Terapkan Sumber Terbuka Kolaborasi Zimbra, otorisasi melalui AD dan pembuatan kotak pesan otomatis

1. Sumber data

Server OS : CentOS 7


Domain Windows : home.local
Alamat dan nama server surat : 10.40.0.80 / zimbramail.home.local
Pengguna untuk mengakses direktori AD : ZimbraLDAP dengan kata sandi qwe123

2. Perangkap

Proses instalasi Zimbra sendiri cukup sederhana. Anda perlu menginstal paket dependen, mengunduh arsip, menjalankan skrip, dan menjawab pertanyaan pemasang dengan benar. Tetapi, seperti di tempat lain, ada beberapa kesulitan kecil.

1) Zimbra sensitif terhadap nama host. Hal pertama yang harus dilakukan sebelum instalasi adalah membawa file / etc / hosts ke form:

127.0.0.1 localhost.localdomain localhost 10.40.0.80 zimbramail.home.local zimbramail 

2) Tanpa akses ke internet, keajaiban tidak akan terjadi. Jika tidak ada akses Internet, maka skrip akan membeku selama 20-40 menit, dan sebagai hasilnya, tentu saja, akan berakhir dengan kesalahan. Tampaknya, mengapa kita memerlukan server surat tanpa akses ke Internet, tetapi "yang tidak terjadi di dunia sublunar."

3. Instalasi langsung

Jadi intinya!

1) Instalasi dependensi:

 $ yum install perl perl-core ntpl nmap sudo libidn gmp libaio libstdc++ unzip sysstat sqlite wget 

2) Unduh arsip:

 $ wget https://files.zimbra.com/downloads/8.8.11_GA/zcs-8.8.11_GA_3737.RHEL7_64.20181207111719.tgz 

3) Buka ritsleting arsip yang diunduh, buka direktori dan mulai instalasi:

 $ tar –xzf zcs-8.8.11_GA_3737.RHEL7_64.20181207111719.tgz $ cd zcs-8.8.11_GA_3737.RHEL7_64.20181207111719 $ ./install.sh --platform-override 

4) Setuju dengan perjanjian lisensi dan penggunaan repositori Zimbra:

 Do you agree with the terms of the software license agreement? [N] Y Use Zimbra's package repository [Y] Y 

5) Pilih komponen yang diperlukan dan konfirmasikan perubahan:


6) Selanjutnya, Anda harus memasukkan kata sandi administrator untuk Zimbra:


Sisa menu ini tidak menarik bagi kami. Tapi Secara default, Zimbra akan membuat domain internal sendiri dalam gambar dan kemiripan dengan zmhostname (baca hostname), yaitu domain tersebut akan menjadi domain zimbramail.home.local. Opsi ini cocok untuk saya, jika tidak, dan nama domain harus benar-benar sesuai dengan [home.local], maka saya sarankan segera mengubah alamat untuk menerima pemberitahuan pembaruan Versi dan sumber pembaruan Versi ke admin@home.local

7) Di sini Anda perlu mengklik tombol [a] untuk menerapkan perubahan, kemudian setuju untuk menyimpan konfigurasi ke file dan tekan [Enter] lagi untuk melanjutkan instalasi.

Sistem tidak hang setelah kata "selesai", ia menunggu kunci untuk ditekan.


Selanjutnya, skrip instalasi berfungsi, setelah itu menawarkan untuk menekan tombol apa saja untuk melanjutkan

8) Setelah instalasi selesai, Anda perlu membuka port yang diperlukan di firewall. Daftar port dapat ditemukan di Wiki pengembang di

9) Saya sangat menyarankan Anda untuk memastikan bahwa Zimbra memahami semuanya dengan benar, dan zmhostname yang cocok dengan nama host server:

 $ su – zimbra $ zmhostname zimbramail.home.local 

Jika nama tidak cocok, lakukan hal berikut:

a) pertama-tama, periksa apakah ada catatan A dan MX dalam DNS untuk zmhostname baru kami, jika tidak, buatlah

b)

 $ su – zimbra /opt/zimbra/libexec/zmsetservername -n [servername] 

c) kami membersihkan zmloggerhostmap:

 $ zmloggerhostmap 

Perintah ini mencantumkan semua Peta Nama Host.

Hapus dengan perintah:

 $ zmloggerhostmap -d localhost localhost.localdomain 

di mana localhost dan localhost.localdomain perlu diganti dengan garis dari daftar Peta Hostname
kemudian mulai ulang Zimbra

10) Kami memulai server:

 $ su – zimbra $ zmcontrol start 

Sekarang server tersedia di https: //zimbramail.home.local: 7071



11) Untuk dapat mengakses server melalui https dan http, kami melakukan hal berikut:

 $ su – zimbra $ zmtlsctl both $ zmcontrol restart 

12) Bagi mereka yang tidak memiliki akses ke Internet, atau jika server hidup di belakang NAT, Anda masih perlu mendaftarkan perintah:

 $ su – zimbra $ zmprov ms zimbramail.home.local zimbraMtaLmtpHostLookup native $ zmcontrol restart 

zmprov adalah utilitas untuk mengelola pengaturan server, kita masih akan memerlukannya saat kita perlu mengonfigurasi pembuatan kotak surat otomatis, cadangan dan pemulihannya, serta pembuatan otomatis dan pembaruan milis. Tetapi lebih lanjut tentang itu nanti.

13) Masalah dengan sertifikat yang ditandatangani sendiri diselesaikan dengan mengimpor sertifikat ke server dari otoritas sertifikasi Anda.

Atau dengan mengekspor sertifikat dari server Zimbra:

 $ cd /opt/zimbra/ssl/zimbra/ca $ openssl x509 -in ca.pem -outform DER -out ~/zimbra-mail-example.cer 

diikuti dengan mengekspornya ke mesin klien, tangan, atau kebijakan grup domain dengan memasang sertifikat di "Otoritas Sertifikasi Root Tepercaya" dari mesin klien.

Ini menyelesaikan instalasi dan pengaturan awal.

4. Konfigurasikan otorisasi melalui LDAP

Pertama-tama, Anda perlu membuat pengguna dalam AD untuk mengakses direktori. Saya memilikinya ZimbraLDAP, dan kemudian pergi ke konsol admin melalui web dan mengkonfigurasi otorisasi di domain zimbramail.home.local.

1) Buka "pengaturan" - "domain", RMB berdasarkan nama domain - "konfigurasikan otentikasi":



2) Pilih "Direktori Aktif Eksternal", klik berikutnya:



3) Di bidang "Nama Domain AD" masukkan nama domain, di bidang "ldap: //" tulis nama domain atau nama pengontrol domain, atau IP pengendali domain. Saya memiliki beberapa pengontrol, jadi saya menulis nama domain. Port tidak berubah. Klik selanjutnya:



4) Pengikatan LDAP tidak berubah.

5) Ringkasan konfigurasi otentikasi. Nama pengguna ZimbraLDAP, kata sandi qwe123. Klik tombol "test":



Menyiapkan grup eksternal bertanggung jawab atas tempat tepatnya dalam AD Zimbra akan mencari pengguna dan filter mana yang akan diterapkan. Anda dapat menerapkan filter:

 (&(objectClass=user)(objectClass=person)) 

dalam hal ini, hanya objek pengguna dan orang AD yang akan dipilih. Dan parameter Basis Pencarian LDAP Grup Eksternal tidak akan digunakan, itu akan diganti oleh " zimbraAutoProvLdapSearchBase " selama konfigurasi mode EAGER.

Sekarang pengguna akan masuk dengan kata sandi AD mereka. Dan bahkan ketika membuat kotak surat baru, kata sandi tidak dapat diatur.

5. Konfigurasikan pembuatan kotak surat otomatis

Sedikit teori:

Zimbra memiliki 3 opsi untuk membuat kotak:

EAGER - sepenuhnya otomatis, yang secara berkala memindai AD dan membuat kotak surat untuk pengguna baru.

LAZY - semi-otomatis, yang membuat kotak surat pertama kali pengguna masuk ke server surat di bawah kredensial domain.

MANUAL - pencarian manual dan pemilihan akun yang Anda perlukan untuk membuat kotak surat.

Untuk alasan yang jelas, mode MANUAL hanya cocok untuk perusahaan kecil dengan pergantian staf yang lamban. Mode LAZY cocok untuk menggunakan email dengan antarmuka web, tanpa menghubungkan klien email. Kedua opsi tidak cocok untuk saya, karena tugasnya adalah mengotomatiskan secara maksimal (instalasi otomatis aplikasi klien Zimbra Desktop, sehingga pengguna hanya perlu memasukkan kata sandi masuk dan mengakses surat). Karena itu, hanya EAGER. Ya, lebih mudah, jujur ​​saja.

Untuk kenyamanan mengedit dan menerapkan parameter, lebih mudah dan lebih nyaman untuk membuat file. Biarkan / tmp / prov

Isi file adalah sebagai berikut:


Beberapa teori lagi:

File ini berisi perintah untuk menetapkan variabel. Jadi, misalnya, parameter zimbraAutoProvAttrMap cn = cn berarti Zimbra akan membentuk kotaknya sedemikian rupa sehingga "nama tampilan" (CN dalam AD) akan diganti dalam bidang "nama tampilan" di Zimbra.

Parameter zimbraAutoProvLdapAdminBindDn bertanggung jawab untuk akun yang akan digunakan Zimbra untuk mengakses direktori AD. Dalam hal ini, "CN = ZimbraLDAP, OU = HOME_Users, DC = home, DC = local", yang berarti yang berikut: akun dengan nama tampilan ZimbraLDAP disimpan di OU HOME_Users yang terletak di akar home.local domain akan digunakan

zimbraAutoProvLdapAdminBindPassword menyimpan kata sandi untuk akun ZimbraLDAP

zimbraAutoProvLdapBindDn menyimpan akun administrator server Zimbra untuk domain zimbramail.home.local

zimbraAutoProvLdapSearchBase bertanggung jawab untuk OU, di mana Zimbra akan mencari akun domain untuk membuat kotak surat. Dalam kasus saya, ini adalah wadah yang sama dengan yang digunakan pengguna ZimbraLDAP

zimbraAutoProvPollingInterval adalah periode menghubungi AD untuk mencari akun baru.

Dengan sisa parameter, semuanya jelas.

Di situs pengembang tertulis bahwa jika Anda menggunakan versi Zimbra hingga 8.0.8, maka agar mode EAGER berfungsi, Anda juga perlu mengatur parameter zimbraAutoProvLastPolledTimestamp ke nilai kosong "", jika tidak maka tidak akan berfungsi lebih dari satu kali.

Selanjutnya, jalankan perintah:

 $ su – zimbra $ zmprov < /tmp/prov 

Untuk melihat semua nilai zmprov, Anda dapat memasukkan perintah:

 $ su – zimbra $ zmprov gd zimbramail.home.local 

Anda dapat mengedit parameter menggunakan utilitas zmprov yang sama, menulis ulang nilai variabel (utilitas - aksi - domain - variabel - nilai) dapat membantu untuk debugging:

 $ su – zimbra $ zmprov md zimbramail.home.local zimbraAutoProvBatchSize 200 

Di situs pengembang ada tabel kecil Pemecahan masalah kesalahan LDAP. Log autoboot ditulis dalam /opt/zimbra/log/mailbox.log

Tautan

Dan sedikit reservasi lagi. Saya mendapat umpan balik dari LevZ , yang mengatur server dari awal. Versi 8.8.12_GA_3794.RHEL7_64_20190329045002 RHEL7_64 edisi FOSS, tambalan proksi 8.8.12_P1.

Begini masalahnya: setelah instalasi bersih, parameter "zimbraAutoProvScheduledDomains" perlu diinisialisasi - jalankan perintah "ms zimbraAutoProvScheduledDomains" tanpa tanda "+". Jika Anda segera menulis "+ zimbraAutoProvScheduledDomains", maka itu tidak direkam dan prosesnya tidak dimulai.

Terima kasih kepada orang tersebut atas informasinya!

6. Menginstal aplikasi klien

Unduh paket msi versi terbaru dari situs web resmi. Kami menyalinnya ke folder jaringan bersama yang dapat diakses oleh semua orang untuk membaca. Anda bisa menyalinnya ke Netlogon, tapi paketnya lebih dari 100 MB, jadi saya memutuskan untuk menggunakan bola.

Zimbra Desktop menggunakan java, yang berarti Anda harus mengunduhnya dan meletakkannya di folder yang sama.
Lebih lanjut untuk mencicipi - KIX, GPO, tangan. Saya menggunakan GPO.

Dalam bola yang sama, buat file installZimbra.cmd dengan konten berikut:

 \\SharedFolder\jrex64.exe INSTALL_SILENT=Enable \\SharedFolder\ZimbraInstall.msi /q /norestart 

Tambahkan ke bagian "konfigurasi komputer" - "konfigurasi Windows" - "Skrip (mulai / akhir)" - "skrip instalasi" Startup "dibuat sebelumnya. Script akan menginstal java dan Zimbra Desktop dalam mode diam dan tidak akan membutuhkan reboot. Berikutnya - pesta pora administrator fantasi.

Tapi Untuk mengonfigurasi Zimbra Desktop di server kami, Anda perlu mengarahkan parameter dengan tangan Anda.



Oleh karena itu, untuk pengguna, Anda perlu membuat semacam memo instruksi, di bidang apa yang perlu Anda kendarai, dan tombol mana yang harus diklik untuk mengakses email. Secara umum, ini tidak sulit.

Kesimpulan

Dengan demikian, kami sangat cepat dan cukup cepat menerapkan sistem interaksi perusahaan gratis yang didasarkan pada Zimbra Collaboration Suite, mengatur interaksinya dengan domain, menyederhanakan pembuatan kotak surat dan menghilangkan masalah dengan banyak akun tambahan.

Menurut pendapat saya, Zimbra adalah alat yang cukup kuat untuk segmen korporat. Tetapi sejumlah besar artikel telah ditulis tentang ini, saya tidak akan menyemprotkannya.

PS:
Artikel selanjutnya akan fokus pada mencadangkan dan memulihkan kotak surat Zimbra OSE.
Artikel ketiga membahas tentang pembuatan otomatis dan pembaruan milis berdasarkan grup pengguna AD di Zimbra OSE.