Este ano marca exatamente 20 anos desde que o mundo viu o Active Directory da Microsoft. Sendo uma implementação do LDAP e do Kerberos, foi o AD que se tornou o link que vinculava todos os produtos da Microsoft em um único ecossistema. No entanto, após 20 anos, os gerentes de TI estão cada vez mais conscientes das desvantagens associadas ao fato de que quase todos os processos de negócios da empresa estão de alguma forma ligados aos produtos de software de uma corporação.
Inúmeros incidentes, variando de escândalos
envolvendo vigilância de usuários e
recusas a localizar dados pessoais acumulados, a tensões entre os EUA e a Rússia, serviram como um tipo de chamada que fez os gerentes de TI do país se perguntarem se a TI é controlada por ele. - a infraestrutura das empresas, ao que parece, e o que acontecerá com sua infraestrutura se um dia os produtos da Microsoft ficarem repentinamente indisponíveis em nosso país devido a sanções?
A resposta para essas perguntas não é animadora, porque, ao implantar sua infraestrutura em soluções de software de um fornecedor, os gerentes de TI colocam todos os seus ovos em uma cesta. E se, há vários anos, essa cesta parecia bastante forte, agora não causa essa impressão. É por isso que surgiu uma tendência constante no país para, se não a migração completa de toda a infraestrutura, para a substituição de seus nós individuais por soluções gratuitas, cuja utilização elimina os riscos acima.
Entre os primeiros candidatos à substituição, é claro, estava o sistema de colaboração, porque armazena as informações mais críticas para qualquer empresa moderna, e o próprio sistema é extremamente importante para o funcionamento normal da empresa. O Zimbra Collboration Suite de código aberto com as adições do Zextras Suite pode se tornar um excelente candidato para substituir o servidor de correio. Essa solução não apenas possui ampla funcionalidade, mas também é mais lucrativa em termos de custo de propriedade e está livre dos riscos associados ao licenciamento. Além disso, como já escrevemos, o Zimbra Collaboration Suite pode se integrar ao Microsoft AD, o que significa que ele se encaixa perfeitamente na infraestrutura existente da empresa.
No entanto, após um após o outro, a maioria dos nós da empresa será substituída por análogos gratuitos, a questão da substituição do Active Directory certamente aparecerá na agenda. Existem muitos análogos dessa solução, mas após o abandono do AD, a necessidade de reconfigurar outros sistemas de informações configurados para trabalhar especificamente com o AD seguirá necessariamente. Vamos ver quais alterações precisam ser feitas no Zimbra configurado para funcionar com o Active Directory, a fim de remover a integração entre esses sistemas de informação.
Se você configurar a integração do Zimbra com o AD e a configuração automática de contas de
acordo com nossas instruções , o procedimento para desativá-lo repetirá amplamente o processo já concluído. Somente desta vez você deve decidir o que será usado em vez do AD. Pode ser qualquer outro servidor LDAP externo ou embutido no LDAP do Zimbra.
A segunda maneira é muito mais fácil de implementar, mas envolve um suporte mais trabalhoso. Como todos os usuários já existem no Zimbra LDAP, você não precisa instalar e reconectar o LDAP externo novamente, além de ativar a configuração automática de contas no Zimbra Collaboration Suite. Para fazer isso, basta selecionar o item
Configurar no console administrativo do Zimbra no painel lateral esquerdo e, em seguida, o subitem
Domínios . Agora, na lista de domínios, você precisa selecionar o que usaremos e, clicando com o botão direito do mouse no domínio selecionado, selecionar
"Configurar autenticação" , onde é necessário mudar o método de autorização para
"Interno" . Se você selecionar esse método de autenticação, nenhuma outra configuração será necessária.
Embora o Zimbra LDAP seja essencialmente um servidor LDAP, por razões de segurança, várias restrições foram impostas, por causa das quais ele não suporta alguns métodos de autenticação, e, portanto, você pode usá-lo para autenticação em alguns aplicativos e falhar. em outros aplicativos e serviços da empresa. Além disso, uma péssima idéia seria acessar o Zimbra LDAP a partir da Internet externa. É por isso que, se você não tornar o Zimbra LDAP o principal da empresa e continuar usando o Zimbra em combinação com o LDAP incorporado, será necessário adicionar e remover usuários manualmente e também gerenciar manualmente suas senhas. Para obter informações sobre como fazer isso, consulte
o artigo da política de segurança de senha do Zimbra.
A primeira maneira é implantar um servidor LDAP completo com recursos completos na empresa e configurar a autenticação no Zimbra com base nos dados dele. Existem muitas opções para esses servidores LDAP, e é por isso que consideraremos o processo dessa configuração baseado no Zentyal LDAP como uma solução gratuita e gratuita.
Deixe o servidor com Zentyal estar localizado na rede local da empresa no endereço 192.168.1.100, enquanto o servidor Zimbra possui o
FQDN mail.company.ru . Como no caso anterior, para configurar a autorização via LDAP externo, iremos para
o console de administração do Zimbra . Aqui, no painel esquerdo, selecione
Configurar e, em seguida, o subitem
Domínios . Agora, na lista de domínios, é necessário selecionar o que usaremos e, clicando com o botão direito do mouse no domínio selecionado, selecionar o item
"Configurar autenticação" , onde é necessário alternar o método de autorização para
"LDAP externo" . Aqui precisamos especificar os seguintes dados:
- LDAP: //192.168.1.100: 390
- Filtro LDAP: (& (| (objectclass = inetOrgPerson)) | | (memberof = cn = mail, ou = groups, dc = empresa, dc = ru)) (uid =% u)) "
- Pesquisa baseada em LDAP: ou = Usuários, dc = empresa, dc = ru
- DN da ligação: admin cn =, dc = company, dc = ru
- Senha de ligação: ********
Depois disso, você precisa testar a autorização através do Zentyal LDAP. Para fazer isso, crie um usuário no Zimbra que esteja disponível no Zentyal LDAP e tente entrar na interface da web. Se a senha estiver correta, o login será bem-sucedido, se a senha inserida não corresponder ao que está armazenado no LDAP, ocorrerá o erro de login.
Para criar automaticamente usuários no Zimbra, você precisa executar vários comandos:
zmprov md company.ru zimbraAutoProvMode LAZY zmprov md company.ru zimbraAutoProvLdapURL ldap://192.168.1.100:390 zmprov md company.ru zimbraAutoProvLdapAdminBindDn " admin cn=,dc=company,dc=ru" zmprov md company.ru zimbraAutoProvLdapAdminBindPassword "********" zmprov md company.ru zimbraAutoProvLdapSearchFilter " (&(|(objectclass=inetOrgPerson)((memberof=cn=mail,ou=Groups,dc=company,dc=ru))(uid=%u)) " zmprov md company.ru zimbraAutoProvLdapSearchBase "ou=Users,dc=company,dc=ru" zmprov md company.ru +zimbraAutoProvAttrMap description=description +zimbraAutoProvAttrMap cn=displayName +zimbraAutoProvAttrMap givenName=givenName +zimbraAutoProvAttrMap sn=sn zmcontrol restart
Depois disso, na primeira tentativa bem-sucedida de entrar na caixa de correio do Zimbra usando o nome de usuário e a senha inseridos no LDAP, a conta será criada automaticamente, o que evita que o administrador precise criar usuários no Zimbra manualmente.
Portanto, o Zimbra Open-Source Edition pode funcionar perfeitamente não apenas com o AD, mas também com qualquer outro servidor LDAP, que por um lado oferece a capacidade de usá-lo em qualquer infraestrutura de TI e, por outro lado, permite migrar rapidamente de software proprietário para livre e de volta, sem qualquer dano à funcionalidade. Além disso, o web client Zimbra completo permite que os usuários acessem a partir de qualquer plataforma.
Para todas as perguntas relacionadas ao Zextras Suite, você pode entrar em contato com o representante da Zextras Katerina Triandafilidi pelo e-mail katerina@zextras.com