...
- Архива авторизуется с Active Directory при помощи служебного аккаунта (далее будет инструкция по созданию такого аккаунта)
- MailArchiva Архива ищет пользователя в Active Directory используя логин
- MailArchiva сопоставляет Архива сопоставляет (авторизует) логин пользователя и предоставленный пароль
- MailArchiva назначает Архива назначает роль согласно логину и настроенным правам
- MailArchiva извлекает Архива извлекает почтовый ящик пользователя из атрибута LDAP, заданных в поле для поиска
Info |
---|
Если вы переходите с более ранней версии Архива, вы должны знать, что механизм авторизации был изменен с Kerberos на NTLM v2 авторизацию. |
Note |
---|
ПРИ ОБНОВЛЕНИИ: Если вы обновляетесь с ранних версий Архива, вы должны знать, что механизм авторизации Архива поменялся с Kerberos на NTLM v2 авторизацию. Для NTLM v2 авторизации необходимо, чтобы сервисный учетная запись была учетной записью компьютера, а не обычного пользователя. Поэтому, для установки/обновления, вам необходимо создать учетную запись типа компьютер в AD, установить пароль этой учетной запись с помощью |
предоставляемых скриптов, и измените учетную запись в Архива на service$@business.local. Знак $ в UPN обозначает, что это учетная запись типа компьютер (в противовес учетной записи типа пользователь в AD). |
Поле | Описание | Пример |
DNS Сервер IP адрес | IP вашего сервера DNS | 192.168.0.1 |
Active Directory Сервер Адреса | Полное доменное имя сервера Active Directory | active.business.local |
Bind DN | Отличительное имя расположения в AD, где Архива должны начать поиск | dc=company,dc=com |
Логин на чтение LDAP | Полное доменное имя (FQDN) сервисной учетной запись компьютера вADв AD. | service$@business.local |
Пароль | Пароль сервисной учетной запись компьютера | |
Email Attribute | Атрибут где содержится данные о почтовом адресе пользователя | ProxyAddresses |
Значение сообщения | Регулярное выражение с помощью которого извлекается почтовый адрес пользователя из Email Attribute. | SMTP:(*.) |
Bind Attribute | Данный атрибут используется для поиска логина пользователя в AD LDAP. Оставьте данный атрибут без изменений, для использования адреса электронной почты в логине, или используйте любой другой нужный вам атрибут. | SAMAccountName |
NTLM SSO (единый пароль на вход) авторизация | Когда NTLM авотризация включена, Архива использует единый вход (SSO) сессии пользователя. | Disabled |
...
При назначении ролей пользователей Active Directory, необходимо выбрать роль, выбрать атрибут LDAP и задать критерий соответствия.
Поле | Описание |
Роль | Роль которую требуется назначить |
Атрибуты LDAP | Атрибут LDAP используемый для назначении роли |
Содержит | Значение которое сравнивается с атрибутом LDAP в AD для авторизации |
...
Для назначения роли Windows пользователю, выберите “SAMAccountName” как "Атрибуты LDAP" и введите имя пользователя в поле "Содержит". Для назначения роли группе пользователей, выберите “memberOf” в "Атрибуты LDAP" и введите в "Содержит" назначаемое имя группы в Active Directory (например “CN=Enterprise Admins, CN=Users, DC=company, DC=com”).
Info |
---|
Поле "Содержит" так-же понимает регулярные выражения для сложных требований к шаблону совпадения. |
...
LDAP атрибут | Содержит |
---|---|
memberOf | группа в Active Directory CN=Enterprise Admins,CN=Users,DC=company,DC=com |
userPrincipalName | jdoe@company.com |
SAMaccountName | Jdoe |
distinguishedName | CN=John Doe,CN=Users,DC=company,DC=com |
Во время заполнения поля "Содержит", полезно посмотреть имена LDAP атрибутов и их значения для пользователя. Для этого нажмите "поиск" и в диалоговом окне введите логин и пароль пользователя, атрибуты и значения которого вы хотите посмотреть (например admin@company.com и пароль). Для простого назначения роли конкретному пользователю, просто выберите атрибут и значение из окна поиска, они будут автоматически скопированы в "Атрибут LDAP" и "содержит".
...
Info |
---|
Мультидоменная авторизация: Если ваша организация имеет множество доменов, настройте Архива на подключение к глобальному серверу каталогов на порт 3268. Для этого, измените FQDN имя вашего сервера Active Directory эквивалентно company.com:3268. Удалите все значения в поле "Bind DN". |
Требования и настройки Windows для единого входа (SSO)
Для обеспечения по-настоящему беспарольной работы, обеспечиваемой встроенным SSO в Windows, необходимо соблюсти следующие требования и настройки (в противном случае пользователю будет представлено диалоговое окно ввода сетевого пароля).:
- Целевое имя хоста должно быть добавлено в зону безопасности "Локальная интрасеть". Целевое имя хоста - это часть URL-адреса с именем хоста в адресной строке браузера. Это описано далее в следующем разделе.
Пользователь должен войти на рабочую станцию, используя свои учетные данные AD DS.
Info title Примечание Конечно, это условие может быть выполнено только в том случае, если операционной системой является Windows. Если пользователь не вошел в домен или если операционная система - Mac или Linux, будет представлено диалоговое окно ввода пароля.
- Браузер должен поддерживать встроенную в Windows аутентификацию SSO. Большинство браузеров, включая Edge, Chrome и Firefox, работающих под управлением ОС Windows, просто обращаются к Windows SSPI и, следовательно, полностью поддерживают встроенный в Windows SSO.
- URL-адрес, используемый для посещения сайта, возможно, должен быть полным именем хоста DNS или именем NetBIOS. Специальное имя "localhost" или IP-адрес1 могут работать не так, как ожидалось.
Параметры Интернета и локальная зона интрасети
Чтобы клиенты Windows могли инициировать единый вход, имя хоста или префикс URL-адреса целевого сервера необходимо будет добавить в настройки зоны "Локальная интрасеть" всех клиентов. Найдите и запустите inetcpl.cpl или Internet Settings, чтобы запустить диалоговое окно "Свойства обозревателя". Выберите Безопасность > Локальная интрасеть > Сайты > Дополнительно. Добавьте целевой сайт (или регулярное выражение, соответствующее целевому сайту) в этот список. Вот некоторые примеры значений для этого списка: