В этом году исполняется ровно 20 лет с тех пор, как мир впервые увидел службу каталогов Microsoft Active Directory. Представляя собой реализацию LDAP и Kerberos, именно AD стал тем звеном, которое связало все продукты Microsoft в единую экосистему.
Однако спустя 20 лет ИТ-менеджеры все больше осознают недостатки, связанные с тем, что практически все бизнес-процессы предприятия так или иначе завязаны на программные продукты одной корпорации.
Многочисленные инциденты, начиная от скандалов, связанные со слежкой за пользователями И отказы в локализации накопленные персональные данные, а закончившиеся напряженностью в отношениях между США и Россией, послужили своеобразным тревожным звонком, заставившим ИТ-менеджеров страны задаться вопросами о том, настолько ли ИТ-инфраструктура предприятий контролируется ими, как кажется , а что будет с их инфраструктурой, если в один прекрасный день продукты Microsoft вдруг станут недоступны в нашей стране из-за санкций? 
Ответ на эти вопросы не обнадеживает, поскольку, развертывая свою инфраструктуру на программных решениях от одного поставщика, ИТ-менеджеры, по сути, кладут все яйца в одну корзину.
И если еще несколько лет назад эта корзина казалась достаточно прочной, то сейчас она не производит такого впечатления.
Именно поэтому в стране наметилась устойчивая тенденция к если не полной миграции всей инфраструктуры, то к замене отдельных узлов бесплатными решениями, использование которых исключает перечисленные выше риски.
В числе первых кандидатов на замену, конечно же, оказалась система совместной работы, ведь именно там хранится самая критичная для любой современной компании информация, а сама система крайне важна для нормального функционирования предприятия.
Отличным кандидатом на замену почтового сервера будет Zimbra Colboration Suite Open-Source с надстройками Zextras Suite. Данное решение не только обладает широким функционалом, но и более выгодно с точки зрения стоимости владения и не имеет рисков, связанных с лицензированием.
Кроме того, как мы уже писали, Zimbra Collaboration Suite может интегрироваться с Microsoft AD, а значит, идеально впишется в существующую инфраструктуру предприятия.
Однако после того, как один за другим большинство узлов предприятия будут заменены бесплатными аналогами, вопрос о замене Active Directory обязательно появится на повестке дня.
Существует множество аналогов этого решения, но отказ от AD обязательно повлечет за собой необходимость перенастройки других информационных систем, настроенных на работу именно с AD. Давайте посмотрим, какие изменения необходимо внести в Zimbra, настроенную для работы с Active Directory, чтобы убрать интеграцию между этими информационными системами.
Если у вас настроена интеграция Zimbra с AD и автонастройка учетной записи по нашим инструкциям , то процедура его отключения во многом повторит уже пройденный процесс.
Только на этот раз вам предстоит решить, что будет использоваться вместо AD. Это может быть любой другой внешний LDAP-сервер или встроенный в Zimbra LDAP. Второй способ гораздо проще в реализации, но связан с более трудоемким сопровождением.
Поскольку все пользователи уже существуют в Zimbra LDAP, вам не нужно переустанавливать и подключать внешний LDAP или включать автоматическую настройку учетной записи в Zimbra Collaboration Suite. Достаточно для этого в консоли администратора Zimbra на левой боковой панели выберите элемент Настроить , а затем подпункт Домены .
В списке доменов нам теперь нужно выбрать тот, который мы будем использовать и кликнув правой кнопкой мыши по выбранному домену, выбрать пункт «Настроить аутентификацию» , где нужно переключить метод авторизации на «Интерьер» .
Если вы выберете этот метод аутентификации, вам не потребуется выполнять какие-либо дополнительные настройки.
Хотя Zimbra LDAP по сути является LDAP-сервером, он имеет ряд ограничений безопасности, которые не позволяют ему поддерживать некоторые методы аутентификации, поэтому вы можете использовать его для аутентификации в некоторых приложениях, но безуспешно.
в других приложениях и службах предприятия.
Кроме того, было бы крайне плохой идеей разрешить доступ к Zimbra LDAP из внешнего Интернета.
Вот почему, если вы не сделаете Zimbra LDAP основным предприятием и не продолжите использовать Zimbra в сочетании со встроенным LDAP, вам придется вручную добавлять и удалять пользователей и вручную управлять их паролями.
Читайте о том, как это сделать в нашей статье , посвященный политике безопасности паролей в Zimbra. Первый способ — развернуть на предприятии отдельный полнофункциональный LDAP-сервер и настроить аутентификацию в Zimbra на основе данных с него.
Вариантов таких LDAP-серверов очень много, поэтому мы будем рассматривать процесс такой настройки на базе Zentyal LDAP, как бесплатное и открытое решение.
Пусть сервер с Zentyal находится в локальной сети предприятия по адресу 192.168.1.100, а сервер Zimbra имеет Полное доменное имя mail.company.ru .
Как и в предыдущем случае, для настройки авторизации через внешний LDAP заходим в Консоль администрирования Zimbra .
Здесь на левой боковой панели выберите пункт Настроить , а затем подпункт Домены .
В списке доменов нам теперь нужно выбрать тот, который мы будем использовать и кликнув правой кнопкой мыши по выбранному домену, выбрать пункт «Настроить аутентификацию» , где нужно переключить метод авторизации на «Внешний LDAP» .
Здесь нам потребуется предоставить следующую информацию:
- ЛДАП://192.168.1.100:390
- Фильтр LDAP: (&(|(objectclass=inetOrgPerson))|(memberof=cn=mail,ou=groups,dc=company,dc=ru))(uid=%u)) "
- Поиск по LDAP: ou=Users,dc=company,dc=ru
- Привязать DN: admin cn=,dc=company,dc=ru
- Пароль привязки: ********
Если пароль правильный, вход будет успешным, но если введенный пароль не соответствует тому, что хранится в LDAP, то произойдет ошибка входа.
Чтобы пользователи автоматически создавались в Zimbra, нужно выполнить несколько команд:
После этого при первой успешной попытке входа в почтовый ящик Zimbra с использованием имени пользователя и пароля, введенных в LDAP, учетная запись будет создана автоматически, что избавит администратора от необходимости вручную создавать пользователей в Zimbra. Таким образом, Zimbra Open-source Edition способна прекрасно работать не только с AD, но и с любым другим LDAP-сервером, что с одной стороны обеспечивает возможность использования его в любой ИТ-инфраструктуре, а с другой стороны позволяет быстро мигрировать с проприетарного ПО на бесплатное и обратно без ущерба для функциональности.zmprov md company.ru zimbraAutoProvMode LAZY zmprov md company.ru zimbraAutoProvLdapURL ldap://192.168.1.100:390 zmprov md company.ru zimbraAutoProvLdapAdminBindDn " admin cn=,dc=company,dc=ru" zmprov md company.ru zimbraAutoProvLdapAdminBindPassword "********" zmprov md company.ru zimbraAutoProvLdapSearchFilter " (&(|(objectclass=inetOrgPerson)((memberof=cn=mail,ou=Groups,dc=company,dc=ru))(uid=%u)) " zmprov md company.ru zimbraAutoProvLdapSearchBase "ou=Users,dc=company,dc=ru" zmprov md company.ru +zimbraAutoProvAttrMap description=description +zimbraAutoProvAttrMap cn=displayName +zimbraAutoProvAttrMap givenName=givenName +zimbraAutoProvAttrMap sn=sn zmcontrol restart
Кроме того, полнофункциональный веб-клиент Zimbra позволяет пользователям получать к нему доступ с любой платформы.
По всем вопросам, связанным с Zextras Suite, вы можете связаться с представителем Zextras Екатериной Триандафилиди по электронной почте [email protected]. Теги: #Сетевые технологии #Системное администрирование #электронная почта #active каталог #Active Directory #ldap #zimbra #zextras #groupware
-
Новые Типы Файлов В Google Docs
19 Oct, 24 -
Ускорьте Распространенные Задачи В Windows
19 Oct, 24
