В этом году исполняется ровно 20 лет с момента, когда мир впервые увидел службу каталогов Active Directory от Microsoft. Представляющая из себя имплементацию LDAP и Kerberos, именно AD стала тем звеном, которое связало все продукты Microsoft в единую экосистему. Однако спустя 20 лет ИТ-менеджеры все явнее ощущают минусы, связанные с тем, что практически все бизнес-процессы предприятия так или иначе завязаны на программные продукты одной корпорации.
Многочисленные инциденты, начиная от скандалов, связанных со слежкой за пользователями и отказами от локализации накопленных персональных данных, и заканчивая напряженностью в отношениях между США и Россией, послужили своеобразными звоночками, которые заставили ИТ-менеджеров страны задаться вопросами о том, так ли подконтрольна им ИТ-инфраструктура предприятий, как кажется, и что же будет с их инфраструктурой, если в один прекрасный день продукты Microsoft из-за санкций вдруг станут недоступны в нашей стране?
Ответ на эти вопросы не воодушевляет, ведь развернув свою инфраструктуру на программных решениях от одного поставщика, ИТ-менеджеры фактически складывают все яйца в одну корзину. И если несколько лет назад эта корзина казалось довольно крепкой, то сейчас она такого впечатления не производит. Именно поэтому в стране появился устойчивый тренд на если не полную миграцию всей инфраструктуры, то на замещение отдельных её узлов свободными решениями, использование которых исключает перечисленные выше риски.
В числе первых кандидатов на замену, разумеется, оказалась система совместной работы, ведь именно в ней хранится наиболее критичная для любой современной компании информация, а сама система крайне важна для нормального функционирования предприятия. Отличным кандидатом для замены почтового сервера может стать Zimbra Collboration Suite Open-Source с дополнениями Zextras Suite. Данное решение не только обладает широкой функциональностью, но также более выгодно с точки зрения стоимости владения, и лишено рисков, связанных с лицензированием. Кроме того, как мы уже писали, Zimbra Collaboration Suite может интегрироваться с Microsoft AD, а значит, отлично впишется в существующую инфраструктуру предприятия.
Однако после того, как один за другим большинство узлов предприятия будет заменено на свободные аналоги, на повестке обязательно появится вопрос и о замещении Active Directory. Аналогов этого решения очень много, но вслед за отказом от AD обязательно последует необходимость перенастройки других информационных систем, которые сконфигурированы на работу именно с AD. Давайте же посмотрим, какие изменения необходимо внести в настроенную для работы с Active Directory Zimbra, чтобы удалить интеграцию между этими информационными системами.
Если вы настраивали интеграцию Zimbra с AD и автонастройку аккаунтов по нашей инструкции, то порядок действий для ее отключения будет во многом повторять уже пройденный процесс. Только на этот раз следует принять решение о том, что будет использоваться вместо AD. Это может быть любой другой внешний сервер LDAP, либо встроенный в Zimbra LDAP.
Второй путь гораздо проще в осуществлении, но связан с более трудозатратной поддержкой. Так как все пользователи уже существуют в Zimbra LDAP, вам не придется вновь устанавливать и подключать внешний LDAP, а также включать автонастройку аккаунтов в Zimbra Collaboration Suite. Для этого достаточно в администраторской консоли Zimbra в левой боковой панели выбрать пункт Configure, а затем и подпункт Domains. В списке доменов теперь надо выбрать тот, который мы будем использовать и, нажав на выбранном домене правую кнопку мыши, выбрать пункт «Configure Authentification», где и нужно переключить способ авторизации на «Внутренний». При выборе этого метода аутентификации никаких дальнейших настроек производить не потребуется.
Хоть Zimbra LDAP и является, в сущности, LDAP-сервером, в целях безопасности в него был заложен ряд ограничений, из-за которых он не поддерживает некоторые методы аутентификации, и поэтому у вас может получиться использовать его для аутентификации в одних приложениях и не получиться в других приложениях и сервисах на предприятии. Кроме того, крайне плохой идеей будет включать доступ к Zimbra LDAP из внешнего интернета. Именно поэтому, если не вы будете делать Zimbra LDAP основной на предприятии и продолжать использовать Zimbra в сочетании со встроенной LDAP, вам придется добавлять и удалять пользователей вручную, а также вручную управлять их паролями. О том, как это делать, читайте в нашей статье, посвященной парольной политике безопасности в Zimbra.
Первый же путь заключается в развертывании отдельного полнофункционального LDAP-сервера на предприятии и настройке аутентификации в Zimbra на основании данных из него. Вариантов подобных LDAP-серверов масса, именно поэтому мы рассмотрим процесс такой настройки на основе Zentyal LDAP, как бесплатного и свободного решения.
Пусть сервер с Zentyal находится в локальной сети предприятия по адресу 192.168.1.100, в то время как сервер Zimbra имеет FQDN mail.company.ru. Как и в предыдущем случае, для настройки авторизации через внешний LDAP зайдем в консоль администрирования Zimbra. Здесь в левой боковой панели выберем пункт Configure, а затем и подпункт Domains. В списке доменов теперь надо выбрать тот, который мы будем использовать и, нажав на выбранном домене правую кнопку мыши, выбрать пункт «Configure Authentification», где и нужно переключить способ авторизации на «Внешний LDAP». Здесь нам потребуется указать следующие данные:
После этого нужно протестировать работоспособность авторизации через Zentyal LDAP. Для этого нужно создать в Zimbra пользователя, который имеется в Zentyal LDAP и попробовать войти в веб-интерфейс. Если пароль будет правильным, вход увенчается успехом, если же введенный пароль не совпадёт с тем, что хранится в LDAP, то произойдет ошибка входа.
Для того, чтобы пользователи автоматически создавались в Zimbra, необходимо выполнить несколько команд:
После этого при первой успешной попытке входа в почтовый ящик Zimbra по имени и паролю пользователя, внесенного в LDAP, аккаунт будет создаваться автоматически, что избавит администратора от необходимости создавать пользователей в Zimbra вручную.
Таким образом, Zimbra Open-source Edition способна отлично работать не только с AD, но и с любым другим LDAP-сервером, что с одной стороны обеспечивает возможность использовать ее в любой ИТ-инфраструктуре, а с другой стороны позволяет быстро мигрировать с проприетарного ПО на свободное и обратно, без какого-либо ущерба для функциональности. Кроме того, полнофункциональный веб-клиент Zimbra позволяет пользователям получать доступ к ней с любой платформы.
Многочисленные инциденты, начиная от скандалов, связанных со слежкой за пользователями и отказами от локализации накопленных персональных данных, и заканчивая напряженностью в отношениях между США и Россией, послужили своеобразными звоночками, которые заставили ИТ-менеджеров страны задаться вопросами о том, так ли подконтрольна им ИТ-инфраструктура предприятий, как кажется, и что же будет с их инфраструктурой, если в один прекрасный день продукты Microsoft из-за санкций вдруг станут недоступны в нашей стране?
Ответ на эти вопросы не воодушевляет, ведь развернув свою инфраструктуру на программных решениях от одного поставщика, ИТ-менеджеры фактически складывают все яйца в одну корзину. И если несколько лет назад эта корзина казалось довольно крепкой, то сейчас она такого впечатления не производит. Именно поэтому в стране появился устойчивый тренд на если не полную миграцию всей инфраструктуры, то на замещение отдельных её узлов свободными решениями, использование которых исключает перечисленные выше риски.
В числе первых кандидатов на замену, разумеется, оказалась система совместной работы, ведь именно в ней хранится наиболее критичная для любой современной компании информация, а сама система крайне важна для нормального функционирования предприятия. Отличным кандидатом для замены почтового сервера может стать Zimbra Collboration Suite Open-Source с дополнениями Zextras Suite. Данное решение не только обладает широкой функциональностью, но также более выгодно с точки зрения стоимости владения, и лишено рисков, связанных с лицензированием. Кроме того, как мы уже писали, Zimbra Collaboration Suite может интегрироваться с Microsoft AD, а значит, отлично впишется в существующую инфраструктуру предприятия.
Однако после того, как один за другим большинство узлов предприятия будет заменено на свободные аналоги, на повестке обязательно появится вопрос и о замещении Active Directory. Аналогов этого решения очень много, но вслед за отказом от AD обязательно последует необходимость перенастройки других информационных систем, которые сконфигурированы на работу именно с AD. Давайте же посмотрим, какие изменения необходимо внести в настроенную для работы с Active Directory Zimbra, чтобы удалить интеграцию между этими информационными системами.
Если вы настраивали интеграцию Zimbra с AD и автонастройку аккаунтов по нашей инструкции, то порядок действий для ее отключения будет во многом повторять уже пройденный процесс. Только на этот раз следует принять решение о том, что будет использоваться вместо AD. Это может быть любой другой внешний сервер LDAP, либо встроенный в Zimbra LDAP.
Второй путь гораздо проще в осуществлении, но связан с более трудозатратной поддержкой. Так как все пользователи уже существуют в Zimbra LDAP, вам не придется вновь устанавливать и подключать внешний LDAP, а также включать автонастройку аккаунтов в Zimbra Collaboration Suite. Для этого достаточно в администраторской консоли Zimbra в левой боковой панели выбрать пункт Configure, а затем и подпункт Domains. В списке доменов теперь надо выбрать тот, который мы будем использовать и, нажав на выбранном домене правую кнопку мыши, выбрать пункт «Configure Authentification», где и нужно переключить способ авторизации на «Внутренний». При выборе этого метода аутентификации никаких дальнейших настроек производить не потребуется.
Хоть Zimbra LDAP и является, в сущности, LDAP-сервером, в целях безопасности в него был заложен ряд ограничений, из-за которых он не поддерживает некоторые методы аутентификации, и поэтому у вас может получиться использовать его для аутентификации в одних приложениях и не получиться в других приложениях и сервисах на предприятии. Кроме того, крайне плохой идеей будет включать доступ к Zimbra LDAP из внешнего интернета. Именно поэтому, если не вы будете делать Zimbra LDAP основной на предприятии и продолжать использовать Zimbra в сочетании со встроенной LDAP, вам придется добавлять и удалять пользователей вручную, а также вручную управлять их паролями. О том, как это делать, читайте в нашей статье, посвященной парольной политике безопасности в Zimbra.
Первый же путь заключается в развертывании отдельного полнофункционального LDAP-сервера на предприятии и настройке аутентификации в Zimbra на основании данных из него. Вариантов подобных LDAP-серверов масса, именно поэтому мы рассмотрим процесс такой настройки на основе Zentyal LDAP, как бесплатного и свободного решения.
Пусть сервер с Zentyal находится в локальной сети предприятия по адресу 192.168.1.100, в то время как сервер Zimbra имеет FQDN mail.company.ru. Как и в предыдущем случае, для настройки авторизации через внешний LDAP зайдем в консоль администрирования Zimbra. Здесь в левой боковой панели выберем пункт Configure, а затем и подпункт Domains. В списке доменов теперь надо выбрать тот, который мы будем использовать и, нажав на выбранном домене правую кнопку мыши, выбрать пункт «Configure Authentification», где и нужно переключить способ авторизации на «Внешний LDAP». Здесь нам потребуется указать следующие данные:
- LDAP://192.168.1.100:390
- LDAP filter: (&(|(objectclass=inetOrgPerson))|(memberof=cn=mail,ou=groups,dc=company,dc=ru))(uid=%u)) "
- LDAP based search: ou=Users,dc=company,dc=ru
- Bind DN: admin cn=,dc=company,dc=ru
- Bind password: ********
После этого нужно протестировать работоспособность авторизации через Zentyal LDAP. Для этого нужно создать в Zimbra пользователя, который имеется в Zentyal LDAP и попробовать войти в веб-интерфейс. Если пароль будет правильным, вход увенчается успехом, если же введенный пароль не совпадёт с тем, что хранится в LDAP, то произойдет ошибка входа.
Для того, чтобы пользователи автоматически создавались в Zimbra, необходимо выполнить несколько команд:
zmprov md company.ru zimbraAutoProvMode LAZY
zmprov md company.ru zimbraAutoProvLdapURL ldap://192.168.1.100:390
zmprov md company.ru zimbraAutoProvLdapAdminBindDn " admin cn=,dc=company,dc=ru"
zmprov md company.ru zimbraAutoProvLdapAdminBindPassword "********"
zmprov md company.ru zimbraAutoProvLdapSearchFilter " (&(|(objectclass=inetOrgPerson)((memberof=cn=mail,ou=Groups,dc=company,dc=ru))(uid=%u)) "
zmprov md company.ru zimbraAutoProvLdapSearchBase "ou=Users,dc=company,dc=ru"
zmprov md company.ru +zimbraAutoProvAttrMap description=description +zimbraAutoProvAttrMap cn=displayName +zimbraAutoProvAttrMap givenName=givenName +zimbraAutoProvAttrMap sn=sn
zmcontrol restartПосле этого при первой успешной попытке входа в почтовый ящик Zimbra по имени и паролю пользователя, внесенного в LDAP, аккаунт будет создаваться автоматически, что избавит администратора от необходимости создавать пользователей в Zimbra вручную.
Таким образом, Zimbra Open-source Edition способна отлично работать не только с AD, но и с любым другим LDAP-сервером, что с одной стороны обеспечивает возможность использовать ее в любой ИТ-инфраструктуре, а с другой стороны позволяет быстро мигрировать с проприетарного ПО на свободное и обратно, без какого-либо ущерба для функциональности. Кроме того, полнофункциональный веб-клиент Zimbra позволяет пользователям получать доступ к ней с любой платформы.
Комментарии (10)
koluka
06.08.2019 13:02Фу. Вместо плюсов нового решения и дополнительного функционала использовать как аргументы санкции и политические страшилки… Ощущения — будто телевизор включили.
KaterinaZextras Автор
06.08.2019 13:09Добрый день, LDAP — это далеко не новое решение и дополнительной функциональности у него нет. Однако, если вспомнить недавнюю историю с торговыми санкциями США в отношении Huawei, иметь запасной вариант всегда полезно.
HOPMAHdELL
06.08.2019 16:30США в итоге испугались и сняли все санкции с Huawei, более того разрешили закупать их продукцию для сетей общего пользования…
KaterinaZextras Автор
06.08.2019 17:02Тем не менее это все равно стало серьезным ударом по Huawei. Компания уже приступила к разработке собственной мобильной ОС, так как никто не может гарантировать, что ситуация не повторится.
HOPMAHdELL
06.08.2019 17:28Статья весьма интересная, но Zentyal например точно не подойдет для гос.организаций в качестве импортозамещения… Тогда уж какой-нибудь Astra server + Samba 4 AD.
KaterinaZextras Автор
06.08.2019 17:51Кстати, могу сообщить, что Zimbra Open-Source Edition и Zextras Suite в скором будущем планируется протестировать на совместимость с Astra Linux.
EvGenius1900
07.08.2019 09:32Ну вообще в принципе давать доступ службе каталогов в интернет не имеет особого смысла, и является не очень хорошей идеей.
Но вообще было бы интересно чтобы появился достойный аналог AD, потому что пока это золотой стандарт
HOPMAHdELL
Насколько мне помнится Zentyal не настолько бесплатный как кажется… там есть свои ограничения.
KaterinaZextras Автор
Бесплатная версия Zentyal не ограничивает пользователя при использовании LDAP. Zentyal был выбран в качестве примера исключительно из-за того, что этот дистрибутив нацелен на то, чтобы быть максимально понятным для системных администраторов, которые до этого использовали Windows Server, на котором, собственно, и работает AD, с которой и требуется перейти на LDAP