In diesem Jahr ist genau 20 Jahre vergangen, seit Microsoft Active Directory zum ersten Mal auf der Welt vorgestellt wurde. Als Implementierung von LDAP und Kerberos wurde AD zum Bindeglied, das alle Microsoft-Produkte zu einem einzigen Ökosystem verband. Nach 20 Jahren sind sich IT-Manager jedoch zunehmend der Nachteile bewusst, die damit verbunden sind, dass fast alle Geschäftsprozesse des Unternehmens in irgendeiner Weise an die Softwareprodukte eines Unternehmens gebunden sind.
Zahlreiche Vorfälle, angefangen von Skandalen im
Zusammenhang mit der Überwachung von Benutzern und der
Verweigerung der Lokalisierung gesammelter personenbezogener Daten bis hin zu Spannungen zwischen den USA und Russland, dienten als eine Art Anruf, bei dem sich die IT-Manager des Landes fragten, ob die IT von ihr kontrolliert wird. - die Infrastruktur von Unternehmen, wie es scheint, und was wird mit ihrer Infrastruktur geschehen, wenn eines Tages Microsoft-Produkte in unserem Land aufgrund von Sanktionen plötzlich nicht mehr verfügbar sind?
Die Antwort auf diese Fragen ist nicht ermutigend, da IT-Manager bei der Bereitstellung ihrer Infrastruktur für Softwarelösungen eines Lieferanten tatsächlich alle Eier in einen Korb legen. Und wenn dieser Korb vor einigen Jahren ziemlich stark schien, macht er jetzt keinen solchen Eindruck. Aus diesem Grund ist im Land ein stetiger Trend zu beobachten, wenn nicht die vollständige Migration der gesamten Infrastruktur, dann die einzelnen Knoten durch kostenlose Lösungen zu ersetzen, deren Verwendung die oben genannten Risiken beseitigt.
Zu den ersten Kandidaten für einen Ersatz gehörte natürlich das Kollaborationssystem, da es die wichtigsten Informationen für jedes moderne Unternehmen speichert und das System selbst für das normale Funktionieren des Unternehmens äußerst wichtig ist. Zimbra Collboration Suite Open-Source mit den Ergänzungen der Zextras Suite kann ein hervorragender Kandidat für den Austausch des Mailservers werden. Diese Lösung verfügt nicht nur über eine breite Funktionalität, sondern ist auch in Bezug auf die Betriebskosten rentabler und frei von den mit der Lizenzierung verbundenen Risiken. Darüber hinaus kann die Zimbra Collaboration Suite, wie bereits geschrieben, in Microsoft AD integriert werden, sodass sie sich perfekt in die vorhandene Infrastruktur des Unternehmens einfügt.
Nacheinander wird jedoch die Mehrheit der Unternehmensknoten durch kostenlose Analoga ersetzt, und die Frage des Ersetzens von Active Directory wird sicherlich auf der Tagesordnung stehen. Es gibt viele Analoga dieser Lösung, aber nach dem Verzicht auf AD wird die Notwendigkeit einer Neukonfiguration anderer Informationssysteme, die speziell für die Arbeit mit AD konfiguriert sind, zwangsläufig folgen. Lassen Sie uns sehen, welche Änderungen an Zimbra vorgenommen werden müssen, das für die Verwendung mit Active Directory konfiguriert ist, um die Integration zwischen diesen Informationssystemen zu entfernen.
Wenn Sie die Integration von Zimbra in AD und die automatische Konfiguration von Konten
gemäß unseren Anweisungen einrichten, wird der Vorgang zum Deaktivieren weitgehend bereits abgeschlossen. Nur dieses Mal sollten Sie entscheiden, was anstelle von AD verwendet wird. Dies kann ein beliebiger anderer externer LDAP-Server sein oder in Zimbra LDAP integriert sein.
Der zweite Weg ist viel einfacher zu implementieren, erfordert jedoch eine arbeitsintensivere Unterstützung. Da alle Benutzer bereits in Zimbra LDAP vorhanden sind, müssen Sie externes LDAP nicht erneut installieren und erneut verbinden sowie die automatische Konfiguration von Konten in Zimbra Collaboration Suite aktivieren. Wählen Sie dazu einfach das Element
Konfigurieren in der Zimbra-Administrationskonsole im linken Seitenbereich und dann das
Unterelement Domänen aus . In der Liste der Domains müssen Sie nun die Domain auswählen, die wir verwenden möchten, und mit der rechten Maustaste auf die ausgewählte Domain
"Authentifizierung konfigurieren" auswählen, wo Sie die Autorisierungsmethode auf
"Intern" ändern müssen . Wenn Sie diese Authentifizierungsmethode auswählen, sind keine weiteren Einstellungen erforderlich.
Obwohl Zimbra LDAP im Wesentlichen ein LDAP-Server ist, wurden aus Sicherheitsgründen eine Reihe von Einschränkungen eingeführt, aufgrund derer einige Authentifizierungsmethoden nicht unterstützt werden. Daher können Sie ihn möglicherweise in einigen Anwendungen zur Authentifizierung verwenden und schlagen fehl in anderen Anwendungen und Diensten im Unternehmen. Eine äußerst schlechte Idee wäre auch, über das externe Internet auf Zimbra LDAP zuzugreifen. Wenn Sie Zimbra LDAP nicht zum wichtigsten LDAP im Unternehmen machen und Zimbra weiterhin in Kombination mit dem integrierten LDAP verwenden möchten, müssen Sie Benutzer manuell hinzufügen und löschen sowie ihre Kennwörter manuell verwalten. Informationen dazu finden Sie in
unserem Artikel zur Sicherheitsrichtlinie für Zimbra-Kennwörter.
Die erste Möglichkeit besteht darin, einen separaten LDAP-Server mit vollem Funktionsumfang im Unternehmen bereitzustellen und die Authentifizierung in Zimbra basierend auf den Daten von Zimbra zu konfigurieren. Es gibt viele Optionen für solche LDAP-Server, weshalb wir den Prozess einer solchen Konfiguration auf der Basis von Zentyal LDAP als kostenlose und kostenlose Lösung betrachten werden.
Der Server mit Zentyal befindet sich im lokalen Netzwerk des Unternehmens unter der Adresse 192.168.1.100, während der Zimbra-Server über den
vollqualifizierten Domänennamen mail.company.ru verfügt . Wie im vorherigen Fall gehen wir zur Konfiguration der Autorisierung über externes LDAP zur
Zimbra-Administrationskonsole . Wählen Sie hier im linken Seitenbereich
Konfigurieren und dann das
Unterelement Domänen . In der Liste der Domänen müssen Sie nun diejenige auswählen, die wir verwenden möchten, und mit der rechten Maustaste auf die ausgewählte Domäne den Punkt
"Authentifizierung konfigurieren" auswählen, in dem Sie die Autorisierungsmethode auf
"Externes LDAP" umstellen müssen. Hier müssen wir folgende Daten angeben:
- LDAP: //192.168.1.100: 390
- LDAP-Filter: (& (| (objectclass = inetOrgPerson)) | (memberof = cn = mail, ou = groups, dc = company, dc = ru)) (uid =% u)) "
- LDAP-basierte Suche: ou = Benutzer, dc = Firma, dc = ru
- Bindungs-DN: admin cn =, dc = Firma, dc = ru
- Passwort binden: ********
Danach müssen Sie die Autorisierung über Zentyal LDAP testen. Erstellen Sie dazu einen Benutzer in Zimbra, der in Zentyal LDAP verfügbar ist, und versuchen Sie, die Weboberfläche aufzurufen. Wenn das Kennwort korrekt ist, ist die Anmeldung erfolgreich. Wenn das eingegebene Kennwort nicht mit dem in LDAP gespeicherten Kennwort übereinstimmt, tritt der Anmeldefehler auf.
Um Benutzer in Zimbra automatisch zu erstellen, müssen Sie mehrere Befehle ausführen:
zmprov md company.ru zimbraAutoProvMode LAZY zmprov md company.ru zimbraAutoProvLdapURL ldap://192.168.1.100:390 zmprov md company.ru zimbraAutoProvLdapAdminBindDn " admin cn=,dc=company,dc=ru" zmprov md company.ru zimbraAutoProvLdapAdminBindPassword "********" zmprov md company.ru zimbraAutoProvLdapSearchFilter " (&(|(objectclass=inetOrgPerson)((memberof=cn=mail,ou=Groups,dc=company,dc=ru))(uid=%u)) " zmprov md company.ru zimbraAutoProvLdapSearchBase "ou=Users,dc=company,dc=ru" zmprov md company.ru +zimbraAutoProvAttrMap description=description +zimbraAutoProvAttrMap cn=displayName +zimbraAutoProvAttrMap givenName=givenName +zimbraAutoProvAttrMap sn=sn zmcontrol restart
Nach dem ersten erfolgreichen Versuch, das Zimbra-Postfach mit dem in LDAP eingegebenen Benutzernamen und Kennwort einzugeben, wird das Konto automatisch erstellt, sodass der Administrator keine Benutzer in Zimbra manuell erstellen muss.
Somit kann Zimbra Open-Source Edition nicht nur perfekt mit AD, sondern auch mit jedem anderen LDAP-Server zusammenarbeiten, der einerseits die Möglichkeit bietet, ihn in jeder IT-Infrastruktur zu verwenden, und andererseits eine schnelle Migration von proprietärer Software auf ermöglicht frei und zurück, ohne funktionale Schäden. Darüber hinaus können Benutzer mit dem voll ausgestatteten Zimbra-Webclient von jeder Plattform aus darauf zugreifen.
Bei allen Fragen zur Zextras Suite können Sie sich per E-Mail an katerina@zextras.com an den Vertreter von Zextras Katerina Triandafilidi wenden