Ранее мы уже писали о том, как интегрировать Carbonio Community Edition с Active Directory, чтобы пользователи могли осуществлять вход в почтовый ящик Carbonio при помощи пароля из AD. Это позволяет администратору вписать почтовый сервер Carbonio в уже имеющуюся ИТ-инфраструктуру предприятия и значительно сократить трудозатраты на контроль за соблюдением парольной политики безопасности со стороны пользователей. Однако описанный нами способ, хоть он полностью совместим с бесплатной версией Carbonio, не позволяет использовать аутентификацию в AD при использовании коммерческих функций Carbonio, таких как вход в учетную запись по Exchange ActiveSync или вход по логину и паролю в мобильные приложения Carbonio. В данной статье мы расскажем о том, как интегрировать Carbonio с Active Directory таким образом, чтобы аутентификация по паролю из AD работала в любом из сервисов.
Настроить аутентификацию с использованием Active Directory можно как в командной строке, так и в консоли администратора. Для того, чтобы получить доступ к соответствующим настройкам, необходимо в разделе “Домены” выбрать нужный вам домен и перейти в подраздел “Проверка подлинности”. Здесь можно настроить тип аутентификации и ряд других параметров.
Настройка в консоли администратора
Для того, чтобы включить аутентификацию с использованием Active Directory, следует установить метод авторизации на “Внешний Active Directory” и задать ряд параметров, среди которых:
Шаблон Bind DN
Адрес сервера Active Directory
Фильтр
Поисковая база
Логин
Пароль
Обязательными параметрами являются адрес сервера Active Directory в формате ldap(s)://ad.domain.ru и шаблон Bind DN, который следует вводить в формате OU=Users,DC=carobnio,DC=loc.
Рекомендуемые настройки в консоли администратора следующие:
Шаблон Bind DN - DC=carbonio,DC=loc
Адрес сервера Active Directory - ldap://ad.carbonio.loc:389
Фильтр - (|(userprincipalname=%u@carbonio.loc)(samaccountname=%u))
Поисковая база - DC=carbonio,DC=loc
Логин - оставить пустым
Пароль - оставить пустым.
Помимо этого в данном подразделе администратор может настроить и другие параметры аутентификации. Среди доступных опций
Использование StartTLS при аутентификации
Использование локального пароля в случае недоступности внешнего сервера аутентификации
Ссылка для смены пароля
Адрес перенаправления при выходе из консоли администратора
Адрес перенаправления при выходе из веб-клиента
Автоматический выход пользователей из системы
После ввода всех параметров нажмите на кнопку “Сохранить” для сохранения данных и перезапустите узел Appserver для того, чтобы они вступили в силу.
Настройка в командной строке
Перед началом настройки аутентификации с использованием Active Directory рекомендуется просмотреть и зарезервировать существующие данные для аутентификации. Получить их можно введя команду вида carbonio prov getDomain carbonio.loc | grep -i auth. В ее выводе будут содержаться текущие настройки аутентификации для данного домена.
Для настройки аутентификации при помощи Active Directory следует ввести следующие команды, заменяя URL и другие данные на соответствующие вашей системе:
carbonio prov modifyDomain carbonio.loc zimbraAuthMech ""
carbonio prov modifyDomain carbonio.loc zimbraAuthLdapBindDn ""
carbonio prov modifyDomain carbonio.loc zimbraAuthLdapSearchBase dc=carbonio,dc=loc
carbonio prov modifyDomain carbonio.loc zimbraAuthLdapSearchFilter (|(userprincipalname=%u@carbonio.loc)(samaccountname=%u))
carbonio prov modifyDomain carbonio.loc zimbraAuthLdapURL ldap://ad.carbonio.loc:389После внесения изменений в настройки следует также перезагрузить Carbonio Appserver.
Проверить корректность внесенных изменений можно осуществив аутентификацию с паролем из Active Directory в любом почтовом клиенте с поддержкой Exchange ActiveSync. Среди них, например, почтовый клиент Windows Mail, входящий в базовую поставку Windows начиная с 10-ой версии, а также iPhone и большинство устройств на базе операционной системы Android.
Обращаем ваше внимание, что корректная аутентификация по паролю из AD возможна только в случае, если пользователь ранее не создавал мобильный пароль для EAS. В случае наличия такого пароля вход по данному протоколу с использованием основного пароля будет невозможен.
По вопросам тестирования, приобретения, предоставления лицензии и консультаций обращаться на почту sales@svzcloud.ru к эксклюзивному партнеру Zextras.