Багато підприємств, особливо на території СНД, вже мають ІТ-інфраструктуру, в якій для управління та аутентифікацією користувачами часто використовується такий інструмент як Active Directory від Microsoft. І часто у таких підприємств, коли вони починають планувати впровадження Zimbra Collaboration Suite, виникає питання про те, чи зможе ZCS нормально вписатися в їхню інфраструктуру та використовувати Microsoft AD для автентифікації користувачів? Що ж, Zimbra цілком здатна працювати у зв'язці з Active Directory і зараз ми розповімо про те, як цього досягти.
Припустимо, що в інфраструктурі вашого підприємства Active Directory знаходиться на домені domain.local, а Zimbra передбачається встановити на домен mail.domain.com. У процесі інтеграції Zimbra та Active Directory ми підключимо AD як зовнішній LDAP для ZCS і тому рекомендуємо відразу заборонити користувачам самостійну зміну пароля. Також зазначимо, що для перевірки успішності інтеграції Zimbra та Active Directory на сервері з AD рекомендується мати хоча б один обліковий запис з відомою вам парою логін/пароль для перевірки успішності підключення двох інформаційних систем.
Підключення AD до ZCS здійснюється в адміністраторській консолі Zimbra за адресою mail.domain.com. Тут ми маємо в лівій бічній панелі вибрати пункт Configure, а потім і підпункт Domains. У списку доменів тепер потрібно вибрати той, який ми будемо використовувати у зв'язці з AD і, натиснувши на обраному домені праву кнопку миші, вибрати пункт Configure Authentification. Після цього на екрані з'явиться діалог налаштування зовнішнього LDAP, в якому ми подружимо Zimbra з AD.
На сторінці Authentification Mode слід вибрати пункт «External Active Directory», після чого на сторінці Authentification Settings ввести дані про сервері з AD. Вам потрібно буде ввести ім'я домену, ip-адресу сервера і порт, по якому здійснюється доступ до AD, а наступну сторінку під назвою LDAP Bind пропонуємо залишити незаповненою.
У вікні Authentification Config Summary можна перевірити успішність підключення Zimbra до AD шляхом введення коректної пари логін/пароль будь-якого користувача. Якщо з'єднання буде успішним, Zimbra самостійно обчислить Bind DN для даного користувача. Після цього можна залишити сторінки External Group Settings та Domain Configuration Complete без змін. На цьому інтеграція Zimbra з AD закінчена і залишається лише створити в Zimbra існуючих користувачів з AD для успішного виконання синхронізації між інформаційними системами.
При невеликій кількості облікових записів зробити це можна вручну, але в тому випадку, якщо облікових записів дійсно багато, найкраще буде автоматизувати цей процес за допомогою функції Auto-provisioning. Для цього нам потрібно зайти на сервер Zimbra і здійснити там ряд маніпуляцій у командному рядку:
su zimbra
zmprov md domain.com zimbraAutoProvMode LAZY
zmprov md domain.com zimbraAutoProvLdapURL "ldap://domain.local:389"
zmprov md domain.com zimbraAutoProvLdapStartTlsEnabled FALSE
zmprov md domain.com zimbraAutoProvLdapAdminBindDn "zimbra@domain.local"
zmprov md domain.com zimbraAutoProvLdapAdminBindPassword PassworD
zmprov md domain.com zimbraAutoProvLdapSearchBase "ou=User,dc=domain,dc=local)"
zmprov md domain.com zimbraAutoProvLdapSearchFilter "(samAccountName=%u)"
zmprov md domain.com zimbraAutoProvLdapBindDn "%u@%d"
zmprov md domain.com zimbraAutoProvAccountNameMap sAMAccountName
zmprov md domain.com +zimbraAutoProvAttrMap "sn=sn" +zimbraAutoProvAttrMap "description=description" +zimbraAutoProvAttrMap "cn=displayName" +zimbraAutoProvAttrMap "givenName=givenName" +zimbraAutoProvAttrMap "zimbraMailAlias=mail"
zmprov md domain.com zimbraAutoProvNotificationFromAddress admin@domain.com
zmprov md domain.com zimbraAutoProvNotificationSubject "Мы рады приветствовать вас на борту нашего почтового сервера"
zmprov md domain.com zimbraAutoProvNotificationBody "Ваш аккаунт был создан автоматически. Ознакомьтесь с инструкцией по работе с электронной почтой, перейдя по данной ссылке"
zmprov md domain.com zimbraAutoProvBatchSize 20
zmprov md domain.com zimbraAutoProvAuthMech LDAP
zmcontrol restartПри такій конфігурації обліковий запис користувача буде автоматично створюватися на сервері Zimbra при першій спробі входу в веб-клієнт за наявною парою логін/пароль. Зазначимо, що в деяких випадках для коректної роботи автоналаштування може знадобитися змінити номер порту з 389 на 3268.
Після виконання всіх цих дій ваші користувачі зможуть входити до своєї пошти на сервері з Zimbra по парі логін/пароль з AD, що значно спростить управління ІТ-інфраструктурою підприємства
Джерело: habr.com
