Адресная книга из AD через OpenLdap

[mistiq]

Добрый день, уважаемые.
Существует лес доменов на базе Windows 8 r2, рабочие станции Windows 7, Почтовые клиенты Outlook 2010. MTA в данный момент выступает MDaemon.

Возникла задача:
Плавно уйти от MDaemon в сторону ОпенСорс решений, например в сторону Exim. Но сделать это наиболее прозрачно для пользователей и сделать интеграцию в текущую инфраструктуру AD.
В АctiveDirectory на данный момент во всех учетках пользователей забиты поля фио/отдел/email.

Необходимы 2 вещи
1) как-то научить exim понимать доменные учетки
2) необходима глобальная адресная книга для всех пользователей
3) в глобальной адресной книге желательна возможность привязывать фото к контакту, телефон

Пока как я вижу это: по первому пункту это какая-то связка АД с OpenLdap с синхронизацией по рассписанию, exim соответственно настроить брать данные из openldap
по второму пункту по идее в аутлук можно подцепить внешнюю адресную книгу через ldap
по третьему пункту тоже не понятно.

Есть у кого какие мысли как это можно реализовать?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[blade_007]

1. В синхронизация с OpenLDAP нет необходимости. exim нормально работает с глобальным каталогом(ами) AD. Например, схема может выглядеть так: в поле "Эл. почта" у пользователя имеется некая запись user@domain.org. При авторизации используется именно этот почтовый ящик (логин=почтовый ящик). По данному ящику ищется учетка AD (ТОЛЬКО ОДНА ЗАПИСЬ ДОЛЖНА ВЕРНУТЬСЯ), и пароль, переданный пользователем сравнивается с доменным паролем (exim ничего не сравнивает, этим занимается DC, возвращается только результат), т.е. (пароль=доменный пароль). Дополнительные вещи аля aliases/userforward решаются с помощью расширения схемы (если требуется), используя атрибуты учетки - proxyAddresses и otherMailbox
2. Касательно адресной книги - тут дело настройки клиентов (Outlook/Thunderbird и т.п.) посредством политик либо вручную.
3. Фото в AD видится мне смутно, все таки у вас лес доменов распределенный скорее всего, а фото добавит очень очень неслабый трафик.
Как то так.

[Гость]

1. В синхронизация с OpenLDAP нет необходимости. exim нормально работает с глобальным каталогом(ами) AD. Например, схема может выглядеть так: в поле "Эл. почта" у пользователя имеется некая запись user@domain.org. При авторизации используется именно этот почтовый ящик (логин=почтовый ящик). По данному ящику ищется учетка AD (ТОЛЬКО ОДНА ЗАПИСЬ ДОЛЖНА ВЕРНУТЬСЯ), и пароль, переданный пользователем сравнивается с доменным паролем (exim ничего не сравнивает, этим занимается DC, возвращается только результат), т.е. (пароль=доменный пароль). Дополнительные вещи аля aliases/userforward решаются с помощью расширения схемы (если требуется), используя атрибуты учетки - proxyAddresses и otherMailbox

Так, а у Exim есть встроенные механизмы для работы с AD? (Вот тут "По данному ящику ищется учетка AD" немного не понятно, поиск в схеме домена может осуществлять только аутентифицированный пользователь, следовательно экзим должен ументь как минимум керберос, разве нет?)

2. Касательно адресной книги - тут дело настройки клиентов (Outlook/Thunderbird и т.п.) посредством политик либо вручную.

Вот тут совсем не понятно. Посредством чего что настраивать? Насколько я знаю аутлук умеет только 3 вида адресных книг, локальная, эксчендж, и сторонний лдап сервер (но с AD сторонний сервер работает крайне криво, не отображает содержимое книги, только через поиск.)

3. Фото в AD видится мне смутно, все таки у вас лес доменов распределенный скорее всего, а фото добавит очень очень неслабый трафик.
Как то так.

Ну фото это не критично в принципи, можем и обойтись.

[blade_007]

1. exim должен быть скомпилирован с поддержкой ldap. В Makefile

Код: Выделить всё

LOOKUP_LDAP=yes
LDAP_LIB_TYPE=OPENLDAP2
LOOKUP_LIBS=-L/usr/lib  -lldap -llber -L/usr/lib/mysql -lmysqlclient

Проверка текущего бинарника exim

Код: Выделить всё

/usr/sbin/exim -bV | grep Lookups
Lookups (built-in): lsearch wildlsearch nwildlsearch iplsearch dbm dbmnz dnsdb dsearch ldap ldapdn ldapm mysql

В AD создаете пользователя exim или как взбредет в голову с паролем, минимальными полномочиями для поиска по дереву доменов, можно без права логина на рабочие станции. Куски конфигов для авторизации можно поискать по сайту или форуму.

2. Thunderbird нормально работает с AD (лучше использовать GC, т.е. порт 3268), у Outlook хитрые фильтры, чтоб их изменить, например, запретить вывод при поиске заблокированных пользователей или добавить в вывод группы рассылки, нужно хорошо постараться.

[mistiq]

blade_007 огромное спасибо. Достаточно исчерпывающие ответы.