...
Info |
---|
Если вы переходите с более ранней версии Архива, вы должны знать, что механизм авторизации был изменен с Kerberos на NTLM v2 авторизацию. |
Note |
---|
ПРИ ОБНОВЛЕНИИ: Если вы обновляетесь с ранних версий MailArchiva, вы должны знать, что механизм авторизации Архива поменялся с Kerberos на NTLM v2 авторизацию. Для NTLM v2 авторизации необходимо, чтобы сервисный учетная запись была учетной записью компьютера, а не обычного пользователя. Поэтому, для установки/обновления, вам необходимо создать учетную запись типа компьютер в AD, установить пароль этой учетной запись с помощью |
предоставляемых скриптов, и измените учетную запись в Архива на service$@business.local. Знак $ в UPN обозначает, что это учетная запись типа компьютер (в противовес учетной записи типа пользователь в AD). |
Поле | Описание | Пример |
DNS Сервер IP адрес | IP вашего сервера DNS | 192.168.0.1 |
Active Directory Сервер Адреса | Полное доменное имя сервера Active Directory | active.business.local |
Bind DN | Отличительное имя расположения в AD, где Архива должны начать поиск | dc=company,dc=com |
Логин на чтение LDAP | Полное доменное имя (FQDN) сервисной учетной запись компьютера вAD. | service$@business.local |
Пароль | Пароль сервисной учетной запись компьютера | |
Email Attribute | Атрибут где содержится данные о почтовом адресе пользователя | ProxyAddresses |
Значение сообщения | Регулярное выражение с помощью которого извлекается почтовый адрес пользователя из Email Attribute. | SMTP:(*.) |
Bind Attribute | Данный атрибут используется для поиска логина пользователя в AD LDAP. Оставьте данный атрибут без изменений, для использования адреса электронной почты в логине, или используйте любой другой нужный вам атрибут. | SAMAccountName |
NTLM SSO (единый пароль на вход) авторизация | Когда NTLM авотризация включена, Архива использует единый вход (SSO) сессии пользователя. | Disabled |
...
При назначении ролей пользователей Active Directory, необходимо выбрать роль, выбрать атрибут LDAP и задать критерий соответствия.
Поле | Описание |
Роль | Роль которую требуется назначить |
Атрибуты LDAP | Атрибут LDAP используемый для назначении роли |
Содержит | Значение которое сравнивается с атрибутом LDAP в AD для авторизации |
...
Во время заполнения поля "Содержит", полезно посмотреть имена LDAP атрибутов и их значения для пользователя. Для этого нажмите "поиск" и в диалоговом окне введите логин и пароль пользователя, атрибуты и значения которого вы хотите посмотреть (например admin@company.com и пароль). Для простого назначения роли конкретному пользователю, просто выберите атрибут и значение из окна поиска, они будут автоматически скопированы в "Атрибут LDAP" и "содержит".
Note |
---|
Диалог поиска атрибутов не будет работать если режим Internet Explorer Enhanced Security Configuration включен. Выключите Internet Explorer Enhanced Security Configuration или используйте брайзеры Chrome, Firefox для этих целей. Чтобы отключить Internet Explorer Enhanced Security Configuration Mode: В Windows Server 2003, удалите соответствующий компонент Windows в Add / Remove Programs. В Windows Server 2008, нажмите на корневую папку в Server Manager, перейдите к разделу информационной безопасности и нажмите кнопку "Configure IE ESC". Выключить IE ESC для администраторов. |
Если поиск возвращает пустой результат, наверняка есть ошибка в конфигурации. После того, как все роли назначены выполните "тестовый логин" для проверки настроек. Если возникли проблемы, пожалуйста обратитесь к решению проблем авторизации.
...