Hola!!, aquí estoy con un nuevo howto sobre cómo configurar Zimbra 8 para la autentificación con Active Directory (en Windows 2008).
Para realizar la conexión entre Zimbra y AD, utilizaremos LDAPS, por lo que debemos de instalar el “rol” de “Servicios de Certificados de Active Directory”. Esto nos creará una Autoridad Certificadora (CA) propia y los certificados necesarios para el servidor de AD.
Este tipo de CA’s no son de confianza para las aplicaciones que requieran del uso del certificado, por lo que al tratar de conectarnos con el servidor de AD, fallará con el siguiente error:
Authentication test failed
Server message:
SSL connect problem, most likely untrusted certificate
Para solucionarlo, hay que exportar el certificado del servidor de AD e importarlo como CA de confianza en Zimbra.
Para exportarlo, hay que acceder a la consola de administración del servidor y guardarlo.
Una vez guardado, debemos de transferirlo al servidor de Zimbra (SCP, FTP, etc.), para luego importarlo con el comando:
sudo /opt/zimbra/java/bin/keytool -import -alias <alias> -keystore /opt/zimbra/java/jre/lib/security/cacerts -storepass changeit -file <certfile>
Donde “<alias>” es un nombre identificativo que le queramos dar y “<certfile>”, la ruta al archivo que hemos copiado.
A tener en cuenta el argumento “-storepass” que como su nombre indica es la clave del almacenamiento y que tiene como valor “changeit”, que traducido es “cámbiala”, pero NO, no hay que cambiarla, ya que la clave es esa….
Una vez importado, es necesario reiniciar los servicios de Zimbra:
zmmailboxdctl stop zmmailboxdctl start zmcontrol stop zmcontrol start
Ahora accedemos a la interface de administración de Zimbra y procedemos a configurar la autentificación para el dominio que deseemos (cada dominio puede tener su propio sistema de autentificación). Seleccionamos el dominio y pulsamos sobre el icono de “acción” y luego “Configurar autentificación“.
En el diálogo que nos aparece, marcamos la opción “Directorio activo externo” y pulsamos en siguiente.
Ahora, tenemos que indicar los datos de conexión con el servidor de AD.
Al pulsar en siguiente, nos aparece para utilizar un usuario de conexión al dominio, no es necesario.
A continuación, haremos una prueba de conexión con un usuario del dominio
En el siguiente paso, nos da la opción de indicar el filtro para indicar qué grupos de usuarios pueden acceder. Lo dejamos de forma genérica.
Con ello, ya hemos finalizado la configuración y podemos acceder a Zimbra con el login de AD.
A tener en cuenta:
- El buzón del usuario debe de existir y su email debe de ser igual al login de usuario en AD.
- Es posible autentificar varios dominios de Zimbra contra un único dominio de AD.
- Es posible sincronizar la GAL con AD (lo publicaré en un post posterior).
- Es posible importar usuarios desde AD, para no tener que crearlos. Para esto hay scripts…
Y esto es todo amigos….hasta la próxima 😉
Hola, muy bueno el articulo!. Una duda que me queda es si se puede configurar para un mismo dominio dos autentificaciones externas por si en una no esta autorizado y en otra si.
Por ejemplo si pepe@ejemplo se intentan autentificar primero va contar un active directory y si no esta autorizado en windows autentificarse contra un ldap externo en linux.?
Lo veo como un por defecto y en caso de no estar autentificado ahi consultar en otro.
Es esto posible?
Gracias!!
Hola!!, gracias por tu interés….he estado revisando el proceso de autentificación y no es posible utilizar dos sistemas a la vez, sólo uno de 3 disponibles. Si la idea es tener sólo un DC en windows y otro secundario con LDAP en linux, puedes usar Samba y promocionarlo a DC para tener redundancia.
Saludos!!
Hola! muchas gracias por responder tan pronto :).
Creo que voy investigar Postfix, en vez de usar Zimbra que es un conjunto de tantas cosas en un paquete, tener todo por separado a ver si puedo yo implementar la autentificacion para que pueda hacerlo contra los dos!.
Saludos :D.
de antemano muchas gracias por la info!
tengo una duda: en mi empresa tengo zimbra como gestor de correo, con aproximadamente 250 cuentas y creciendo, y quiero vincular Zimbra con Active Directory. pero de esas 250 cuentas, solo 60 usan AD, y la mayoria de las nuevas son de usuarios que no tienen cuenta en AD. es posible seguir creando cuentas desde el metodo normal de Zimbra? o forzosamente debo crear la cuenta desde AD?
Hola!! Zimbra primero consulta su ldap interno y posteriormente el tipo de autentificación configurado, así, ademas, si fallara el externo siempre hay un sistema de backup. En la wiki de zimbra hay un articulo donde se indica dicha característica http://wiki.zimbra.com/wiki/LDAP_Authentication
Saludos!!
hola tengo un zimbra autentificando contra AD pero necesito que algunos de los usuarios solo puedan enviar y recibir correos de y hacia determinados dominios estos usuarios los tengo definidos en grupos en el AD ¿Como puedo configurar el zimbra para que vea la pertenencia de los usuarios a los diferentes grupos ?
Hola, no me ha sido posible responder antes…lo que planteas es posible a nivel de postfix, pero sin consultar AD, ya que no hay posibilidad de conectarlo.
Otra forma seria crear varios dominios y conectarlos al mismo AD pero acotando los filtros de búsqueda de usuarios y configurar los dominios de destino en whitelist.
Te dejo un enlace que puede servirte…. http://forums.zextras.com/zimbra-howto/234-zimbra-per-domain-restriction-multiple-userlist.html