При использовании авторизации Active Directory (AD), сервер использует NTLM v2 и LDAP протоколы, для авторизации пользователей находящихся в Active Directory. Процесс авторизации происходит за 5 шагов:
- Архива авторизуется с Active Directory при помощи служебного аккаунта (далее будет инструкция по созданию такого аккаунта)
- MailArchiva ищет пользователя в Active Directory используя логин
- MailArchiva сопоставляет (авторизует) логин пользователя и предоставленный пароль
- MailArchiva назначает роль согласно логину и настроенным правам
- MailArchiva извлекает почтовый ящик пользователя из атрибута LDAP, заданных в поле для поиска
Для NTLM v2 авторизации необходимо, чтобы сервисный учетная запись была учетной записью компьютера, а не обычного пользователя. Поэтому, для установки/обновления, вам необходимо создать учетную запись типа компьютер в AD, установить пароль этой учетной запись с помощью предоставляемых скриптов, и измените учетную запись в Архива на service$@business.local. Знак $ в UPN обозначает, что это учетная запись типа компьютер (в противовес учетной записи типа пользователь в AD)
| Поле | Описание | Пример |
| DNS Сервер IP адрес | IP вашего сервера DNS | 192.168.0.1 |
| Active Directory Сервер Адреса | Полное доменное имя сервера Active Directory | active.business.local |
| Bind DN | Отличительное имя расположения в AD, где Архива должны начать поиск | dc=company,dc=com |
| Логин на чтение LDAP | Полное доменное имя (FQDN) сервисной учетной запись компьютера вAD. | service$@business.local |
| Пароль | Пароль сервисной учетной запись компьютера | |
| Email Attribute | Атрибут где содержится данные о почтовом адресе пользователя | ProxyAddresses |
| Значение сообщения | Регулярное выражение с помощью которого извлекается почтовый адрес пользователя из Email Attribute. | SMTP:(*.) |
| Bind Attribute | Данный атрибут используется для поиска логина пользователя в AD LDAP. Оставьте данный атрибут без изменений, для использования адреса электронной почты в логине, или используйте любой другой нужный вам атрибут. | SAMAccountName |
| NTLM SSO (единый пароль на вход) авторизация | Когда NTLM авотризация включена, Архива использует единый вход (SSO) сессии пользователя. | Disabled |
В целях авторизации в Active Directory, Архива требует, чтобы новая учетная запись компьютера была создана в Active Directory и пароль для учетной записи установлен. Хоть и возможно создать новый компьютер в Active Directory Users And Computers с помощью графического интерфейса, но к сожалению задать пароль данной учетной записи с помощью графического интерфейса невозможно. Для этого выполните скрипт VBS который называется ADSetupWizard.vbs входит в состав установочного пакета Архива. Сценарий необходимо выполнять с правами администратора домена, он автоматически создаст учетную запись компьютера в Active Directory и установить пароль на данную учетную запись. В завершении данный скрипт выведет все параметры конфигурации, которые вы сможете использовать в настройке Архива.
Процедура настройки авторизации Active Directory осуществляется следующим образом:
- Залогинтесь на сервер контроллера домена
- Запустите скрипт ADSetupWizard.vbs
- Следуйте помощнику установки для создания сервисной учетной записи компьютера и установки пароля для этой учетной записи в AD
- После завершения работы скрипта, скопируйте данные которые он выведет
- Зайдите в консоль Архива - Настройка - Авторизация
- Выберите авторизацию Active Directory и введите необходимые значения (пользователь и пароль может быть скопирован из результатов работы скрипта)
- Нажмите "Назначить новую роль" и создайте связь между ролью в Архива и атрибутом в Active Directory
Note: Microsoft requires that the user assigned the impersonation rights should not also have administrator rights assigned.
When assigning roles to Active Directory users, it is necessary to select a role, select an LDAP attribute and enter a match criterion.
| Field | Description |
| Role | Role to be assigned |
| LDAP Attribute | LDAP attribute to use for the role assignment |
Match Criterion | A value that is compared against a corresponding LDAP attribute in Active Directory for an authenticating use |
To complete the attribute and match criterion fields, it is useful to understand how roles are assigned to users during console authentication. A user in Active Directory has a set of LDAP attributes associated with it. These attributes are essentially properties about the user (e.g. account name, user group, etc.). During console authentication, once the user has been identified, the value of the attribute selection is retrieved from Active Directory. This value is compared against the value entered in the match criterion field. If there is a match, the selected role is assigned to the user.
To assign a role to a Windows user, select “SAMAccountName” as the LDAP attribute and enter the user’s name in the match criterion field. To assign a role to all users within a user group, select “memberOf” in the attribute field and enter the distinguished name of the user group in Active Directory (e.g. “CN=Enterprise Admins, CN=Users, DC=company, DC=com”).
Note: The match criterion field also accepts regular expressions for complex pattern matching requirements.
| LDAP Attribute | Match Criterion Value |
|---|---|
| memberOf | Active Directory user group CN=Enterprise Admins,CN=Users,DC=company,DC=com |
| userPrincipalName | jdoe@company.com |
| SAMaccountName | Jdoe |
| distinguishedName | CN=John Doe,CN=Users,DC=company,DC=com |
In specifying the match criterion field, it is useful to lookup the LDAP attribute name andvalues associated with a user. This is done by clicking the Lookup button and entering auser's username (e.g. admin@company.com) and a password. A simple way to assign a role to an individual user is to copy one of the values of any of the attributes described above and paste them into the match criterion field.
AD Lookup & Attribute Lookup: Th AD Lookup dialog will not work with Internet Explorer Enhanced Security Configuration mode enabled. Either disable Internet Explorer Enhanced Security Configuration or alternativey use Chrome or Firefox browsers to perform the lookup. To disable Internet Explorer Enhanced Security Mode: In Windows Server 2003, uninstall the corresponding Windows Component in Add/Remove Programs. In Windows Server 2008, click on the root folder in Server Manager, scroll down to the Security Information Section and click “Configure IE ESC”. Switch off IE ESC for Administrators.
There is likely to be an error in your configuration if the Lookup dialog does not return any LDAP attribute values. Once all role assignments are configured, execute a Test Login to ensure that your Kereberos settings, LDAP settings and user roles have been configured correctly. If problems are encountered, please refer to Authentication Failed Steps.
If you are unable to get AD authentication working in your environment, it is possible to authenticate with AD using password-based LDAP authentication instead. To do this, select LDAP authentication, enter the mail attribute to be “proxyAddresses” and “SAMAccountName” to be the bind attribute. You will also need to clear out the default login name suffix in the Logins section. Refer to LDAP Authentication for more information.
Multi-Domain Authentication Tip: if your organization has multiple domains, Архива must be configured to connect to AD’s Global Catalog Server running on port 3268. To do this, change your Active Directory server FQDN to the equivalent of company.com:3268. Set the base DN to be empty.