Страница 1 из 1
Адресная книга из AD через OpenLdap
Добавлено: 2011-05-31 4:58:02
mistiq
Добрый день, уважаемые.
Существует лес доменов на базе Windows 8 r2, рабочие станции Windows 7, Почтовые клиенты Outlook 2010. MTA в данный момент выступает MDaemon.
Возникла задача:
Плавно уйти от MDaemon в сторону ОпенСорс решений, например в сторону Exim. Но сделать это наиболее прозрачно для пользователей и сделать интеграцию в текущую инфраструктуру AD.
В АctiveDirectory на данный момент во всех учетках пользователей забиты поля фио/отдел/email.
Необходимы 2 вещи
1) как-то научить exim понимать доменные учетки
2) необходима глобальная адресная книга для всех пользователей
3) в глобальной адресной книге желательна возможность привязывать фото к контакту, телефон
Пока как я вижу это: по первому пункту это какая-то связка АД с OpenLdap с синхронизацией по рассписанию, exim соответственно настроить брать данные из openldap
по второму пункту по идее в аутлук можно подцепить внешнюю адресную книгу через ldap
по третьему пункту тоже не понятно.
Есть у кого какие мысли как это можно реализовать?
Re: Адресная книга из AD через OpenLdap
Добавлено: 2011-05-31 9:16:48
blade_007
1. В синхронизация с OpenLDAP нет необходимости. exim нормально работает с глобальным каталогом(ами) AD. Например, схема может выглядеть так: в поле "Эл. почта" у пользователя имеется некая запись
user@domain.org. При авторизации используется именно этот почтовый ящик (логин=почтовый ящик). По данному ящику ищется учетка AD (ТОЛЬКО ОДНА ЗАПИСЬ ДОЛЖНА ВЕРНУТЬСЯ), и пароль, переданный пользователем сравнивается с доменным паролем (exim ничего не сравнивает, этим занимается DC, возвращается только результат), т.е. (пароль=доменный пароль). Дополнительные вещи аля aliases/userforward решаются с помощью расширения схемы (если требуется), используя атрибуты учетки - proxyAddresses и otherMailbox
2. Касательно адресной книги - тут дело настройки клиентов (Outlook/Thunderbird и т.п.) посредством политик либо вручную.
3. Фото в AD видится мне смутно, все таки у вас лес доменов распределенный скорее всего, а фото добавит очень очень неслабый трафик.
Как то так.
Re: Адресная книга из AD через OpenLdap
Добавлено: 2011-05-31 9:37:38
Гость
blade_007 писал(а):1. В синхронизация с OpenLDAP нет необходимости. exim нормально работает с глобальным каталогом(ами) AD. Например, схема может выглядеть так: в поле "Эл. почта" у пользователя имеется некая запись
user@domain.org. При авторизации используется именно этот почтовый ящик (логин=почтовый ящик). По данному ящику ищется учетка AD (ТОЛЬКО ОДНА ЗАПИСЬ ДОЛЖНА ВЕРНУТЬСЯ), и пароль, переданный пользователем сравнивается с доменным паролем (exim ничего не сравнивает, этим занимается DC, возвращается только результат), т.е. (пароль=доменный пароль). Дополнительные вещи аля aliases/userforward решаются с помощью расширения схемы (если требуется), используя атрибуты учетки - proxyAddresses и otherMailbox
Так, а у Exim есть встроенные механизмы для работы с AD? (Вот тут "По данному ящику ищется учетка AD" немного не понятно, поиск в схеме домена может осуществлять только аутентифицированный пользователь, следовательно экзим должен ументь как минимум керберос, разве нет?)
blade_007 писал(а):
2. Касательно адресной книги - тут дело настройки клиентов (Outlook/Thunderbird и т.п.) посредством политик либо вручную.
Вот тут совсем не понятно. Посредством чего что настраивать? Насколько я знаю аутлук умеет только 3 вида адресных книг, локальная, эксчендж, и сторонний лдап сервер (но с AD сторонний сервер работает крайне криво, не отображает содержимое книги, только через поиск.)
blade_007 писал(а):
3. Фото в AD видится мне смутно, все таки у вас лес доменов распределенный скорее всего, а фото добавит очень очень неслабый трафик.
Как то так.
Ну фото это не критично в принципи, можем и обойтись.
Re: Адресная книга из AD через OpenLdap
Добавлено: 2011-05-31 10:05:22
blade_007
1. exim должен быть скомпилирован с поддержкой ldap. В Makefile
Код: Выделить всё
LOOKUP_LDAP=yes
LDAP_LIB_TYPE=OPENLDAP2
LOOKUP_LIBS=-L/usr/lib -lldap -llber -L/usr/lib/mysql -lmysqlclient
Проверка текущего бинарника exim
Код: Выделить всё
/usr/sbin/exim -bV | grep Lookups
Lookups (built-in): lsearch wildlsearch nwildlsearch iplsearch dbm dbmnz dnsdb dsearch ldap ldapdn ldapm mysql
В AD создаете пользователя exim или как взбредет в голову с паролем, минимальными полномочиями для поиска по дереву доменов, можно без права логина на рабочие станции. Куски конфигов для авторизации можно поискать по сайту или форуму.
2. Thunderbird нормально работает с AD (лучше использовать GC, т.е. порт 3268), у Outlook хитрые фильтры, чтоб их изменить, например, запретить вывод при поиске заблокированных пользователей или добавить в вывод группы рассылки, нужно хорошо постараться.
Re: Адресная книга из AD через OpenLdap
Добавлено: 2011-06-01 0:57:54
mistiq
blade_007 огромное спасибо. Достаточно исчерпывающие ответы.