (nie).

Zainstalować czat Zimbra? – nie (funkcjonalnie zastąpiony przez Zextras Team)

Po czym instalator zapyta czy kontynuować instalację?

Odpowiadamy „tak”, jeśli możemy kontynuować, w przeciwnym razie odpowiadamy „nie” i uzyskujemy możliwość zmiany odpowiedzi na wcześniej zadane pytania.

Po wyrażeniu zgody na kontynuację instalator zainstaluje pakiety.

4.) Odpowiadamy na pytania z głównego konfiguratora

4.1) Ponieważ w naszym przykładzie nazwa DNS serwera pocztowego (nazwa rekordu A) i nazwa obsługiwanej domeny pocztowej (nazwa rekordu MX) są różne, konfigurator wyświetli ostrzeżenie i poprosi o ustawienie nazwy obsługiwanej domeny pocztowej. Zgadzamy się z jego propozycją i wpisujemy nazwę rekordu MX. W naszym przykładzie wygląda to tak:

Uwaga: możesz także ustawić obsługiwaną domenę pocztową inną niż nazwa serwera, jeśli nazwa serwera ma rekord MX o tej samej nazwie.

4.2) Konfigurator wyświetla menu główne.

Musimy ustawić hasło administratora Zimbra (pozycja menu 6 w naszym przykładzie), bez którego nie da się kontynuować instalacji oraz zmienić ustawienie zimbra-proxy (pozycja menu 8 w naszym przykładzie; w razie potrzeby to ustawienie można zmienić po instalacji).

4.3) Zmiana ustawień sklepu Zimbra

W oknie konfiguratora wprowadź numer pozycji menu i naciśnij Enter. Przechodzimy do menu ustawień przechowywania:

gdzie w zaproszeniu konfiguratora wpisujemy numer pozycji menu Hasło administratora (w naszym przykładzie 4), naciskamy Enter, po czym konfigurator proponuje losowo wygenerowane hasło, z którym możesz się zgodzić (zapamiętując je) lub wpisać własne. W obu przypadkach na koniec należy nacisnąć Enter, po czym pozycja „Hasło administratora” usunie znacznik oczekiwania na wprowadzenie informacji od użytkownika:

Wracamy do poprzedniego menu (zgadzamy się z propozycją konfiguratora).

4.4) Zmiana ustawień proxy Zimbra

Analogicznie do poprzedniego kroku, w menu głównym wybierz numer pozycji „zimbra-proxy” i wprowadź go w pole konfiguratora.

W otwartym menu konfiguracji proxy wybierz numer pozycji „Tryb serwera proxy” i wprowadź go w wierszu konfiguratora.

Konfigurator zaproponuje wybranie jednego z trybów, wpisz „przekierowanie” w wierszu zachęty i naciśnij Enter.

Po czym wracamy do menu głównego (zgadzamy się z propozycją konfiguratora).

4.5) Uruchomiona konfiguracja

Aby rozpocząć konfigurację, wpisz „a” w wierszu poleceń konfiguratora. Po czym zapyta czy zapisać wprowadzoną konfigurację do pliku (który będzie można wykorzystać do ponownej instalacji) - możesz zgodzić się z propozycją domyślną, jeśli zapis zostanie wykonany - zapyta w jakim pliku zapisać konfigurację (możesz możesz także zgodzić się z domyślną propozycją lub wpisać własną nazwę pliku).

Na tym etapie możesz jeszcze odmówić kontynuacji i wprowadzenia zmian w konfiguracji, akceptując domyślną odpowiedź na pytanie „System zostanie zmodyfikowany – kontynuować?”

Aby rozpocząć instalację należy odpowiedzieć na to pytanie „Tak”, po czym konfigurator przez jakiś czas zastosuje wprowadzone wcześniej ustawienia.

4.6) Zakończenie instalacji Zimbry

Przed zakończeniem instalator zapyta, czy powiadomić Zimbrę o instalacji. Możesz zgodzić się z domyślną propozycją lub odrzucić (odpowiadając „Nie”) powiadomienie.

Po tym czasie instalator będzie przez jakiś czas kontynuował wykonywanie końcowych operacji i wyświetli powiadomienie o zakończeniu konfiguracji systemu wraz z prośbą o naciśnięcie dowolnego klawisza w celu wyjścia z instalatora.

4.3. Instalacja pakietu Zextras

Aby uzyskać więcej informacji na temat instalowania pakietu Zextras Suite, zobacz instrukcja.

Sekwencja działań:

1) Przejdź do katalogu, w którym rozpakowano pliki w kroku 4.1.2 (można je wyświetlić za pomocą polecenia ls w katalogu ~/zimbra).

W naszym przykładzie byłoby to:

cd ~/zimbra/zextras_suite

2) Uruchom instalację Zextras Suite za pomocą polecenia

sudo ./install.sh all

3) Odpowiadamy na pytania instalatora

Zasada działania instalatora jest podobna jak w przypadku instalatora Zimbra, z tą różnicą, że nie ma konfiguratora. Na pytania instalatora można odpowiedzieć za pomocą „y” (odpowiada „tak”), „n” (odpowiada „nie”) lub pozostawić sugestię instalatora bez zmian (oferuje opcje, wyświetlając je w nawiasach kwadratowych, np. „ [T]” lub „ [N]”.

Aby rozpocząć proces instalacji, należy konsekwentnie odpowiadać „tak” na następujące pytania:

Czy zgadzasz się z warunkami umowy licencyjnej oprogramowania?
Czy chcesz, aby Zextras Suite automatycznie pobierał, instalował i aktualizował bibliotekę ZAL?

Po czym wyświetli się powiadomienie z prośbą o naciśnięcie Enter, aby kontynuować:

Po naciśnięciu Enter rozpocznie się proces instalacji, czasem przerywany pytaniami, na które jednak odpowiadamy zgadzając się z domyślnymi sugestiami („tak”), a mianowicie:

Zextras Suite Core zostanie teraz zainstalowany. Przystępować?
Czy chcesz zatrzymać aplikację internetową Zimbra (skrzynkę pocztową)?
Zimlet Zextras Suite zostanie teraz zainstalowany. Przystępować?

Przed rozpoczęciem ostatniej części instalacji zostaniesz powiadomiony o konieczności skonfigurowania filtra DOS i poproszony o naciśnięcie klawisza Enter, aby kontynuować. Po naciśnięciu Enter rozpoczyna się końcowa część instalacji, na koniec wyświetla się końcowe powiadomienie i instalator kończy.

4.4. Wstępne strojenie konfiguracji i określenie parametrów konfiguracyjnych LDAP

1) Wszystkie kolejne czynności wykonywane są w ramach użytkownika Zimbra. Aby to zrobić, musisz uruchomić polecenie

sudo su - zimbra

2) Za pomocą polecenia zmieniamy ustawienie filtra DOS

zmprov mcf zimbraHttpDosFilterMaxRequestsPerSec 150

3) Aby zainstalować Zextras Docs, będziesz potrzebować informacji o niektórych opcjach konfiguracji Zimbra. Aby to zrobić, możesz uruchomić polecenie:

zmlocalconfig –s | grep ldap

W naszym przykładzie zostaną wyświetlone następujące informacje:

Do dalszego użycia będziesz potrzebować ldap_url, zimbra_ldap_password (i zimbra_ldap_userdn, chociaż instalator Zextras Docs zwykle poprawnie zgaduje nazwę użytkownika LDAP).

4) Wyjdź jako użytkownik Zimbry, uruchamiając polecenie
wyloguj się

5. Przygotowanie serwera Dokumentów do instalacji

5.1. Przesyłanie klucza prywatnego SSH na serwer Zimbra i logowanie do serwera Dokumentów

Konieczne jest umieszczenie na serwerze Zimbra klucza prywatnego pary kluczy SSH, którego klucz publiczny został użyty w kroku 2.2.2 punktu 2.2 podczas tworzenia maszyny wirtualnej Docs. Można go wgrać na serwer poprzez SSH (np. poprzez sftp) lub wkleić poprzez schowek (o ile pozwalają na to możliwości wykorzystywanego klienta SSH i jego środowisko wykonawcze).

Zakładamy, że klucz prywatny znajduje się w pliku ~/.ssh/docs.key i użytkownik służący do logowania się do serwera Zimbra jest jego właścicielem (jeżeli pobieranie/tworzenie tego pliku odbywało się w ramach tego użytkownika, automatycznie stał się jego właścicielem).

Musisz raz uruchomić polecenie:

chmod 600 ~/.ssh/docs.key

W przyszłości, aby zalogować się do serwera Dokumentów, musisz wykonać następującą sekwencję czynności:

1) Zaloguj się do serwera Zimbra

2) Uruchom polecenie

ssh -i ~/.ssh/docs.key user@<внутренний ip-адрес сервера Docs>

Gdzie wartość <wewnętrzny adres IP serwera Dokumentów> można znaleźć na przykład w „Konsoli Yandex.Cloud”, jak pokazano w paragrafie 2.3.

5.2. Instalacja aktualizacji

Po zalogowaniu się do serwera Dokumentów uruchom polecenia podobne do tych dla serwera Zimbra:

sudo apt update
sudo apt upgrade

(wykonując ostatnie polecenie, odpowiedz „y” na pytanie, czy jesteś pewien instalacji proponowanej listy aktualizacji)

Po zainstalowaniu aktualizacji możesz (ale nie musisz) uruchomić polecenie:

sudo apt autoremove

Na koniec kroku uruchom polecenie

sudo shutdown –r now

5.3. Dodatkowa instalacja aplikacji

Musisz zainstalować klienta NTP, aby zsynchronizować czas systemowy i aplikację ekranową, podobnie jak w przypadku serwera Zimbra, za pomocą następującego polecenia:

sudo apt install ntp screen

(Wykonując ostatnie polecenie, odpowiedz „y” na pytanie, czy na pewno zainstalujesz załączoną listę pakietów)

Dla wygody administratora możesz także zainstalować dodatkowe narzędzia. Na przykład Midnight Commander można zainstalować za pomocą polecenia:

sudo apt install mc

5.4. Zmiana konfiguracji systemu

5.4.1. W pliku /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg analogicznie jak dla serwera Zimbra zmień wartość parametru zarządzaj_etc_hosts z true na false.

Uwaga: aby zmienić ten plik, edytor musi zostać uruchomiony z uprawnieniami użytkownika root, na przykład „sudo vi /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg” lub, jeśli zainstalowany jest pakiet mc, możesz użyć polecenia „sudo mcedit /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg»

5.4.2. Edytuj plik /etc/hosts, dodając publiczną nazwę FQDN serwera Zimbra, ale z wewnętrznym adresem IP przydzielonym przez Yandex.Cloud. Jeśli masz kontrolowany przez administratora wewnętrzny serwer DNS używany przez maszyny wirtualne (na przykład w środowisku produkcyjnym) i zdolny do rozpoznawania publicznej nazwy FQDN serwera Zimbra za pomocą wewnętrznego adresu IP po otrzymaniu żądania z sieci wewnętrznej (na przykład żądań z Internetu, nazwa FQDN serwera Zimbra musi być rozpoznawana za pomocą publicznego adresu IP, a serwer TURN musi być zawsze rozpoznawana za pomocą publicznego adresu IP, także w przypadku dostępu z adresów wewnętrznych), operacja ta nie jest wymagana.

Przykładowo w naszym przypadku plik hosts wyglądał następująco:

Po edycji przyjął postać:

Uwaga: aby zmienić ten plik, edytor musi zostać uruchomiony z uprawnieniami użytkownika root, na przykład „sudo vi /etc/hosts” lub, jeśli zainstalowany jest pakiet mc, możesz użyć polecenia „sudo mcedit /etc/hosts»

6. Instalacja dokumentacji Zextras

6.1. Zaloguj się do serwera Dokumentów

Procedura logowania do serwera Dokumentów została opisana w punkcie 5.1.

6.2. Pobieranie dystrybucji Zextras Docs

Sekwencja działań:

1) Ze strony, z której w punkcie 4.1.2. Pobieranie dystrybucji Zextras Suite Pobierz dystrybucję Zextras Suite (w kroku 3), skopiuj adres URL do tworzenia Dokumentów dla Ubuntu 18.04 LTS (jeśli nie został skopiowany wcześniej).

2) Pobierz dystrybucję Zextras Suite na serwer Zimbra i rozpakuj ją. Aby to zrobić, uruchom polecenia w sesji ssh na serwerze Zimbra

cd ~
mkdir zimbra
cd zimbra
wget <URL со страницы скачивания>

(w naszym przypadku wykonywane jest polecenie „wget”. download.zextras.com/zextras-docs-installer/latest/zextras-docs-ubuntu18.tgz»)

tar –zxf <имя скачанного файла>

(w naszym przypadku wykonywane jest polecenie „tar –zxf zextras-docs-ubuntu18.tgz”)

6.3. Instalacja dokumentacji Zextras

Aby uzyskać więcej informacji na temat instalowania i konfigurowania Zextras Docs, zobacz tutaj.

Sekwencja działań:

1) Przejdź do katalogu, w którym rozpakowano pliki w kroku 4.1.1 (można je wyświetlić za pomocą polecenia ls w katalogu ~/zimbra).

W naszym przykładzie byłoby to:

cd ~/zimbra/zextras-docs-installer

2) Uruchom instalację Zextras Docs za pomocą polecenia

sudo ./install.sh

3) Odpowiadamy na pytania instalatora

Na pytania instalatora można odpowiedzieć za pomocą „y” (odpowiada „tak”), „n” (odpowiada „nie”) lub pozostawić sugestię instalatora bez zmian (oferuje opcje, wyświetlając je w nawiasach kwadratowych, np. „ [T]” lub „ [N]”).

System zostanie zmodyfikowany. Czy chcesz kontynuować? – zaakceptuj opcję domyślną („tak”).

Następnie rozpocznie się instalacja zależności: instalator pokaże, które pakiety chce zainstalować i poprosi o potwierdzenie ich instalacji. We wszystkich przypadkach zgadzamy się z ofertami domyślnymi.

Może na przykład zapytać: „Nie znaleziono Pythona 2.7. Czy chcesz go zainstalować?","Nie znaleziono Pythona-ldap. Czy chcesz go zainstalować?" i tak dalej.

Po zainstalowaniu wszystkich niezbędnych pakietów instalator prosi o zgodę na instalację Zextras Docs:

Czy chcesz zainstalować Zextras DOCS? – zaakceptuj opcję domyślną („tak”).

Po czym poświęca się trochę czasu na instalację pakietów, samego Zextras Docs i przejście do pytań konfiguratora.

4) Odpowiadamy na pytania z konfiguratora

Konfigurator po kolei żąda parametrów konfiguracyjnych, w odpowiedzi wprowadzane są wartości uzyskane w kroku 3 w punkcie 4.4. Wstępne strojenie ustawień i określenie parametrów konfiguracyjnych LDAP.

W naszym przykładzie ustawienia wyglądają następująco:

5) Zakończenie instalacji Zextras Docs

Po udzieleniu odpowiedzi na pytania konfiguratora instalator kończy lokalną konfigurację Docs i rejestruje zainstalowaną usługę na zainstalowanym wcześniej głównym serwerze Zimbra.

W przypadku instalacji na jednym serwerze jest to zwykle wystarczające, ale w niektórych przypadkach (jeśli dokumenty nie zostaną otwarte w Dokumentach w kliencie internetowym na karcie Dysk) może być konieczne wykonanie czynności wymaganej w przypadku instalacji na wielu serwerach - w naszym przykładzie na głównym serwerze Zimbra będziesz musiał to wykonać z poziomu użytkownika Zimbra Teams /opt/zimbra/libexec/zmproxyconfgen и zmproxyctl uruchom ponownie.

7. Początkowa konfiguracja pakietu Zimbra i Zextras (z wyjątkiem Team)

7.1. Zaloguj się do konsoli administracyjnej po raz pierwszy

Zaloguj się w przeglądarce za pomocą adresu URL: https:// :7071

W razie potrzeby możesz zalogować się do klienta internetowego za pomocą adresu URL: https://

Podczas logowania przeglądarki wyświetlają ostrzeżenie o niepewnym połączeniu z powodu braku możliwości weryfikacji certyfikatu. Pomimo tego ostrzeżenia musisz odpowiedzieć przeglądarce o wyrażeniu zgody na przejście do witryny. Dzieje się tak dlatego, że po instalacji do połączeń TLS wykorzystywany jest certyfikat X.509 z podpisem własnym, który można później (w użytkowaniu produktywnym - powinien) zastąpić certyfikatem komercyjnym lub innym certyfikatem rozpoznawanym przez używane przeglądarki.

W formularzu uwierzytelnienia wprowadź nazwę użytkownika w formacie admin@<twoja zaakceptowana domena pocztowa> i hasło administratora Zimbra określone podczas instalacji serwera Zimbra w kroku 4.3 w punkcie 4.2.

W naszym przykładzie wygląda to tak:

Konsola administracyjna:

Klient sieciowy:

Uwaga 1. Jeśli nie określisz akceptowanej domeny pocztowej podczas logowania do konsoli administracyjnej lub klienta sieciowego, użytkownicy zostaną uwierzytelnieni w domenie pocztowej utworzonej podczas instalacji serwera Zimbra. Po instalacji jest to jedyna akceptowana domena pocztowa istniejąca na tym serwerze, ale w miarę działania systemu mogą zostać dodane dodatkowe domeny pocztowe, a następnie wyraźne określenie domeny w nazwie użytkownika będzie miało znaczenie.

Uwaga 2. Kiedy logujesz się do klienta internetowego, Twoja przeglądarka może poprosić o pozwolenie na wyświetlanie powiadomień z witryny. Musisz wyrazić zgodę na otrzymywanie powiadomień z tej witryny.

Uwaga 3. Po zalogowaniu się do konsoli administratora możesz zostać powiadomiony o wiadomościach dla administratora, zwykle przypominających o skonfigurowaniu Zextras Backup i/lub zakupieniu licencji Zextras przed wygaśnięciem domyślnej licencji próbnej. Czynności te można wykonać później, dlatego wiadomości istniejące w momencie wpisania można zignorować i/lub oznaczyć jako przeczytane w menu Zextras: Alert Zextras.

Uwaga 4. Szczególnie ważne jest, aby pamiętać, że w monitorze stanu serwera status usługi Dokumenty jest wyświetlany jako „niedostępny”, nawet jeśli Dokumenty w kliencie internetowym działają poprawnie:

Jest to funkcja wersji próbnej, którą można naprawić dopiero po zakupie licencji i skontaktowaniu się z pomocą techniczną.

7.2. Wdrożenie komponentów Zextras Suite

W menu Zextras: Core musisz kliknąć przycisk „Wdróż” dla wszystkich zimletów, których zamierzasz używać.

Podczas wdrażania winterletów pojawia się okno dialogowe z następującym wynikiem operacji:

W naszym przykładzie zostaną wdrożone wszystkie pakiety zimowe Zextras Suite, po czym formularz Zextras: Core przyjmie następującą formę:

7.3. Zmiana ustawień dostępu

7.3.1. Zmiana ustawień globalnych

W menu Ustawienia: Ustawienia globalne, podmenu Serwer proxy zmień następujące parametry:

Tryb serwera proxy sieci Web: przekierowanie
Włącz serwer proxy konsoli administracyjnej: zaznacz pole.
Następnie kliknij „Zapisz” w prawej górnej części formularza.

W naszym przykładzie po dokonanych zmianach formularz wygląda następująco:

7.3.2. Zmiany w głównych ustawieniach serwera Zimbra

W menu Ustawienia: Serwery: <nazwa głównego serwera Zimbra>, podmenu Serwer proxy zmień następujące parametry:

Tryb serwera proxy sieci Web: kliknij przycisk „Przywróć wartość domyślną” (sama wartość nie ulegnie zmianie, ponieważ została już ustawiona podczas instalacji). Włącz serwer proxy konsoli administracyjnej: sprawdź, czy checkbox jest zaznaczony (powinna zostać zastosowana wartość domyślna, jeśli nie, możesz kliknąć przycisk „Przywróć wartość domyślną” i/lub ustawić ją ręcznie). Następnie kliknij „Zapisz” w prawej górnej części formularza.

W naszym przykładzie po dokonanych zmianach formularz wygląda następująco:

Uwaga: (może być konieczne ponowne uruchomienie, jeśli logowanie na tym porcie nie działa)

7.4. Nowe logowanie do konsoli administracyjnej

Zaloguj się do konsoli administracyjnej w swojej przeglądarce za pomocą adresu URL: https:// :9071
W przyszłości użyj tego adresu URL do logowania

Uwaga: w przypadku instalacji jednoserwerowej z reguły wystarczą zmiany wprowadzone w poprzednim kroku, ale w niektórych przypadkach (jeśli strona serwera nie zostanie wyświetlona podczas wprowadzania określonego adresu URL) może być konieczne wykonanie wymaganej akcji dla instalacji wieloserwerowej - w naszym przykładzie polecenia na głównym serwerze Zimbra będą musiały zostać wykonane jako użytkownik Zimbra /opt/zimbra/libexec/zmproxyconfgen и zmproxyctl uruchom ponownie.

7.5. Edycja domyślnego COS

W menu Ustawienia: Klasa usługi wybierz COS o nazwie „domyślny”.

W podmenu „Możliwości” odznacz funkcję „Portfolio”, a następnie kliknij „Zapisz” w prawej górnej części formularza.

W naszym przykładzie po skonfigurowaniu formularz wygląda następująco:

Warto także zaznaczyć opcję „Włącz udostępnianie plików i folderów” w podmenu Dysku, a następnie kliknąć „Zapisz” w prawej górnej części formularza.

W naszym przykładzie po skonfigurowaniu formularz wygląda następująco:

W środowisku testowym, w tej samej klasie usług, można włączyć funkcje Team Pro poprzez zaznaczenie checkboxu o tej samej nazwie w podmenu Team, po czym formularz konfiguracyjny przyjmie następującą postać:

Gdy funkcje Team Pro są wyłączone, użytkownicy będą mieli dostęp tylko do funkcji Team Basic.
Należy pamiętać, że licencja Zextras Team Pro jest niezależna od pakietu Zextras Suite, co pozwala na zakup go dla mniejszej liczby skrzynek pocztowych niż sam pakiet Zextras Suite; Funkcje Team Basic są zawarte w licencji Zextras Suite. Dlatego też, jeśli jest używany w środowisku produkcyjnym, może być konieczne utworzenie osobnej klasy usług dla użytkowników Team Pro, która będzie zawierać odpowiednie funkcje.

7.6. Konfiguracja zapory sieciowej

Wymagane dla głównego serwera Zimbra:

) Zezwól na dostęp z Internetu do portów ssh, http/https, imap/imaps, pop3/pop3s, smtp (port główny i dodatkowe porty do użytku przez klientów poczty) oraz port konsoli administracyjnej.

b) Zezwól na wszystkie połączenia z sieci wewnętrznej (dla której włączono NAT w Internecie w kroku 1.3 w kroku 1).

Nie ma potrzeby konfigurowania zapory ogniowej dla serwera Zextras Docs, ponieważ nie jest dostępny z Internetu.

Aby to zrobić, musisz wykonać następującą sekwencję działań:

1) Zaloguj się do konsoli tekstowej głównego serwera Zimbra. Logując się przez SSH należy uruchomić polecenie „screen”, aby uniknąć przerwania wykonywania polecenia w przypadku chwilowej utraty połączenia z serwerem na skutek zmian w ustawieniach zapory sieciowej.

2) Uruchom polecenia

sudo ufw allow 22,25,80,110,143,443,465,587,993,995,9071/tcp
sudo ufw allow from <адрес_вашей_сети>/<длина CIDR маски>
sudo ufw enable

W naszym przykładzie wygląda to tak:

7.7. Sprawdzanie dostępu do klienta WWW i konsoli administracyjnej

Aby monitorować funkcjonalność zapory sieciowej, możesz przejść do poniższego adresu URL w swojej przeglądarce

Konsola administratora: https:// :9071
Klient sieciowy: http:// (nastąpi automatyczne przekierowanie na https:// )
Jednocześnie korzystając z alternatywnego adresu URL https:// :7071 Konsola administracyjna nie powinna się otwierać.

Klient WWW w naszym przykładzie wygląda następująco:

Notatka. Kiedy logujesz się do klienta internetowego, Twoja przeglądarka może poprosić o pozwolenie na wyświetlanie powiadomień z witryny. Musisz wyrazić zgodę na otrzymywanie powiadomień z tej witryny.

8. Zapewnienie funkcjonowania konferencji audio i wideo w Zespole Zextras

8.1. Ogólne infomracje

Opisane poniżej działania nie są wymagane w przypadku, gdy wszyscy klienci Zextras Team komunikują się ze sobą bez użycia NAT (w tym przypadku interakcja z samym serwerem Zimbra może odbywać się przy użyciu NAT, tj. ważne jest, aby pomiędzy klientami nie było NAT), lub jeśli używany jest tylko tekst, komunikator.

Aby zapewnić interakcję z klientem za pośrednictwem konferencji audio i wideo:

) Musisz zainstalować lub użyć istniejącego serwera TURN.

b) Ponieważ serwer TURN zazwyczaj posiada również funkcjonalność serwera STUN, zaleca się wykorzystanie go również w tej roli (alternatywnie można wykorzystać publiczne serwery STUN, jednak sama funkcjonalność STUN zwykle nie wystarczy).

W środowisku produkcyjnym, ze względu na potencjalnie duże obciążenie, zaleca się przeniesienie serwera TURN na osobną maszynę wirtualną. W celu testowania i/lub niewielkiego obciążenia serwer TURN można połączyć z głównym serwerem Zimbra.

Nasz przykład dotyczy instalacji serwera TURN na głównym serwerze Zimbra. Instalacja TURN na oddzielnym serwerze przebiega podobnie, z tą różnicą, że kroki związane z instalacją i konfiguracją oprogramowania TURN są wykonywane na serwerze TURN, a kroki związane z konfiguracją serwera Zimbra do korzystania z tego serwera są wykonywane na głównym serwerze Zimbra.

8.2. Instalacja serwera TURN

Po wcześniejszym zalogowaniu się przez SSH do głównego serwera Zimbra uruchom komendę

sudo apt install resiprocate-turn-server

8.3. Konfigurowanie serwera TURN

Notatka. Aby zmienić wszystkie poniższe pliki konfiguracyjne, edytor musi zostać uruchomiony z uprawnieniami użytkownika root, na przykład „sudo vi /etc/reTurn/reTurnServer.config” lub, jeśli zainstalowany jest pakiet mc, możesz użyć polecenia „sudo mcedit /etc/reTurn/reTurnServer.config»

Uproszczone tworzenie użytkowników

Aby uprościć tworzenie i debugowanie połączenia testowego z serwerem TURN, wyłączymy użycie hashowanych haseł w bazie danych użytkowników serwera TURN. W środowisku produktywnym zaleca się stosowanie haseł mieszanych; w takim wypadku generowanie dla nich skrótów haseł należy wykonać zgodnie z instrukcją zawartą w plikach /etc/reTurn/reTurnServer.config oraz /etc/reTurn/users.txt.

Sekwencja działań:

1) Edytuj plik /etc/reTurn/reTurnServer.config

Zmień wartość parametru „UserDatabaseHashedPasswords” z „true” na „false”.

2) Edytuj plik /etc/reTurn/users.txt

Ustaw go na nazwę użytkownika, hasło, dziedzinę (dowolne, nieużywane podczas konfigurowania połączenia Zimbra) i ustaw status konta na „AUTHORIZED”.

W naszym przykładzie plik początkowo wyglądał następująco:

Po edycji wyglądało to tak:

3) Zastosowanie konfiguracji

Uruchom polecenie

sudo systemctl restart resiprocate-turn-server

8.4. Konfiguracja firewalla dla serwera TURN

Na tym etapie instalowane są dodatkowe reguły firewall niezbędne do działania serwera TURN. Należy zezwolić na dostęp do głównego portu, na którym serwer akceptuje żądania, oraz do dynamicznego zakresu portów używanych przez serwer do organizowania strumieni multimediów.

Porty określone są w pliku /etc/reTurn/reTurnServer.config, w naszym przypadku jest to:

и

Aby zainstalować reguły zapory sieciowej, musisz uruchomić polecenia

sudo ufw allow 3478,49152:65535/udp
sudo ufw allow 3478,49152:65535/tcp

8.5. Konfiguracja do korzystania z serwera TURN w Zimbrze

Do konfiguracji używana jest nazwa FQDN serwera, serwer TURN, utworzony w kroku 1.2 punktu 1, który musi zostać rozpoznany przez serwery DNS z tym samym publicznym adresem IP zarówno dla żądań z Internetu, jak i dla żądań z adresów wewnętrznych.

Wyświetl bieżącą konfigurację połączenia „zxsuite team iceServer get” działającego w ramach użytkownika Zimbra.

Aby uzyskać więcej informacji na temat konfiguracji korzystania z serwera TURN, zobacz sekcję „Instalowanie zespołu Zextras w celu korzystania z serwera TURN” w dokumentacja.

Aby skonfigurować, musisz uruchomić następujące polecenia na serwerze Zimbra:

sudo su - zimbra
zxsuite team iceServer add stun:<FQDN вашего сервера TURN>:3478?transport=udp
zxsuite team iceServer add turn:<FQDN вашего сервера TURN>:3478?transport=udp credential <пароль> username <имя пользователя>
zxsuite team iceServer add stun:<FQDN вашего сервера TURN>:3478?transport=tcp
zxsuite team iceServer add turn:<FQDN вашего сервера TURN>:3478?transport=tcp credential <пароль> username <имя пользователя>
zxsuite team iceServer add stun:<FQDN вашего сервера TURN>:3478
logout

Wartości odpowiednio nazwy użytkownika i hasła określone w kroku 2 w punkcie 8.3 stosowane są jako <nazwa użytkownika> i <hasło>.

W naszym przykładzie wygląda to tak:

9. Zezwalanie na przesyłanie poczty przez protokół SMTP

Według dokumentacjaw Yandex.Cloud ruch wychodzący do portu TCP 25 w Internecie i do maszyn wirtualnych Yandex Compute Cloud jest zawsze blokowany w przypadku dostępu poprzez publiczny adres IP. Nie uniemożliwi to sprawdzenia akceptacji poczty wysłanej z innego serwera pocztowego do zaakceptowanej domeny pocztowej, ale zapobiegnie wysyłaniu poczty poza serwer Zimbra.

Dokumentacja stwierdza, że ​​Yandex.Cloud może otworzyć port TCP 25 na żądanie wsparcia, jeśli się zgodzisz Akceptowalne wytyczne dotyczące użytkowaniai zastrzega sobie prawo do ponownego zablokowania portu w przypadku naruszenia regulaminu. Aby otworzyć port, musisz skontaktować się z pomocą techniczną Yandex.Cloud.

Aplikacja

Tworzenie kluczy SSH w openssh i putty oraz konwersja kluczy z putty do formatu openssh

1. Tworzenie par kluczy dla SSH

W systemie Windows za pomocą PuTTY: uruchom polecenie puttygen.exe i kliknij przycisk „Generuj”.

W systemie Linux: uruchom polecenie

ssh-keygen

2. Konwersja kluczy z formatu PuTTY na openssh

W systemie Windows:

Sekwencja działań:

1. Uruchom program puttygen.exe.
2. Załaduj klucz prywatny w formacie ppk, skorzystaj z opcji menu Plik → Załaduj klucz prywatny.
3. Wprowadź hasło, jeśli jest wymagane dla tego klucza.
4. Klucz publiczny w formacie OpenSSH jest wyświetlany w puttygenie z napisem „Klucz publiczny do wklejenia w polu pliku autoryzowanych_kluczy OpenSSH”
5. Aby wyeksportować klucz prywatny do formatu OpenSSH, w menu głównym wybierz Konwersje → Eksportuj klucz OpenSSH
6. Zapisz klucz prywatny w nowym pliku.

Na Linuksie

1. Zainstaluj pakiet narzędzi PuTTY:

w Ubuntu:

sudo apt-get install putty-tools

w dystrybucjach podobnych do Debiana:

apt-get install putty-tools

w dystrybucjach opartych na RPM opartych na yum (CentOS itp.):

yum install putty

2. Aby dokonać konwersji klucza prywatnego, uruchom komendę:

puttygen <key.ppk> -O private-openssh -o <key_openssh>

3. Aby wygenerować klucz publiczny (jeśli to konieczne):

puttygen <key.ppk> -O public-openssh -o <key_openssh.pub>

Doświadcz mocnych i skutecznych rezultatów

Po instalacji zgodnie z zaleceniami użytkownik otrzymuje serwer pocztowy Zimbra skonfigurowany w infrastrukturze Yandex.Cloud z rozszerzeniem Zextras do komunikacji korporacyjnej i współpracy z dokumentami. Ustawienia są wprowadzane z pewnymi ograniczeniami dla środowiska testowego, ale przełączenie instalacji do trybu produkcyjnego i dodanie opcji korzystania z magazynu obiektów Yandex.Cloud i innych nie jest trudne. W przypadku pytań dotyczących wdrażania i korzystania z rozwiązania prosimy o kontakt z partnerem Zextras - SVZ lub przedstawiciele Yandex.Cloud.

W przypadku wszystkich pytań związanych z Zextras Suite, możesz skontaktować się z przedstawicielem Zextras Ekaterina Triandafilidi przez e-mail [email chroniony]

Źródło: www.habr.com