Одним из самых простых и удобных способов управления парольной политикой безопасности на предприятии - централизованная аутентификация. Благодаря тому, что проверка подлинности проходит на едином сервере, все операции по смене паролей также происходят в одной информационной системе, а настройка парольной политики безопасности производится единожды. В данной статье мы расскажем о том, как интегрировать Carbonio с внешней Active Directory или внешним LDAP, которые используются на предприятии для аутентификации пользователей.

Данная инструкция подойдет как для пользователей бесплатной версии Carbonio Community Edition, так и коммерческой версии Carbonio.

Аутентификация в Active Directory

Настроить внешнюю аутентификацию с имеющимся сервером Active Directory можно как в консоли администратора, так и в командной строке.

Принцип ее работы заключается в том, что когда пользователь вводит имя своей учетной записи и пароль, данные сличаются не с хранящимися в Carbonio LDAP хэшами паролей, а передаются на внешний сервер AD, где и происходит проверка подлинности. В результате проверки Carbonio получает ответ от Active Directory, который либо подтверждает успешную аутентификацию, либо не подтверждает. На основании этого ответа и осуществляется вход пользователя, либо отображается соответствующая ошибка.

Для настройки в консоли администратора перейдите в раздел Домены - test.carbonio.local - Проверка подлинности

В открывшемся окне выберите метод авторизации внешний Active Directory и укажите ряд необходимых параметров:

Шаблон уникального имени - используйте макросы типа %u, например uid=%u,dc=ad,dc=carbonio,dc=local)

URL - укажите доменное имя или IP-адрес сервера AD, например ad.carbonio.local:389

Фильтр - в качестве фильтра укажите использование только тех учетных записей, которые соответствуют живым пользователям в домене, например (&(objectCategory=person)(objectClass=user))

Базовый поиск - укажите запрос, по которому будут находиться все учетные записи в домене, например (dc=ad,dc=carbonio,dc=local)

Пользователь - укажите имя пользователя, который имеет права на чтение в ветке LDAP, в которой находятся учетные записи вашего почтового домена (Может использоваться имя глобального администратора AD)

Пароль - укажите пароль пользователя, который имеет права на чтение в ветке LDAP, в которой находятся учетные записи вашего почтового домена (Может использоваться пароль глобального администратора AD)

Расположенная ниже опция “Попробуйте локальное управление паролями в случае сбоя другими методами” позволяет помимо пароля из Active Directory использовать для входа и локальный пароль Carbonio. Это может быть полезно в случае отказа или недоступности сервера AD.

Когда все настройки введены, нажмите кнопку “Войти и подтвердить”, чтобы проверить корректность введенных данных. Если соединение успешно, нажмите “Сохранить”, чтобы для сохранения введенных настроек.

В командной строке аутентификация настраивается путем редактирования нескольких атрибутов для настраиваемого домена. Рассмотрим на примере почтового домена test.carbonio.local, пользователи из которого будут аутентифицироваться в домене ad.carbonio.local

• Механизм аутентификации - carbonio prov modifyDomain test.carbonio.local zimbraAuthMech ad

• Шаблон уникального имени - carbonio prov modifyDomain test.carbonio.local zimbraAuthLdapBindDn uid=%u,dc=ad,dc=carbonio,dc=local

• Имя пользователя для поиска и аутентификации - carbonio prov modifyDomain test.carbonio.local zimbraAuthLdapSearchBindDn uid=zextras,dc=ad,dc=carbonio,dc=local

• Пароль пользователя для поиска и аутентификации - carbonio prov modifyDomain test.carbonio.local zimbraAuthLdapSearchBindPassword 654321

• Поисковая база - carbonio prov modifyDomain test.carbonio.local zimbraAuthLdapSearchBase dc=ad,dc=carbonio,dc=local

• Фильтр поиска - carbonio prov modifyDomain test.carbonio.local zimbraAuthLdapSearchFilter samaccountname=%u

• Адрес сервера Active Directory - carbonio prov modifyDomain test.carbonio.local zimbraAuthLdapURL ldap://ad.carbonio.local

В случае, если вы хотите также использовать и локальные пароли Carbonio, используйте команду carbonio prov modifyDomain test.carbonio.local zimbraAuthFallbackToLocal TRUE для включения данной функции и carbonio prov modifyDomain test.carbonio.local zimbraAuthFallbackToLocal FALSE для отключения.

Аутентификация пользователей Carbonio во внешнем LDAP настраивается точно так же, как и для Active Directory.

Аутентификация пользователей вне шаблона

Пример настройки аутентификации, приведенный выше, распространяется на весь домен и корректно работает только в том случае, если в домене на стороне Active Directory или LDAP есть пользователи с теми же именами, что и в Carbonio.

В случае, если такого паттерна нет и учетные записи пользователей на стороне Active Directory или LDAP имеют другие имена, потребуется настройка BindDN для каждого такого пользователя отдельно.

Делается это при помощи командной строки. К примеру, команда carbonio prov modifyAccount zextras@test.carbonio.local zimbraAuthLdapBindDn uid=admin,dc=ad,dc=carbonio,dc=local поставит в соответствие учетной записи Carbonio zextras@test.carbonio.local учетную запись admin@ad.carbonio.local. 

При этом, если вы ранее настроили аутентификацию по шаблону для всего домена, все учетные записи, подходящие под настроенный шаблон смогут использовать введенные настройки для аутентификации и дополнительно указывать для них Bind DN не потребуется.

По вопросам тестирования, приобретения, предоставления лицензии и консультаций обращаться на почту sales@svzcloud.ru к эксклюзивному партнеру Zextras.

Получить информацию и обменяться информацией о Carbonio CE вы можете в группах в Telegram CarbonioMail и Carbonio CE Unofficial