今年距全球首次看到Microsoft的Active Directory已有20年。 代表LDAP和Kerberos的实现,正是AD成为将所有Microsoft产品链接到单个生态系统的链接。 但是,在20年之后,IT经理越来越意识到与以下事实相关的不利条件:几乎所有企业的业务流程都以某种方式与一个公司的软件产品相关联。
从
涉及与监视用户有关的丑闻
到 拒绝对本地化的个人数据
进行本地化的丑闻,再到美国和俄罗斯之间的紧张关系,无数次事件都使美国的IT经理们怀疑IT是否受其控制。 -看起来企业的基础结构,如果有一天微软的制裁导致微软产品突然在我国不可用,企业的基础结构将会如何?
这些问题的答案并不令人鼓舞,因为IT经理实际上将其基础设施部署在一个供应商的软件解决方案上,因此把所有的精力都放在一个篮子里。 而且,如果几年前这个篮子看上去相当坚固,那么现在并没有给人留下深刻的印象。 这就是为什么该国出现了一种稳定的趋势的原因,即如果不是整个基础架构的完全迁移,则要用免费解决方案替换其各个节点,使用该解决方案可以消除上述风险。
当然,在替换的第一批候选人中就是协作系统,因为它存储了任何现代公司最重要的信息,而且该系统本身对于企业的正常运转极为重要。 Zimbra Collboration Suite开放源代码以及Zextras Suite的添加可以成为替换邮件服务器的理想选择。 该解决方案不仅具有广泛的功能,而且在拥有成本方面也更有利可图,并且没有与许可相关的风险。 此外,正如我们已经写过的,Zimbra Collaboration Suite可以与Microsoft AD集成,这意味着它非常适合企业的现有基础架构。
但是,接连不断地将大多数企业节点替换为免费的类似物,因此替换Active Directory的问题肯定会出现在议程上。 此解决方案有很多类似物,但是在放弃了AD之后,必然会需要重新配置其他信息系统,这些信息系统被配置为专门与AD一起使用。 让我们看看需要对配置为与Active Directory配合使用的Zimbra进行哪些更改,以便删除这些信息系统之间的集成。
如果您
根据我们的说明设置了Zimbra与AD的集成以及帐户的自动配置,则停用它的过程将在很大程度上重复已经完成的过程。 只有这一次,您才应该决定使用什么代替AD。 它可以是任何其他外部LDAP服务器,也可以内置在Zimbra LDAP中。
第二种方法更容易实现,但需要更多的劳动密集型支持。 由于Zimbra LDAP中已经存在所有用户,因此您不必重新安装和重新连接外部LDAP,也不必在Zimbra Collaboration Suite中启用帐户自动配置。 为此,只需在左侧面板
的Zimbra管理控制台中选择“
配置”项,然后选择“
域”子项。 现在,在域列表中,您需要选择一个我们将要使用的域,然后右键单击选定的域,选择
“配置身份验证” ,在此您需要将授权方法切换为
“内部” 。 如果选择此身份验证方法,则不需要其他设置。
尽管Zimbra LDAP实际上是LDAP服务器,但是出于安全原因,它中存在许多限制,因此,它不支持某些身份验证方法,因此您可以在某些应用程序中将其用于身份验证而失败在企业中的其他应用程序和服务中。 另外,一个非常糟糕的主意是从外部Internet访问Zimbra LDAP。 这就是为什么如果您不希望Zimbra LDAP成为企业中的主要用户,而是继续将Zimbra与集成LDAP结合使用,则必须手动添加和删除用户,以及手动管理其密码。 有关如何执行此操作的信息,请参阅
我们的 Zimbra密码安全策略
文章 。
第一种方法是在企业中部署单独的功能齐全的LDAP服务器,并根据来自该服务器的数据在Zimbra中配置身份验证。 此类LDAP服务器有很多选择,这就是为什么我们将基于Zentyal LDAP的此类配置过程视为免费的免费解决方案的原因。
让具有Zentyal的服务器位于企业的本地网络中,地址为192.168.1.100,而Zimbra服务器具有
FQDN mail.company.ru 。 与前面的情况一样,要通过外部LDAP配置授权,我们将转到
Zimbra管理控制台 。 在这里,在左侧面板中,选择
配置 ,然后选择
域子项。 现在,在域列表中,您需要选择一个我们将要使用的域,然后右键单击选定的域,选择
“配置身份验证” ,在这里您需要将授权方法切换为
“外部LDAP” 。 在这里,我们需要指定以下数据:
- LDAP://192.168.1.100:390
- LDAP过滤器:(&(|(objectclass = inetOrgPerson))|(memberof = cn =邮件,ou =组,dc =公司,dc = ru))(uid =%u))“
- 基于LDAP的搜索:ou =用户,dc =公司,dc = ru
- 绑定DN:admin cn =,dc =公司,dc = ru
- 绑定密码:********
之后,您需要通过Zentyal LDAP测试授权。 为此,请在Zentyal LDAP中可用的Zimbra中创建一个用户,然后尝试进入Web界面。 如果密码正确,则登录将成功;如果您输入的密码与LDAP中存储的密码不匹配,则会发生登录错误。
为了在Zimbra中自动创建用户,您需要运行以下命令:
zmprov md company.ru zimbraAutoProvMode LAZY zmprov md company.ru zimbraAutoProvLdapURL ldap://192.168.1.100:390 zmprov md company.ru zimbraAutoProvLdapAdminBindDn " admin cn=,dc=company,dc=ru" zmprov md company.ru zimbraAutoProvLdapAdminBindPassword "********" zmprov md company.ru zimbraAutoProvLdapSearchFilter " (&(|(objectclass=inetOrgPerson)((memberof=cn=mail,ou=Groups,dc=company,dc=ru))(uid=%u)) " zmprov md company.ru zimbraAutoProvLdapSearchBase "ou=Users,dc=company,dc=ru" zmprov md company.ru +zimbraAutoProvAttrMap description=description +zimbraAutoProvAttrMap cn=displayName +zimbraAutoProvAttrMap givenName=givenName +zimbraAutoProvAttrMap sn=sn zmcontrol restart
此后,首次成功尝试使用在LDAP中输入的用户名和密码进入Zimbra邮箱,该帐户将自动创建,这将使管理员不必在Zimbra中手动创建用户。
因此,Zimbra开源版不仅可以与AD完美配合,而且还可以与任何其他LDAP服务器完美配合,一方面可以提供在任何IT基础架构中使用它的能力,另一方面还可以使您从专有软件快速迁移到免费又回来了,对功能没有任何损害。 此外,功能齐全的Zimbra Web客户端允许用户从任何平台访问它。
有关Zextras Suite的所有问题,您可以通过电子邮件katerina@zextras.com与Zextras Katerina Triandafilidi的代表联系。