Implemente o código aberto do Zimbra Collaboration, autorize via AD e crie caixas de correio automaticamente

1. Os dados de origem

Sistema operacional do servidor : CentOS 7


Domínio do Windows : home.local
Endereço e nome do servidor de correio : 10.40.0.80 / zimbramail.home.local
Usuário para acessar o diretório AD : ZimbraLDAP com senha qwe123

2. Armadilhas

O processo de instalação do Zimbra em si é bastante simples. Você precisa instalar pacotes dependentes, baixar o arquivo morto, executar o script e responder corretamente às perguntas do instalador. Mas, como em qualquer outro lugar, existem algumas pequenas dificuldades.

1) Zimbra é sensível ao nome do host. A primeira coisa a fazer antes da instalação é trazer o arquivo / etc / hosts para o formulário:

127.0.0.1 localhost.localdomain localhost 10.40.0.80 zimbramail.home.local zimbramail 

2) Sem acesso à internet, um milagre não acontecerá. Se não houver acesso à Internet, o script será congelado por 20 a 40 minutos e, como resultado, é claro, terminará com um erro. Parece, por que precisamos de um servidor de correio sem acesso à Internet, mas "o que simplesmente não acontece no mundo sublunar".

3. instalação direta

Então, ao ponto!

1) Instalação de dependências:

 $ yum install perl perl-core ntpl nmap sudo libidn gmp libaio libstdc++ unzip sysstat sqlite wget 

2) Baixar arquivo:

 $ wget https://files.zimbra.com/downloads/8.8.11_GA/zcs-8.8.11_GA_3737.RHEL7_64.20181207111719.tgz 

3) Descompacte o arquivo baixado, vá para o diretório e inicie a instalação:

 $ tar –xzf zcs-8.8.11_GA_3737.RHEL7_64.20181207111719.tgz $ cd zcs-8.8.11_GA_3737.RHEL7_64.20181207111719 $ ./install.sh --platform-override 

4) Concorde com o contrato de licença e o uso do repositório Zimbra:

 Do you agree with the terms of the software license agreement? [N] Y Use Zimbra's package repository [Y] Y 

5) Selecione os componentes necessários e confirme a alteração:


6) Em seguida, você precisa digitar a senha de administrador para o Zimbra:


O restante deste menu não nos interessa muito. Mas Por padrão, o Zimbra criará seu próprio domínio interno na imagem e semelhança de seu zmhostname (ler nome do host), ou seja, será o domínio zimbramail.home.local. Esta opção é adequada para mim, se você não tiver, e o nome do domínio deve corresponder estritamente a [home.local], então recomendo alterar imediatamente os endereços para receber a notificação de atualização de versão e a fonte de atualização de versão para admin@home.local

7) Aqui você precisa clicar no botão [a] para aplicar as alterações, depois concorda em salvar a configuração em um arquivo e pressionar [Enter] novamente para continuar a instalação.

O sistema não travou após a palavra "pronto", aguarda que uma tecla seja pressionada.


Em seguida, o script de instalação funciona, após o qual oferece pressionar qualquer tecla para continuar

8) Após a conclusão da instalação, você precisa abrir as portas necessárias no firewall. A lista de portas pode ser encontrada no Wiki do desenvolvedor em

9) Eu recomendo fortemente que você verifique se o Zimbra entendeu tudo corretamente e que seu zmhostname corresponde ao nome do host do servidor:

 $ su – zimbra $ zmhostname zimbramail.home.local 

Se o nome não corresponder, faça o seguinte:

a) primeiro, verifique se há registros A e MX no DNS para o nosso novo zmhostname; caso contrário, crie-os

b)

 $ su – zimbra /opt/zimbra/libexec/zmsetservername -n [servername] 

c) limpamos o zmloggerhostmap:

 $ zmloggerhostmap 

Este comando lista todos os Mapa de Nomes de Host.

Excluir por comando:

 $ zmloggerhostmap -d localhost localhost.localdomain 

onde localhost e localhost.localdomain precisam ser substituídos por uma linha da lista Mapa de Nomes de Host
depois reinicie o Zimbra

10) Iniciamos o servidor:

 $ su – zimbra $ zmcontrol start 

Agora, o servidor está disponível em https: //zimbramail.home.local: 7071



11) Para poder acessar o servidor via https e http, fazemos o seguinte:

 $ su – zimbra $ zmtlsctl both $ zmcontrol restart 

12) Para aqueles que não têm acesso à Internet, ou se o servidor estiver protegido por NAT, você ainda precisará registrar o comando:

 $ su – zimbra $ zmprov ms zimbramail.home.local zimbraMtaLmtpHostLookup native $ zmcontrol restart 

O zmprov é um utilitário para gerenciar as configurações do servidor; também será necessário quando precisarmos configurar a criação automática de caixas de correio, seu backup e recuperação, bem como a criação e atualização automáticas de listas de correio. Mas mais sobre isso mais tarde.

13) O problema com o certificado autoassinado é resolvido importando o certificado para o servidor da sua autoridade de certificação.

Ou exportando um certificado de um servidor Zimbra:

 $ cd /opt/zimbra/ssl/zimbra/ca $ openssl x509 -in ca.pem -outform DER -out ~/zimbra-mail-example.cer 

seguido pela exportação para máquinas clientes, mãos ou políticas de grupo de um domínio, instalando um certificado nas "Autoridades de certificação raiz confiáveis" das máquinas clientes.

Isso completa a instalação e a configuração inicial.

4. Configure a autorização através do LDAP

Primeiro de tudo, você precisa criar um usuário no AD para acessar o diretório. Eu tenho o ZimbraLDAP e, em seguida, acesse o console de administração pela Web e configure a autorização no domínio zimbramail.home.local.

1) Vá para "configurações" - "domínios", RMB por nome de domínio - "configurar autenticação":



2) Selecione "Active Directory externo", clique em Avançar:



3) No campo "Nome de domínio do AD", digite o nome do domínio, no campo "ldap: //", escreva o nome do domínio ou o nome do controlador de domínio ou o IP do controlador de domínio. Eu tenho vários controladores, então escrevo o nome do domínio. A porta permanece inalterada. Clique próximo:



4) A ligação LDAP permanece inalterada.

5) Resumo da configuração de autenticação. Nome de usuário ZimbraLDAP, senha qwe123. Clique no botão "testar":



A configuração de um grupo externo é responsável por onde exatamente no AD Zimbra ele procurará usuários e quais filtros ele aplicará. Você pode aplicar um filtro:

 (&(objectClass=user)(objectClass=person)) 

nesse caso, apenas os objetos de usuários e pessoas do AD serão selecionados. E o parâmetro Base de Pesquisa LDAP do Grupo Externo não será usado, será substituído por " zimbraAutoProvLdapSearchBase " durante a configuração do modo EAGER.

Agora os usuários farão login com suas senhas do AD. E mesmo ao criar uma nova caixa de correio, a senha não pode ser definida.

5. Configure a criação automática de caixa de correio

Um pouco de teoria:

O Zimbra tem 3 opções para criar caixas:

EAGER - totalmente automático, que verifica regularmente o AD e cria caixas de correio para novos usuários.

LAZY - semi-automático, que cria uma caixa de correio na primeira vez em que um usuário faz logon no servidor de correio com as credenciais do domínio.

MANUAL - pesquisa manual e seleção de contas para as quais você precisa criar caixas de correio.

Por razões óbvias, o modo MANUAL é adequado apenas para pequenas empresas com uma rotatividade lenta de funcionários. O modo LAZY é adequado para usar o correio com uma interface da web, sem conectar um cliente de correio. Ambas as opções não me agradaram, pois a tarefa era automatizar ao máximo (instalação automática do aplicativo cliente Zimbra Desktop, para que o usuário apenas tivesse que digitar uma senha de login e acessar o correio). Portanto, apenas EAGER. Sim, é mais conveniente, para ser honesto.

Para a conveniência de editar e aplicar parâmetros, é mais fácil e mais conveniente criar um arquivo. Que seja / tmp / prov

O conteúdo do arquivo é o seguinte:


Um pouco mais de teoria:

Este arquivo contém comandos para atribuir variáveis. Assim, por exemplo, o parâmetro zimbraAutoProvAttrMap cn = cn significa que o Zimbra formará suas caixas de forma que o "nome para exibição" (CN no AD) seja substituído no campo "nome para exibição" no Zimbra.

O parâmetro zimbraAutoProvLdapAdminBindDn é responsável pela conta que o Zimbra usará para acessar o diretório AD. Nesse caso, “CN = ZimbraLDAP, OU = HOME_Users, DC = home, DC = local”, o que significa o seguinte: a conta com o nome de exibição ZimbraLDAP armazenada nos OU HOME_Users localizados na raiz do domínio home.local será usada

zimbraAutoProvLdapAdminBindPassword armazena a senha da conta ZimbraLDAP

zimbraAutoProvLdapBindDn armazena a conta de administrador do servidor Zimbra para o domínio zimbramail.home.local

O zimbraAutoProvLdapSearchBase é responsável pela UO, na qual o Zimbra procurará contas de domínio para criar caixas de correio. No meu caso, esse é o mesmo contêiner em que o usuário do ZimbraLDAP está

zimbraAutoProvPollingInterval é o período de contato com o AD para a busca de novas contas.

Com o restante dos parâmetros, tudo está claro.

No site do desenvolvedor, está escrito que, se você usar a versão Zimbra até 8.0.8, para o modo EAGER funcionar, também será necessário definir o parâmetro zimbraAutoProvLastPolledTimestamp com o valor vazio "", caso contrário, não funcionará mais de uma vez.

Em seguida, execute o comando:

 $ su – zimbra $ zmprov < /tmp/prov 

Para visualizar todos os valores de zmprov, você pode inserir o comando:

 $ su – zimbra $ zmprov gd zimbramail.home.local 

Você pode editar os parâmetros usando o mesmo utilitário zmprov, reescrever os valores das variáveis ​​(utilitário - ação - domínio - variável - valores) pode ajudar na depuração:

 $ su – zimbra $ zmprov md zimbramail.home.local zimbraAutoProvBatchSize 200 

No site do desenvolvedor, há uma pequena tabela de solução de problemas de erro LDAP. Os logs de inicialização automática são gravados em /opt/zimbra/log/mailbox.log

Link

E um pouco mais de reserva. Recebi um feedback do LevZ , que configurou o servidor do zero. Versão 8.8.12_GA_3794.RHEL7_64_20190329045002 Edição RHEL7_64 FOSS, proxy do Patch 8.8.12_P1.

Eis o seguinte: após uma instalação limpa, o parâmetro "zimbraAutoProvScheduledDomains" precisa ser inicializado - execute o comando "ms zimbraAutoProvScheduledDomains" sem o sinal "+". Se você escrever imediatamente "+ zimbraAutoProvScheduledDomains", ele não será gravado e o processo não será iniciado.

Obrigado à pessoa pela informação!

6. Instalando aplicativos clientes

Faça o download do pacote msi da versão mais recente no site oficial. Copiamos para a pasta de rede compartilhada acessível a todos para leitura. Você pode copiá-lo para o Netlogon, mas o pacote pesa mais de 100 MB, então decidi usar a bola.

O Zimbra Desktop usa java, o que significa que você precisa baixá-lo e colocá-lo na mesma pasta.
Além do gosto - KIX, GPO, mãos. Eu uso o GPO.

Na mesma esfera, crie o arquivo installZimbra.cmd com o seguinte conteúdo:

 \\SharedFolder\jrex64.exe INSTALL_SILENT=Enable \\SharedFolder\ZimbraInstall.msi /q /norestart 

Adicione à seção "configuração do computador" - "Configuração do Windows" - "Scripts (início / fim)" - Script de instalação "Inicialização" criado anteriormente. O script instalará o java e o Zimbra Desktop no modo silencioso e não exigirá uma reinicialização. Próximo - a folia do administrador da fantasia.

Mas Para configurar o Zimbra Desktop em nosso servidor, você precisa conduzir os parâmetros com as mãos.



Portanto, para os usuários, você precisa criar um tipo de nota de instrução, em quais campos o que você precisa dirigir e em qual botão clicar para acessar o email. Em geral, não é difícil.

Conclusão

Assim, implementamos com muita rapidez e rapidez um sistema de interação corporativa completamente gratuito, baseado no Zimbra Collaboration Suite, configuramos sua interação com o domínio, simplificando a criação de caixas de correio e eliminando problemas com várias contas extras.

Na minha opinião, o Zimbra é uma ferramenta bastante poderosa para o segmento corporativo. Mas um grande número de artigos já foi escrito sobre isso, não vou borrifá-lo.

PS:
O próximo artigo se concentrará no backup e na restauração de caixas de correio do Zimbra OSE.
O terceiro artigo trata da geração e atualização automáticas de listas de discussão com base em grupos de usuários do AD no Zimbra OSE.