Zimbra гокнок: Zimbra Collaboration Downloads
Внедрение Zimbra Collaboration Open Source, авторизация через AD и автоматическое создание почтовых ящиков
1. Исходные данные
ОС сервера: CentOS 7По поводу ОС
На самом деле разница между CentOS7 и любой другой системой будет заключаться исключительно в командах серверу на установку зависимостей, и, возможно, расположении некоторых файлов. Работа ведется в основном с командлетами Zimbra, так что отличия настройки будет минимальны.
Windows домен: home.local
Адрес и имя почтового сервера: 10.40.0.80 / zimbramail.home.local
Пользователь для доступа к каталогу AD: ZimbraLDAP с паролем qwe123
2. Подводные камни
Сам процесс установки Zimbra довольно прост. Нужно установить зависимые пакеты, скачать архив, запустить скрипт и правильно ответить на вопросы установщика. Но, как и везде, есть свои маленькие сложности.
1) Zimbra чувствительна к hostname. Первое, что нужно сделать перед установкой – привести файл /etc/hosts к виду:
127.0.0.1 localhost.localdomain localhost
10.40.0.80 zimbramail.home.local zimbramail
2) Без доступа к internet чуда не произойдет. Если доступа в internet не будет, то скрипт будет подвисать на 20-40 минут, и в итоге, естественно, завершится с ошибкой. Казалось бы, зачем нужен почтовый сервер без доступа в интернет, но «чего только не бывает в подлунном мире».
3. Непосредственно установка
Итак, к делу!
1) Установка зависимостей:
$ yum install perl perl-core ntpl nmap sudo libidn gmp libaio libstdc++ unzip sysstat sqlite wget
2) Скачать архив:
$ wget https://files.zimbra.com/downloads/8.8.11_GA/zcs-8.8.11_GA_3737.RHEL7_64.20181207111719.tgz
3) Разархивировать скачанный архив, перейти в каталог и запустить установку:
$ tar –xzf zcs-8.8.11_GA_3737.RHEL7_64.20181207111719.tgz
$ cd zcs-8.8.11_GA_3737.RHEL7_64.20181207111719
$ ./install.sh --platform-override
4) Согласиться с лицензионным соглашением и использованием репозитория Zimbra:
Do you agree with the terms of the software license agreement? [N] Y
Use Zimbra's package repository [Y] Y
5) Выбрать необходимые компоненты и подтвердить изменение:Выводимый текст
Select the packages to install
Install zimbra-ldap [Y] Y
Install zimbra-logger [Y] Y
Install zimbra-mta [Y] Y
Install zimbra-dnscache [Y] N
Install zimbra-snmp [Y] Y
Install zimbra-store [Y] Y
Install zimbra-apache [Y] Y
Install zimbra-spell [Y] Y
Install zimbra-memcached [Y] Y
Install zimbra-proxy [Y] N
The system will be modified. Continue? [N] Y
6) Далее нужно ввести пароль администратора для Zimbra:Выводимый текст
Main menu
1) Common Configuration:
2) zimbra-ldap: Enabled
3) zimbra-logger: Enabled
4) zimbra-mta: Enabled
5) zimbra-snmp: Enabled
6) zimbra-store: Enabled
+Create Admin User: yes
+Admin user to create: [email protected]
******* +Admin Password UNSET
+Anti-virus quarantine user: [email protected]
+Enable automated spam training: yes
+Spam training user: [email protected]
+Non-spam(Ham) training user: [email protected]
+SMTP host: zimbramail.home.local
+Web server HTTP port: 8080
+Web server HTTPS port: 8443
+Web server mode: https
+IMAP server port: 7143
+IMAP server SSL port: 7993
+POP server port: 7110
+POP server SSL port: 7995
+Use spell check server: yes
+Spell server URL: http:// zimbramail.home.local :7780/aspell.php
+Enable version update checks: TRUE
+Enable version update notifications: TRUE
+Version update notification email: [email protected]
+Version update source email: [email protected]
+Install mailstore (service webapp): yes
+Install UI (zimbra,zimbraAdmin webapps): yes
7) zimbra-spell: Enabled
8) zimbra-proxy: Enabled
9) Default Class of Service Configuration:
s) Save config to file
x) Expand menu
q) Quit
Address unconfigured (**) items (? - help) 6
Select, or 'r' for previous menu [r] 4
Password for [email protected] (min 6 characters): [MFSPcRW18] qwe123
Остальное в этом меню нас особо не интересует. Но. По умолчанию Zimbra создаст свой внутренний домен по образу и подобию своего zmhostname (читай hostname), то есть это будет домен zimbramail.home.local. Меня такой вариант устраивает, если вас – нет, и имя домена должно строго соответствовать [home.local], то рекомендую сразу изменить адреса получения Version update notification и Version update source на [email protected]
7) Тут нужно нажать кнопку [a], чтобы применить изменения, затем согласиться с сохранением конфигурации в файл и еще раз нажать [Enter], чтобы продолжить установку.
Система не зависла после слова “done”, она ждет нажатия клавиши.
Выводимый текст
Select from menu, or press 'a' to apply config (? - help) a
Save configuration data to a file? [Yes]
Save config in file: [/opt/zimbra/config.10925]
Saving config in /opt/zimbra/config.10925...done.
Далее происходит работа скрипта установки, после окончании которой он предлагает нажать любую клавишу для продолжения
8) После завершения установки необходимо открыть нужные порты в фаэрволле. Список портов можно найти в Wiki разработчика по ссылке
9) Настоятельно так же рекомендую убедиться, что Zimbra поняла все правильно, и ее zmhostname совпадает с hostname сервера:
$ su – zimbra
$ zmhostname
zimbramail.home.local
Если имя не совпадает, делаем следующее:
а) первым делом проверяем, есть ли в DNS записи A и MX для нашего нового zmhostname, если нет – создаем их
б)
$ su – zimbra
/opt/zimbra/libexec/zmsetservername -n [servername]
в) чистим zmloggerhostmap:
$ zmloggerhostmap
Эта команда выводит список всех Hostname Map.
Удалять командой:
$ zmloggerhostmap -d localhost localhost.localdomain
где localhost и localhost.localdomain нужно заменить на строку из списка Hostname Map
после чего перезапустить Zimbra
10) Запускаем сервер:
$ su – zimbra
$ zmcontrol start
Выводимый текст
Host zimbramail.home.local
Starting zmconfigd...Done.
Starting logger...Done.
Starting mailbox...Done.
Starting memcached...Done.
Starting proxy...Done.
Starting amavis...Done.
Starting antispam...Done.
Starting antivirus...Done.
Starting opendkim...Done.
Starting snmp...Done.
Starting spell...Done.
Starting mta...Done.
Starting stats...Done.
Starting service webapp...Done.
Starting zimbra webapp...Done.
Starting zimbraAdmin webapp...Done.
Starting zimlet webapp...Done.
Теперь сервер доступен по адресу https://zimbramail.home.local:7071
11) Для возможности доступа к серверу как по https так и по http делаем следующее:
$ su – zimbra
$ zmtlsctl both
$ zmcontrol restart
12) Для тех, у кого нет доступа к интернет, или если сервер живет за NAT’ом, нужно будет еще прописать команду:
$ su – zimbra
$ zmprov ms zimbramail.home.local zimbraMtaLmtpHostLookup native
$ zmcontrol restart
zmprov это утилита для управления настройками сервера, она нам еще понадобится, когда нужно будет настроить автоматическое создание ящиков, их резервное копирование и восстановление, а так же автоматическое создание и обновление списков рассылки. Но об этом чуть позже.
13) Проблема с самоподписанным сертификатом решается импортом сертификата на сервер из Вашего удостоверяющего центра.
Или же экспортом сертификата с сервера Zimbra:
$ cd /opt/zimbra/ssl/zimbra/ca
$ openssl x509 -in ca.pem -outform DER -out ~/zimbra-mail-example.cer
с последующим экспортом его клиентским машинам, руками, или групповыми политиками домена, установив сертификат в «Доверенные корневые центры сертификации» клиентских машин.
На этом установка и первичная настройка завершена.
4. Настройка авторизации через LDAP
Прежде всего нужно создать в AD пользователя для доступа к каталогу. У меня это ZimbraLDAP, после чего зайти в консоль администратора через web и настроить авторизацию в домене zimbramail.home.local.
1) Заходим в «настройка» – «домены», ПКМ по названию домена – «настроить проверку подлинности»:
2) Выбрать “Внешний Active Directory”, нажать далее:
3) В поле «Имя домена AD» вводим имя домена, в поле «ldap://» пишем имя домена или имя контроллера домена, или IP контроллера домена. У меня контроллеров несколько, поэтому я пишу имя домена. Порт оставляем без изменений. Жмем далее:
4) Привязка LDAP оставляем без изменений.
5) Сводка по конфигурации проверки подлинности. Имя пользователя ZimbraLDAP, пароль qwe123. Жмем кнопку «тест»:
Настройка внешней группы отвечает за то, где именно в AD Zimbra будет искать пользователей и какие фильтры будет применять. Можно применить фильтр:
(&(objectClass=user)(objectClass=person))
в этом случае будут отобраны только объекты AD «пользователи» и «персоны». А параметр External Group LDAP Search Base использоваться не будет, он будет заменен на «zimbraAutoProvLdapSearchBase» в ходе настройки EAGER-режима.
Теперь пользователи будут авторизовываться по своим паролям из AD. И даже при создании нового почтового ящика пароль задать будет нельзя.
5. Настройка автоматического создания почтовых ящиков
Немного теории:
Zimbra умеет в 3 варианта создания ящиков:
EAGER – полностью автоматический, который через определенные промежутки времени просматривает AD и создает ящики для новых пользователей.
LAZY – полуавтоматический, который создает почтовый ящик при первом входе пользователя на почтовый сервер под учетными данными домена.
MANUAL – ручной поиск и отбор учетных записей, для которых нужно создать почтовые ящики.
По понятным причинам режим MANUAL пригоден только для маленьких компаний с вялой текучкой кадров. LAZY-режим подходит для использования почты с web-интерфейсом, без подключения почтового клиента. Меня не устраивали оба варианта, так как стояла задача автоматизировать по-максимуму (автоматическая установка клиентского приложения Zimbra Desktop, чтобы пользователю нужно было просто ввести логин-пароль и получить доступ к почте). Поэтому только EAGER. Да он и удобнее, если честно.
Для удобства правки и применения параметров проще и удобнее создать файл. Пусть будет /tmp/prov
Наполнение файла следующее:
Содержимое файла
md zimbramail.home.local zimbraAutoProvAccountNameMap "samAccountName"
md zimbramail.home.local +zimbraAutoProvAttrMap description=description
md zimbramail.home.local +zimbraAutoProvAttrMap displayName=displayName
md zimbramail.home.local +zimbraAutoProvAttrMap givenName=givenName
md zimbramail.home.local +zimbraAutoProvAttrMap cn=cn
md zimbramail.home.local +zimbraAutoProvAttrMap sn=sn
md zimbramail.home.local zimbraAutoProvAuthMech LDAP
md zimbramail.home.local zimbraAutoProvBatchSize 300
md zimbramail.home.local zimbraAutoProvLdapAdminBindDn "CN=ZimbraLDAP,OU=HOME_Users,DC=home,DC=local"
md zimbramail.home.local zimbraAutoProvLdapAdminBindPassword qwe123
md zimbramail.home.local zimbraAutoProvLdapBindDn "[email protected]"
md zimbramail.home.local zimbraAutoProvLdapSearchBase "CN=HOME_Users,dc=home,dc=local"
md zimbramail.home.local zimbraAutoProvLdapSearchFilter "(&(objectClass=user)(objectClass=person))"
md zimbramail.home.local zimbraAutoProvLdapURL "ldap://home.local:389"
md zimbramail.home.local zimbraAutoProvMode EAGER
md zimbramail.home.local zimbraAutoProvNotificationBody "Your account has been auto provisioned. Your email address is ${ACCOUNT_ADDRESS}."
md zimbramail.home.local zimbraAutoProvNotificationFromAddress [email protected]
md zimbramail.home.local zimbraAutoProvNotificationSubject "New account auto provisioned"
ms zimbramail.home.local zimbraAutoProvPollingInterval "1m"
ms zimbramail.home.local +zimbraAutoProvScheduledDomains "zimbramail.home.local"
Еще немного теории:
В данном файле содержатся команды для присвоения переменных. Так, например, параметр zimbraAutoProvAttrMap cn=cn означает, что Zimbra будет формировать свои ящики таким образом, что «выводимое имя» (CN в AD) будет подставляться в поле «выводимое имя» в Zimbra.
Параметр zimbraAutoProvLdapAdminBindDn отвечает за учетную запись, которую будет использовать Zimbra для доступа к каталогу AD. В Данном случае «CN=ZimbraLDAP,OU=HOME_Users,DC=home,DC=local», что значит следующее: будет использоваться учетная запись с отображаемым именем ZimbraLDAP, хранящаяся в OU HOME_Users, который расположен в корне домена home.local
zimbraAutoProvLdapAdminBindPassword хранит пароль от учетной записи ZimbraLDAP
zimbraAutoProvLdapBindDn хранит в себе учетную запись администратора сервера Zimbra для домена zimbramail.home.local
zimbraAutoProvLdapSearchBase отвечает за OU, в котором Zimbra будет искать доменные учетные записи для создания почтовых ящиков. В моем случае это тот же контейнер, в котором лежит и пользователь ZimbraLDAP
zimbraAutoProvPollingInterval это период обращения к AD на предмет поиска появления новых учетных записей.
С остальными параметрами все и так понятно.
На сайте разработчика написано, что если вы используете версию Zimbra до 8.0.8, то для работы EAGER-режима нужно будет еще устанавливать параметр zimbraAutoProvLastPolledTimestamp в пустое значение «», иначе больше одного раза он не отработает.
Далее выполняем команду:
$ su – zimbra
$ zmprov < /tmp/prov
Для просмотра всех значений zmprov можно ввести команду:
$ su – zimbra
$ zmprov gd zimbramail.home.local
Править параметры можно с помощью той же утилиты zmprov, переписывая значения переменных (утилита — действие — домен — переменная — значние), может помочь для дебагинга:
$ su – zimbra
$ zmprov md zimbramail.home.local zimbraAutoProvBatchSize 200
На сайте разработчика есть небольшая табличка траблшутинга LDAP-ошибок. Логи автопровижна пишутся в /opt/zimbra/log/mailbox.log
Ссылка
И еще немного оговорюсь. Получил фидбэк от LevZ, настраивавшего сервер с нуля. Версия 8.8.12_GA_3794.RHEL7_64_20190329045002 RHEL7_64 FOSS edition, Patch 8.8.12_P1 proxy.
Дело вот в чем: после чистой установки параметр «zimbraAutoProvScheduledDomains» нужно проинициализировать — выполнить команду «ms zimbraAutoProvScheduledDomains» без знака «+». Если сразу писать «+zimbraAutoProvScheduledDomains», то он не записывается и процесс не стартует.
Спасибо человеку за информацию!
6. Установка клиентских приложений
Скачиваем с официального сайта msi-пакет свежей версии. Копируем его в расшаренную сетевую папку, доступную всем для чтения. Можно скопировать и в Netlogon, но пакет весит более 100 Мб, поэтому я решил использовать шару.
Zimbra Desktop использует java, а значит, надо скачать еще и её, и положить в ту же папку.
Далее по вкусу – KIX, GPO, руками. Я использую GPO.
В той же шаре создаем файл installZimbra.cmd следующего содержания:
\\SharedFolder\jrex64.exe INSTALL_SILENT=Enable
\\SharedFolder\ZimbraInstall.msi /q /norestart
Добавляем в раздел «конфигурации компьютера»-«конфигурация Windows»-«Сценарии (запуск\завершение)»-«Автозагрузка» сценарий установки, созданный ранее. Сценарий установит java и Zimbra Desktop в silent режиме и не будет требовать перезагрузуку. Далее — разгул фантазии администратору.
Но. Для того, чтобы Zimbra Desktop настроить на наш сервер – надо руками вбить параметры.
Поэтому для пользователей нужно создать некую памятку-инструкцию, в какие поля что нужно вбивать, и на какую кнопочку нажать, чтобы получить доступ к почте. В целом – не сложно.
Заключение
Таким образом мы весьма несложно и достаточно быстро внедрили совершенно бесплатную систему корпоративного взаимодействия на базе Zimbra Collaboration Suite, настроили ее взаимодействие с доменом, упростив создание почтовых ящиков и избавившись от проблем с кучей лишних учетных записей.
На мой взгляд Zimbra – достаточно мощный инструмент для корпоративного сегмента. Но по этому поводу статей было написано уже огромное множество, не буду распыляться.
P.S.:
В следующей статье речь пойдет о резервном копировании и восстановлении почтовых ящиков Zimbra OSE.
В третьей статье речь идет об автоматическом формировании и обновлении списков рассылки на основе групп пользователей AD в Zimbra OSE.
Что такое Zimbra / Блог компании Zextras / Хабр
Zimbra — открытый программный продукт для автоматизации и упрощения совместной деятельности любых рабочих групп в масштабах государственного или частного бизнеса. Сейчас Zimbra применяется в более чем 5000 компаниях, включая такие мировые бренды, как NTT Communications, Comcast, Dell, Cadbury, Investec, Rackspace, Red Hat, VMware, H&R Block и Vodafone. Всего больше 100 миллионов конечных пользователей в более чем 140 странах мира. Zimbra — третий по размеру провайдер средств коллективной работы в мире с активным сообществом разработчиков и мировой партнёрской сетью.
Zimbra состоит из двух платформ:
- Zimbra Collaboration Suite — почтовый сервер, органайзер и персонализация пользователя. Это решение корпоративного класса для совместной работы с электронной почтой, календарем и офисными инструментами.
- Zimbra Community — корпоративная социальная сеть, виртуальное пространство для обмена файлами и сообщениями между сотрудниками.
Zimbra Collaboration Suite
Для крупных компаний наибольший интерес представляет масштабируемый и многофункциональный пакет приложений Zimbra Collaboration Suite. Это решение объединяет в себе корпоративное облако с возможностями электронной почты и системы управления проектами.
Базовые возможности Zimbra Collaboration Suite:
- Доставка, хранение и отправление электронной почты.
- Индексация почты.
- Логирование почтового сервера.
- Поддержка протоколов IMAP, POP, CalDAV и CarDAV.
- Служба каталогов.
- Антиспам защита (Spam Assassin).
- Антивирусная защита (ClamAV).
- Синхронизация с мобильными платформами: Android, iOS, Windows.
Zimbra Collaboration Suite представляется в двух основных редакциях.
- Zimbra Open Source Edition — полностью свободная и бесплатная версия Zimbra, содержащая весь основной функционал.
- Zimbra Network Edition — платная версия Zimbra, отличающаяся возможностью доменного администрирования, наличием коннектора для Microsoft Outlook и другими функциями.
В состав Zimbra Collaboration Suite входит клиентское и серверное программное обеспечение, а также следующие пакеты прикладных программ.
Zimbra Core — включает библиотеки, утилиты и базовые конфигурационные файлы.
Zimbra Store (Zimbra сервер) — устанавливает компоненты для почтового сервера, включая Jetty, который является контейнером сервлетов, запускающим внутри себя программное обеспечение Zimbra. В Zimbra Collaboration Suite этот контейнер сервлетов называется mailboxd. Почтовый сервер включает в себя компоненты:
- Data store — база данных MySQL, которая содержит все метаданные сообщений включая теги, переговоры, и указатели туда, где сообщения хранятся в файловой системе. Почтовые идентификаторы связываются с OpenLDAP учетными записям пользователей.
- Message store — место, где находятся все электронные письма, включая тексты сообщений и любые файловые вложения. Сообщения хранятся в формате MIME.
- Index store — индексные файлы для каждого почтового ящика. Индекс и поисковая технология обеспечиваются посредством Apache Lucene. Каждое сообщение автоматически индексируется, а каждый почтовый ящик имеет индексный файл связанный с ним.
Zimbra LDAP — Службы каталогов LDAP обеспечивают централизованный репозитарий для информации о пользователях и устройствах, которые разрешены использовать в вашей сети. Центральный репозитарий, используемый для данных Zimbra LDAP, является сервером каталогов OpenLDAP. Zimbra Collaboration Suite использует OpenLDAP в качестве open source сервера каталога LDAP. Аутентификация пользователей обеспечивается посредством OpenLDAP. Каждый аккаунт на сервере Zimbra имеет уникальный идентификатор почтового ящика, который является основной точкой идентификации аккаунта.
Примечание: Zimbra также поддерживает интеграцию с Сервером Microsoft Active Directory.
Zimbra MTA — Postfix-open source агент передачи почты (MTA), который получает почту по протоколу SMTP и доставляет каждое сообщение в нужный почтовый ящик Zimbra сервера с помощью протокола локальной доставки сообщений (LMTP). Zimbra MTA также включает в себя антивирусный и антиспам-компоненты.
Zimbra-SNMP — Zimbra использует образец, чтобы наблюдать вывод syslog, чтобы генерировать прерывания SNMP.
Zimbra Logger — устанавливает инструменты для syslog агрегации, создания отчетов. Если вы не установите Logger, раздел статистики сервера консоли администрирования не будет отображаться.
Zimbra Spell — Aspell — программа проверки правописания с открытым исходным кодом, используемая веб-клиентом Zimbra.
Zimbra Proxy и Zimbra Memcached — пакеты zimbra-прокси.
Zimbra System Directory Tree — основные каталоги, создаваемые пакетами установки Zimbra.
Zimbra Desktop — клиентское почтовое приложение, которое можно использовать как почтовый клиент к любому серверу (postfix, exchange, lotus). Zimbra Web Access дает все те же возможности, что и Zimbra Desktop, но работает через браузер.
Возможности веб-клиентов Zimbra:
- Создание, чтение, ответ, пересылка и другие стандартные функции,
- Просмотр почты по теме разговора.
- Тегирование почты для легкой группировки сообщений.
- Расширенный поиск и сохранение результатов.
- Календарь для планирования встреч.
- Общий календарь, папки электронной почты, адресные книги и портфель папок.
- Установка предпочтений почтового ящика, в том числе определяющих параметры фильтрации почты
- Использование ZCS Documents для создания, организации и шаринга веб-документов
- Использование задач для создания списков дел и управления задачами
Администрирование Zimbra
Zimbra представляет очень гибкий функционал для администрирования и развертывания. Архитектура программного продукта включает в себя open source разработки, использующие стандартные протоколы. Программное обеспечение сторонних производителей включено в Zimbra и является частью установочного процесса.
Компоненты Zimbra:
- Сервер веб-приложений Jetty.
- Postfix, open-source агент передачи почты (MTA).
- OpenLDAP, открытая реализация LDAP, которая обеспечивает аутентификацию пользователей.
- База данных MySQL.
- Lucene, open-source полнофункциональная текстовая поисковая система
- Антивирус и антиспам open-source компоненты:
- ClamAV, антивирусный сканер, защищающий от вредоносных файлов
- SpamAssassin, почтовый фильтр, который пытается идентифицировать спам
- Amavisd — новые интерфейсы между MTA и одним или более средствами проверки содержимого
- James/Sieve фильтрация, используемая для создания фильтров для электронной почты.
Возможности администрирования Zimbra:
- AJAX Web Administration Console.
- Управление классами обслуживания (CoS)
- Добавление аккаунтов и доменов
- Установка ограничений аккаунтов как индивидуальных, так и по CoS
- Создание и редактирование списков рассылки
- Совместимость с Microsoft Exchange 2007 / 2010.
- Миграция из Microsoft Exchange и Domino.
- Установка виртуальных хостов на домен
- Управление серверами
- Просмотр и управление состоянием системы
- Контролирование использования.
Варианты развертывание Zimbra:
- Операционные системы: RHEL, CentOS, Oracle Linux и Ubuntu.
- Облачные сервисы: Oracle Cloud, VMware vCloud, Amazon EWS.
- Виртуальные машины: VMWare, Xen, KVM.
Минимальные системные требования: Intel/AMD 2.0 GHZ + 8 ГБ Ram, дисковое пространство 10 ГБ.
С перепроектированным основанным на браузере интерфейсом Zimbra предлагает самый инновационный способ обмена сообщениями, соединяя конечных пользователей с информацией и действием в их персональных облаках. Почтовый сервис Zimbra Collaboration Suite позволит вам полностью отказаться от бумажной документации и навсегда решить проблему хранения важных документов. Сервис предусматривает удобную архивацию данных и регулирование доступа для определенного круга сотрудников.
Официальный сайт — zimbra.com
Zimbra способна составить конкуренцию самым популярным почтовым программам и веб-сервисам, потому что она предлагает целый комплекс решений для бизнес-клиентов.
По всем вопросам, связанными c Zextras Suite вы можете обратиться к Представителю компании «Zextras» Катерине Триандафилиди по электронной почте [email protected]
Балансировка нагрузки в Zimbra Open-Source Edition при помощи HAProxy / Блог компании Zextras / Хабр
Одной из главных задач при построении масштабных инфраструктур Zimbra OSE является грамотная балансировка нагрузки. Помимо того, что она повышает отказоустойчивость сервиса, без балансировки нагрузки невозможно обеспечить одинаковую отзывчивость сервиса для всех пользователей. Для того, чтобы решить эту задачу, используются балансировщики нагрузки — программные и аппаратные решения, перераспределяющие запросы между серверами. Среди них есть как довольно примитивные, вроде RoundRobin, который просто каждый следующий запрос направляет следующему в списке серверу, а есть и более продвинутые, например HAProxy, который широко применяется в высоконагруженных вычислительных инфраструктурах из-за ряда весомых достоинств. Давайте же посмотрим на то, как можно обеспечить совместную работу балансировщика нагрузки HAProxy и Zimbra OSE.
Итак, по условиям задачи нам дана инфраструктура Zimbra OSE, в которой имеются два Zimbra Proxy, два сервера LDAP и LDAP Replica, четыре почтовых хранилища с 1000 почтовых ящиков на каждом и три MTA. Учитывая то, что мы имеем дело с почтовым сервером, на него будет поступать три вида трафика, нуждающегося в балансировке: HTTP для загрузки веб-клиента, а также POP и SMTP для пересылки электронной почты. При этом HTTP-трафик будет уходить на серверы Zimbra Proxy с ip-адресами 192.168.0.57 и 192.168.0.58, а трафик SMTP будет уходить на MTA-серверы с ip-адресами 192.168.0.77 и 192.168.0.78.
Как уже говорилось, для обеспечения равномерного распределения запросов между серверами мы будем использовать балансировщик нагрузки HAProxy, который будет работать на входном узле инфраструктуры Zimbra под управлением Ubuntu 18.04. Установка haproxy в этой операционной системе осуществляется при помощи команды sudo apt-get install haproxy. После этого необходимо в файле /etc/default/haproxy изменить параметр ENABLED=0 на ENABLED=1. Теперь, для того, чтобы убедиться в том, что haproxy работает, достаточно ввести команду service haproxy. В том случае, если эта служба работает, это будет понятно по выводу команды.
Одним из главных недочетов HAProxy является то, что он по умолчанию не передает IP-адрес подключаемого клиента, подменяя его своим собственным. Это может привести к ситуациям, когда присылаемые злоумышленниками письма нельзя будет идентифицировать по IP-адресу, чтобы добавить его в черный список. Впрочем, этот вопрос можно решить. Для этого необходимо отредактировать файл /opt/zimbra/common/conf/master.cf.in на серверах с Postfix и добавить в него следующие строки:
26 inet n - n - 1 postscreen
-o postscreen_upstream_proxy_protocol=haproxy
466 inet n - n - - smtpd
%%uncomment SERVICE:opendkim%% -o content_filter=scan:[%%zimbraLocalBindAddress%%]:10030
-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=
-o smtpd_data_restrictions=
-o smtpd_helo_restrictions=
-o smtpd_recipient_restrictions=
-o smtpd_relay_restrictions=permit_sasl_authenticated,reject
-o syslog_name=postfix/smtps
-o milter_macro_daemon_name=ORIGINATING
-o smtpd_upstream_proxy_protocol=haproxy
%%uncomment LOCAL:postjournal_enabled%% -o smtpd_proxy_filter=[%%zimbraLocalBindAddress%%]:10027
%%uncomment LOCAL:postjournal_enabled%% -o smtpd_proxy_options=speed_adjust
588 inet n - n - - smtpd
%%uncomment SERVICE:opendkim%% -o content_filter=scan:[%%zimbraLocalBindAddress%%]:10030
-o smtpd_etrn_restrictions=reject
-o smtpd_sasl_auth_enable=%%zimbraMtaSaslAuthEnable%%
-o smtpd_tls_security_level=%%zimbraMtaTlsSecurityLevel%%
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
-o smtpd_data_restrictions=
-o smtpd_helo_restrictions=
-o smtpd_recipient_restrictions=
-o smtpd_relay_restrictions=permit_sasl_authenticated,reject
-o syslog_name=postfix/submission
-o milter_macro_daemon_name=ORIGINATING
-o smtpd_upstream_proxy_protocol=haproxy
%%uncomment LOCAL:postjournal_enabled%% -o smtpd_proxy_filter=[%%zimbraLocalBindAddress%%]:10027
%%uncomment LOCAL:postjournal_enabled%% -o smtpd_proxy_options=speed_adjust
За счет этого мы откроем порты 26, 466 и 588, которые будут принимать входящий трафик из HAProxy. После того как файлы будут сохранены, следует перезапустить Postfix на всех серверах с помощью команды zmmtactl restart.
После этого приступим к настройке HAProxy. Для этого сперва создадим резервную копию файла с настройками cp /etc/haproxy/haproxy.cfg /etc/haproxy/haproxy.cfg.bak. Затем откроем в текстовом редакторе исходный файл /etc/haproxy/haproxy.cfg и начнем поэтапно добавлять в него необходимые настройки. Первым блоком станет добавление сервера, снимающего логи, установка максимально разрешенного числа одновременных подключений, а также указание имени и группы пользователя, к которому будет относиться исполняемый процесс.
global
user daemon
group daemon
daemon
log 127.0.0.1 daemon
maxconn 5000
chroot /var/lib/haproxy
Цифра в 5000 одновременных подключений появилась неспроста. Поскольку в нашей инфраструктуре 4000 почтовых ящиков, необходимо предусмотреть вероятность того, что все они одновременно зайдут в свою рабочую почту. Кроме того, необходимо оставить небольшой запас на тот случай, если их число увеличится.
Теперь добавим блок с настройками по умолчанию:
defaults
timeout client 1m
log global
mode tcp
timeout server 1m
timeout connect 5s
В этом блоке задается максимальное время ожидания клиента и сервера, чтобы разрывать соединение при его истечении, а также задается режим работы HAProxy. В нашем случае балансировщик нагрузки работает в режиме TCP, то есть просто передает пакеты TCP не анализируя их содержимое.
Далее мы добавим правила для соединений на различных портах. Например, если порт 25 используется для SMTP-подключений и передачи почты, то имеет смысл перенаправлять подключения к нему на MTA, имеющиеся в нашей инфраструктуре. Если же соединение идет на порту 80, то это http-запрос, который необходимо переправить на Zimbra Proxy.
Правило для порта 25:
frontend smtp-25
bind *:27
default_backend backend-smtp-25
backend backend-smtp-25
server mta1 192.168.0.77:26 send-proxy
server mta2 192.168.0.78:26 send-proxy
Правило для порта 465:
frontend smtp-465
bind *:467
default_backend backend-smtp-465
backend backend-smtp-465
server mta1 192.168.0.77:466 send-proxy
server mta2 192.168.0.78:466 send-proxy
Правило для порта 587:
frontend smtp-587
bind *:589
default_backend backend-smtp-587
backend backend-smtp-587
server mail1 192.168.0.77:588 send-proxy
server mail2 192.168.0.78:588 send-proxy
Правило для порта 80:
frontend http-80
bind *:80
default_backend http-80
backend http-80
mode tcp
server zproxy1 192.168.0.57:80 check
server zproxy2 192.168.0.58:80 check
Правило для порта 443:
frontend https
bind *:443
default_backend https-443
backend https-443
mode tcp
server zproxy1 192.168.0.57:80 check
server zproxy2 192.168.0.58:80 check
Обратите внимание, что что в правилах для пересылки TCP-пакетов к MTA рядом с их адресами стоит параметр send-proxy. Это нужно для того, чтобы, в соответствии с внесенными нами ранее изменений в настройки Postfix, вместе с TCP-пакетами пересылался и оригинальный IP-адрес его отправителя.
Теперь, когда все необходимые изменения в HAProxy внесены, можно перезапустить сервис при помощи команды service haproxy restart и приступать к его использованию.
По всем вопросам, связанными c Zextras Suite вы можете обратиться к Представителю компании «Zextras» Екатерине Триандафилиди по электронной почте [email protected]
Zimbra Desktop 7.3.1 — почтовый клиент, органайзер.
Zimbra Desktop — представляет собой многофункциональное бесплатное приложение, включающее в себя не только почтовый клиент, позволяющий обслуживать несколько учетных записей, но и некоторые встроенные компоненты, помогающие деловым людям решать множество задач. К таким средствам относятся: интегрированная адресная книга, календарь и планировщик задач, ежедневник, функция портфель и, наконец, подключение к аккаунтам социальных сетей.
В нашем случае Zimbra предназначена для работы на компьютерах под управлением операционных систем Windows, она может быть запущена в режиме офлайн, то есть работать автономно, что может быть полезно в дороге или на природе. При подключении же к Интернет, произойдет синхронизация данных с онлайн аккаунтом. Эта программа создана для повышения уровня комфортности при общении людей, поскольку объединила в едином интерфейсе несколько протоколов связи.
Данное средство позволяет собирать и оправлять корреспонденцию одновременно из нескольких почтовых ящиков. Пользователь сможет определить, как часто забирать письма из аккаунтов учетных записей, поэтому все сделано будут автоматически. Разработчики сделали возможным быстро и просто настроить подключение к самым известным почтовым службам, таким как: Mail, Yahoo! Gmail, конечно Zimbra, но также можно настроить и любой другой почтовый ящик, работающий по протоколу POP3 или IMAP.
Zimbra Desktop также позволяет собирать сообщения со всех аккаунтов социальных сетей: Facebook, Digg, Tweeter. Авторы утверждают, что на сегодняшний день, это самое удобное средство, объединившее в себе как почтовый клиент, так и менеджера социальных сетей. Дополнительные встроенные функции добавляют возможностей для пользователей.
Кроме всех достоинств, перечисленных выше, надо отметить и поддержку более 20 языков мира, доступных в интерфейсе. В список доступных для смены языков входит и русский язык, что, безусловно, делает приложение более адаптированным для русскоязычного пользователя. На сайте авторов можно также скачать бесплатно версии для Mac, Linux, а ниже можно загрузить и апробировать на практике Windows-редакцию.
Zimbra Desktop имеет стильный приятный внешний вид, есть возможность смены темы оформления, настройки некоторых параметров визуального отображения, настройка часового пояса, функции поиска. Плюс программа не имеет встроенного вредоносного программного обеспечения и не устанавливает дополнительное ПО, кроме этого она имеет открытый исходный код.
Zimbra и защита сервера от перегрузок / Блог компании Zextras / Хабр
Электронная почта основательно закрепилась в качестве стандарта делового общения. Благодаря высокой экономической эффективности электронных писем, а также ряду особенностей, связанных с цитированием текста и прикреплением вложений, именно электронные письма как нельзя лучше подходят на роль универсального способа для обмена документами и вежливого делового общения. Эти же особенности стали причиной, по которой электронную почту так полюбили спамеры. В результате, на сегодняшний день электронная почта представляет из себя огромный бушующий океан спама, в водах которого лишь изредка встречаются деловые письма. Именно поэтому одной из первоочередных задач администратора любого почтового сервера является защита от спам-рассылок. Давайте же посмотрим на то, что с этим можно сделать в Zimbra Collaboration Suite Open-Source Edition.
Несмотря на бесплатность решения, Zimbra OSE способна предоставить системному администратору массу крайне эффективных инструментов для решения проблемы получения нежелательных писем. Мы уже писали о таких утилитах как Amavis, SpamAssassin, ClamAV и cbpolicyd, которые позволяют надежно фильтровать входящую почту, отсеивая спам-рассылки, а также зараженные и фишинговые письма. Тем не менее, ключевым их недостатком является то, что все они работают с уже полученными почтовыми сообщениями и расходуют на фильтрацию бесполезных сообщений системные ресурсы, которым всегда можно найти гораздо лучшее применение. Но что если ваше предприятие оказалось под прицелом крупного ботнета, который постоянно закидывает ваш почтовый сервер настолько большими количествами мусорных писем, что на одну только их фильтрацию уйдет львиная доля серверных мощностей MTA?
В теории защититься от этого можно при помощи подключения облачного сервиса для фильтрации входящей почты, однако на практике такой способ защиты подойдет далеко не каждому предприятию, ведь в таком случае придется доверить третьим лицам обработку не только спама, но и деловой переписки, что далеко не всегда безопасно, а зачастую и прямо противоречит политике безопасности компании. Кроме того, появляются риски, связанные с надежностью работы облачного спам-фильтра. Выходом из данной ситуации может стать организация защиты сервера собственными силами. Специально для этих целей в Zimbra была встроена утилита Postscreen, которая призвана защищать почтовый сервер от писем, посылаемых ботнетами, не нагружая при этом почтовый сервер.
Суть работы Postscreen заключается в том, что эта утилита просматривает все запросы на подключение к почтовому серверу и не дает соединяться с сервером тем клиентам, которые покажутся ей подозрительными. Поскольку, согласно статистике, около 90% спама в мире рассылается именно ботнетами, Postscreen часто используют как первую степень защиты почтового сервера от нежелательных почтовых рассылок. Благодаря этому почтовый сервер может стабильно работать без перегрузок даже в условиях сильных спам-атак со стороны крупных ботнетов.
Принцип работы Postscreen довольно прост, утилита способна проводить ряд простейших проверок входящих писем перед тем как передать их почтовому серверу или другим службам, которые проводят более глубокую и детальную проверку входящих писем. Каждая из проверок, соответственно, может быть пройдена, а может быть не пройдена. На основании результатов каждой из проверок Postscreen может применить одно из трех действий по выбору администратора Zimbra: Drop, Ignore или Enforce. Действие Drop принудительно разрывает соединение с клиентом в случае, если проверка не пройдена, действие Ignore позволяет игнорировать результаты проверки при принятии итогового решения, но при этом собирать информацию и статистику о проведении проверок, а действие Enforce позволяет учитывать результаты проведенных проверок при вынесении итогового решения, но при этом продолжать выполнять все тесты, которые запланированы системным администратором.
Простой принцип работы вовсе не означает простоту в использовании и настройке. Дело в том, что неправильно сконфигурированный Postscreen может стать причиной, по которой ряд важных для предприятия писем не достигнут адресата. Именно поэтому к настройке такого мощного инструмента как Postscreen необходимо подходить с большой осторожностью и постоянно тестировать его на поведение в тех или иных ситуациях.
Postscreen в Zimbra включен изначально, однако многих может не устроить изначальная конфигурация. Сейчас мы рассмотрим наилучший в плане безопасности и отсутствия рисков вариант настройки Postscreen. Суть его заключается в том, что после провала какой-либо из проверок, Postscreen не будет без разговоров разрывать соединение с клиентом, а проведет все проверки до конца и в том случае, если эти проверки будут провалены, выдаст сообщение об ошибке. Это позволит оповестить живого отправителя о недоставке письма в том случае, если Postscreen примет его за спам. Достигается это установкой значения enforce в параметрах проведения проверок. Именно это значение позволяет завершать начатые проверки до конца, не разрывая соединение с клиентом при первом же провале, но при этом по их завершении все-таки заблокировать письмо со спамом, не доставляя его на сервер.
Для того, чтобы включить необходимые проверки, нужно ввести следующие команды:
zmprov mcf zimbraMtaPostscreenDnsblSites ‘b.barracudacentral.org=127.0.0.2*7’ zimbraMtaPostscreenDnsblSites ‘zen.spamhaus.org=127.0.0.[10;11]*8’ zimbraMtaPostscreenDnsblSites ‘zen.spamhaus.org=127.0.0.[4..7]*6’ zimbraMtaPostscreenDnsblSites ‘zen.spamhaus.org=127.0.0.3*4’ zimbraMtaPostscreenDnsblSites ‘zen.spamhaus.org=127.0.0.2*3’
Эта команда позволяет добавить DNS-проверку входящих соединений по двум наиболее популярным публичным спам-базам и рейтинговать письма в зависимости от того, в какой из баз будет найден адрес отправителя. Чем больше штрафных «звезд» наберет клиент, тем более вероятно, что он является спамером
zmprov mcf zimbraMtaPostscreenDnsblAction enforce
Этой командой определяется действие, которое совершается по итогам прохождения DNS-проверки. В данном случае результат проверки запоминается, а само письмо продолжает проходить дальнейшие тесты.
zmprov mcf zimbraMtaPostscreenGreetAction enforce
Поскольку в SMTP-протоколе, после непосредственного соединения, сервер первым начинает общение с клиентом и, соответственно, Postscreen может послать клиенту приветствие. Благодаря тому, что многие спам-клиенты, не дожидаясь окончания приветствия, начинают посылать команды, их можно легко распознать. Данная команда позволяет учесть результаты данной проверки, но при этом продолжать выполнить дальнейшие тесты.
zmprov mcf zimbraMtaPostscreenNonSmtpCommandAction drop
В рамках данной проверки Postscreen позволяет отсеять те подключения, которые исходят не от почтовых клиентов. Поскольку никаких писем они не посылают, можно безо всяких опасений отключать их от сервера.
zmprov mcf zimbraMtaPostscreenPipeliningAction enforce
Данная проверка основывается на том, что по умолчанию в протоколе SMTP клиент может отправить лишь одну команду за раз и затем ожидать ответа сервера на эту команду. Однако многие спам-боты ведут себя иначе, отправляя множество команд, не дожидаясь ответа от сервера. Это позволяет практически безошибочно идентифицировать спам-бота.
В принципе, данных проверок для Postscreen будет более чем достаточно для того, чтобы отсечь от сервера основную массу спам-ботов и добиться значительного снижения нагрузки на свой почтовый сервер. При этом живые люди будут получать сообщение о том, что их письмо не было доставлено, что значительно снижает риск потери важных писем из-за настроек Postscreen. В том случае, если такое произошло, вы можете добавить надежного отправителя в белый список Postscreen. Для того, чтобы создавать белые и черные списки Postscreen, сперва необходимо создать файл /opt/zimbra/conf/postfix/postscreen_wblist.
В него мы добавим перечень разрешенных и запрещенных ip-адресов и подсетей в формате таблицы CIDR. Для примера заблокируем подсеть 121.144.169.*, но разрешим подключение единственному ip-адресу из данной подсети:
# Rules are evaluated in the order as specified.
# Blacklist 121.144.169.* except 121.144.169.196.
121.144.169.196/32 permit
121.144.169.0/24 reject
Обращаем ваше внимание на важность порядка записей. Дело в том, что Postscreen будет сканировать файл с белыми и черными списками до первого совпадения и если заблокированная подсеть будет стоять раньше разрешенного ip-адреса, то проверка просто не дойдет до записи о том, что данный ip-адрес добавлен в белый список и соединение с сервером не произойдет.
После того как файл с белыми и черными списками отредактирован и сохранен, можно включать соответствующую проверку при помощи следующих команд:
zmprov mcf zimbraMtaPostscreenAccessList «permit_mynetworks, cidr:/opt/zimbra/conf/postfix/postscreen_wblist»
zmprov mcf zimbraMtaPostscreenBlacklistAction enforce
Теперь Postscreen, помимо уже заданных нами проверок, будет также обращаться к файлу с белыми и черными списками, что позволит администратору достаточно легко решать вопросы с невозможность подключения к серверу надежных отправителей.
По всем вопросам, связанными c Zextras Suite вы можете обратиться к Представителю компании «Zextras» Катерине Триандафилиди по электронной почте [email protected]
Безопасное обновление Zimbra Collaboration Suite / Блог компании Zextras / Хабр
Так уж сложилось, что системные администраторы всегда с недоверием относятся ко всему новому. Буквально все, начиная от новых серверных платформ до обновлений программного обеспечения воспринимается с настороженностью, ровно до тех пор, пока не появится первый практический опыт использования и позитивные отзывы от коллег из других предприятий. Оно и понятно, ведь когда в буквальном смысле головой отвечаешь за работоспособность предприятия и сохранность важной информации, со временем перестаешь доверять даже самому себе, не говоря уже о контрагентах, подчиненных или обычных пользователях.
Недоверие к обновлениям программного обеспечения обусловлено массой неприятных случаев, когда установка свежих патчей приводила к падению производительности, изменениям в пользовательском интерфейсе, отказу информационной системы или, что особенно неприятно, потере данных. Однако и полностью отказаться от обновлений нельзя, в таком случае инфраструктура вашего предприятия может подвергнуться атаке киберпреступников. Достаточно вспомнить нашумевший случай с вирусом WannaCry, когда данные, хранившиеся на миллионах не обновленных до последней версии Windows компьютерах, оказались зашифрованными. Этот инцидент не только стоил рабочего места не одной сотне системных администраторов, но и наглядно показал необходимость выработки новой политики обновления программных продуктов на предприятии, которая бы позволяла сочетать безопасность и скорость их установки. Давайте же в преддверие выхода LTS-релиза Zimbra 8.8.15 посмотрим на то, как можно обновить Zimbra Collabration Suite Open-Source Edition, чтобы гарантированно обеспечить сохранность всех критически важных данных.
Одной из главных особенностей Zimbra Collaboration Suite является то, что практически все ее звенья можно дублировать. В частности, можно в дополнение к основному серверу LDAP-Master добавить дублирующие LDAP-replica, на которые, в случае необходимости, можно перебросить функции основного LDAP-сервера. Также можно дублировать Proxy-серверы и серверы с MTA. Такое дублирование позволяет при необходимости выводить из инфраструктуры отдельные звенья инфраструктуры на время обновления и, благодаря этому, надежно защитить себя не только от длительного простоя, но и от потери данных в случае неудачного обновления.
В отличие от остальных звеньев инфраструктуры, дублирование почтовых хранилищ в Zimbra Collaboration Suite не поддерживается. Даже в том случае, если в вашей инфраструктуре имеются несколько почтовых хранилищ, данные каждого почтового ящика могут находиться на каком-либо одном почтовом сервере. Именно поэтому одно из главных правил сохранности данных при обновлении — своевременное резервирование информации на почтовых хранилищах. Чем свежее ваш бэкап, тем больше данных сохранится при возникновении нештатной ситуации. Однако здесь есть нюанс, который заключается в том, что в бесплатной редакции Zimbra Collaboration Suite нет встроенного механизма резервного копирования и для создания резервных копий придется воспользоваться встроенными средствами GNU/Linux. Однако если в вашей инфраструктуре Zimbra работает несколько почтовых хранилищ, а размер почтового архива достаточно велик, то каждое такое резервирование может длиться очень долго, а также создавать серьезную нагрузку на локальную сеть и на сами серверы. Кроме того, во время длительного копирования резко возрастают риски возникновения различных форс-мажоров. Также, если выполнять такое резервирование без остановки сервиса, возникает риск того, что ряд файлов может быть скопирован некорректно, что приведет к потере некоторых данных.
Именно поэтому в том случае, если вам необходимо резервировать большие объемы информации c почтовых хранилищ, лучше использовать инкрементное резервирование, которое позволяет избежать полного копирования всей информации, а резервировать лишь те файлы, которые появились или подверглись изменению после снятия предыдущей полной резервной копии. Это значительно ускоряет процесс снятия бэкапов, а также позволяет быстрее приступить к установке обновлений. Добиться инкрементного резервирования в Zimbra Open-Source Edition можно при помощи модульного расширения Zextras Backup, входящего в состав Zextras Suite.
Еще один мощный инструмент Zextras PowerStore позволяет системному администратору дедуплицировать данные на почтовом хранилище. Это означает, что все одинаковые вложения и повторяющиеся электронные письма на почтовом сервере будут заменены на один исходный файл, а все повторы превратятся в прозрачные символьные ссылки. Благодаря этому можно добиться не только значительной экономии места на жестком диске, но и значительного уменьшения размера резервной копии, что позволяет добиться снижения времени полного резервного копирования и, соответственно, проводить его гораздо чаще.
Но главной возможностью, которую способен предоставить Zextras PowerStore для безопасного обновления, является перенос почтовых ящиков между почтовыми серверами в мультисерверных инфраструктурах Zimbra. Благодаря этой возможности системный администратор получает возможность проделать с почтовыми хранилищами ровно то же самое, что мы делали с MTA- и LDAP-серверами для их безопасного обновления. Например, если в инфраструктуре Zimbra имеются четыре почтовых хранилища, можно попробовать распределить почтовые ящики с одного из них по остальным трем, и когда первое почтовое хранилище окажется пустым, можно безо всяких опасений за сохранность данных его обновить. Если же у системного администратора в инфраструктуре имеется запасное почтовое хранилище, он может воспользоваться им, как временным вместилищем для почтовых ящиков, перенесенных с обновляемых почтовых хранилищ.
Выполнять подобный перенос позволяет консольная команда DoMoveMailbox. Для того, чтобы ей воспользоваться с целью переноса всех аккаунтов с почтового хранилища, необходимо сперва получить их полный список. Для того, чтобы этого добиться, на почтовом сервере исполним команду zmprov sa zimbraMailHost=mailbox.example.com > accounts.txt. После ее выполнения мы получим файл accounts.txt со списком всех почтовых ящиков на нашем почтовом хранилище. После этого можно будет сразу же воспользоваться им для переноса аккаунтов на другое почтовое хранилище. Выглядеть это будет, например, вот так:
zxsuite powerstore doMailboxMove reserve_mailbox.example.com input_file accounts.txt stages data
zxsuite powerstore doMailboxMove reserve_mailbox.example.com input_file accounts.txt stages data,account notifications [email protected]
Команда выполняется два раза для того, чтобы в первый раз скопировать все данные без переноса самого аккаунта, а во второй раз, поскольку перенос данных осуществляется инкрементно, скопировать все данные, появившиеся после первого переноса, а затем перенести и сами аккаунты. Обращаем ваше внимание на то, что перенос аккаунта сопровождается небольшим периодом недоступности почтового ящика, и будет разумно предупредить пользователей об этом. Кроме того, после окончания исполнения второй команды, на почту администратору приходит соответствующее уведомление. Благодаря ему администратор может максимально быстро приступить к обновлению почтового хранилища.
В случае, если обновление программного обеспечения на почтовом хранилище осуществляется SaaS-провайдером, гораздо разумнее будет переносить данные не по аккаунтам, а по доменам, которые располагаются на нем. Для этих целей достаточно немного видоизменить вводимую команду:
zxsuite powerstore doMailboxMove reserve_mailbox.saas.com domains client1.ru, client2.ru, client3.ru stages data
zxsuite powerstore doMailboxMove secureserver.saas.com domains client1.ru, client2.ru, client3.ru stages data,account notifications [email protected]
После того как перенос аккаунтов и их данных с почтового хранилища осуществлен, данные на исходном сервере перестают представлять хоть какую-то значимость и можно начинать обновление почтового сервера без каких-либо опасений за их сохранность.
Для тех же, кто стремится минимизировать время простоя при переносе почтовых ящиков, идеально подойдет принципиально иной сценарий использования команды zxsuite powerstore doMailboxMove, суть которого заключается в том, что перенос почтовых ящиков осуществляется сразу на обновленные серверы, без необходимости использования промежуточных серверов. Иными словами, мы добавляем в инфраструктуру Zimbra новое почтовое хранилище, которое уже обновлено до последней версии, а затем просто переносим на него по уже знакомому сценарию аккаунты с необновленного сервера и повторяем процедуру до тех пор, пока все серверы в инфраструктуре не будут обновлены.
Такой способ позволяет осуществлять перенос аккаунтов единожды и за счет этого сократить время, на протяжении которого почтовые ящики будут оставаться недоступными. Кроме того, для его осуществления потребуется всего один дополнительный почтовый сервер. Однако к его использованию с осторожностью следует отнестись тем администраторам, которые разворачивают почтовые хранилища на разных по конфигурации серверах. Дело в том, что перенос большого числа аккаунтов на более слабый сервер может негативно сказаться на доступности и отзывчивости сервиса, что может быть довольно критичным для крупных предприятий и SaaS-провайдеров.
Таким образом, благодаря Zextras Backup и Zextras PowerStore, системный администратор Zimbra получает возможность обновлять все узлы инфраструктуры Zimbra безо всякого риска для хранящихся на них информации.
По всем вопросам, связанными c Zextras Suite вы можете обратиться к Представителю компании «Zextras» Катерине Триандафилиди по электронной почте [email protected]
Настройка Single Sign-On в Zimbra Collaboration Suite / Блог компании Zextras / Хабр
Наряду с Active Directory, одной из важных технологий для обеспечения удобства работы пользователей даже при самой строгой парольной политике безопасности, является технология Single Sign-On. Данная технология позволяет сотрудникам после очередной смены пароля проходить процедуру аутентификации один раз и после успешного ее завершения, получать доступ ко всем корпоративным ресурсам автоматически. В том случае, если вы используете Zimbra Collaboration Suite, то можете захотеть настроить SSO и на ней. Ниже мы расскажем о том, как это сделать.
Если вы настроили авторизацию в Zimbra через AD по инструкции из предыдущей статьи, то принцип настройки SSO будет сводиться к созданию keytab-файла в Kerberos, а также специального аккаунта-билетера в AD, настройке SPNEGO на сервере Zimbra и выдаче сертификатов для использования SSO всем пользователям. Особо отметим, что крайне важно создавать резервные копии файлов, в которые будут вноситься те или иные изменения, и хранить их в отдельных папках, чтобы непредвиденные проблемы не обернулись для вас крупными неприятностями.
В первую очередь нам потребуется создать в Zimbra аккаунт ticketer и запретить ему смену пароля, а также создать Service Principal Name (SPN) в Kerberos для аккаунта-билетера на контроллере домена. Сделать это можно при помощи команды setspn –A mail.domain.com ticketer, после чего необходимо проверить результат при помощи команды setspn –L ticketer. После этого создаем на контроллере домена keytab-файл при помощи команды примерно вот такого вида:
ktpass -out c:\keys\jetty.keytab -princ HTTP/[email protected] -mapUser ticketer -mapOp set -pass !@#$%& -crypto RC4-HMAC-NT -pType KRB5_NT_PRINCIPAL
После того как keytab-файл будет успешно создан, необходимо будет переместить его на сервер Zimbra Collaboration Suite в папки /opt/zimbra/data/mailboxd/spnego/ и /opt/zimbra/jetty/, после чего необходимо изменить права доступа к ним:
chown ticketer:zimbra /opt/zimbra/data/mailboxd/spnego/jetty.keytab
chown ticketer:zimbra /opt/zimbra/jetty/jetty.keytab
Теперь же приступим к настройке встроенной в Zimbra Collaboration Suite утилиты SPNEGO, которая и будет работать с созданным ранее .keytab-файлом. Настроить SPNEGO можно при помощи следующих команд:
su zimbrazmprov mcf zimbraSpnegoAuthEnabled TRUE
zmprov mcf zimbraSpnegoAuthRealm domain.local
zmprov ms mail.domain.com zimbraSpnegoAuthTargetName HTTP/mail.domain.com
zmprov ms mail.domain.com zimbraSpnegoAuthPrincipal HTTP/mail.domain.com
zmprov md domain.com zimbraAuthKerberos5Realm domain.local
zmprov md domain.com zimbraWebClientLoginURL '/service/spnego'
zmprov md domain.com zimbraWebClientLogoutURL '../?sso=1'
Следующим шагом станет приведение файла настроек /opt/zimbra/jetty/etc/krb5.ini в примерно следующий вид:
[libdefaults]
default_realm = domain.local
dns_lookup_realm = no
dns_lookup_kdc = no
kdc_timesync = 1
ticket_lifetime = 24h
default_keytab_name = FILE:/opt/zimbra/data/mailboxd/spnego/jetty.keytab
default_tgs_enctypes = arcfour-rc4-md5 rc4-hmac des-cbc-crc des-cbc-md5
default_tkt_enctypes = arcfour-rc4-md5 rc4-hmac des-cbc-crc des-cbc-md5
permitted_enctypes = arcfour-rc4-md5 rc4-hmac des-cbc-crc des-cbc-md5
[realms]
domain.local = {
kdc = dc.domain.local
admin_server = dc.domain.local
default_domain = domain.local
}
[appdefaults]
autologin = true
forwardable=true
После этого необходимо настроить браузеры пользователей, добавив в network.neg значения mail.domain.com во все поля со словом uris в названии. Ускорить этот процесс можно за счет использования групповых политик.
Последним штрихом станет обновление настроек авторизации через AD в Zimbra Collaboration Suite:
su zimbra
zmprov md domain.ru +zimbraAutoProvAuthMech SPNEGO +zimbraAutoProvAuthMech KRB5 +zimbraAutoProvAuthMech PREAUTH +zimbraAutoProvAuthMech LDAP
zmcontrol restart
Готово! Теперь у вас в Zimbra настроен не только корректно работающий Single Sign-On, но и автоматическое создание почтовых ящиков при первом заходе пользователя на сервер, авторизовавшегося через SSO.
По всем вопросам, связанными c Zextras Suite вы можете обратиться к Представителю компании «Zextras» Катерине Триандафилиди по электронной почте [email protected]
Устранение неисправностей — Zimbra :: Tech Center
— Эта статья «Незавершенная работа» , и в ней могут быть незавершенные или отсутствующие разделы.
Действия и инструменты, используемые для устранения проблемы, различаются в зависимости от того, с каким продуктом Zimbra вы испытываете проблемы. Эта страница содержит ресурсы по устранению неполадок для следующих продуктов Zimbra:
- Пакет для совместной работы Zimbra (ZCS)
- Коннектор Zimbra для Outlook (ZCO)
- Коннектор Zimbra для Blackberry (ZCB)
- Zimbra Desktop (ZD)
Каждый раздел содержит ссылки на основные статьи и инструменты по устранению неполадок, а также ссылки на другие связанные категории и статьи по устранению неполадок.
В случае, если вам необходимо обратиться в службу поддержки Zimbra за дополнительной помощью по проблеме, каждый раздел также содержит ссылку на список журналов, данных или других элементов, которые вы должны собрать, прежде чем обращаться в службу поддержки. Наличие этих элементов в открытом доступе предоставит команде поддержки Zimbra информацию, необходимую для расследования проблемы, и сократит время первоначального ответа.
При устранении неполадок в ZCS важно собирать данные в то время, когда проблема возникает.Практически в каждом случае лучше всего выполнить команду CLI zmdialog .
Важно: Если проблема требует перезапуска служб, это следует делать только после завершения работы zmdialog .
Основные статьи по поиску и устранению неисправностей
Для получения дополнительных сведений об устранении неполадок см. Одну из следующих основных статей по устранению неполадок.
Инструменты для поиска и устранения неисправностей
Ниже приводится список инструментов, которые можно использовать для сбора информации о проблеме, возникающей в ZCS.Также есть ссылки на статьи и категории Wiki, которые содержат дополнительную информацию об этих инструментах.
Ссылки по теме
Перед обращением в службу поддержки Zimbra
Чтобы помочь нам обеспечить высочайший уровень обслуживания, прежде чем обращаться в службу поддержки, соберите следующую информацию.
- Предоставьте подробное описание проблемы и шаги по воспроизведению проблемы.
- Общая информация
- Конфигурация оборудования. ЦП и оперативная память.
- Конфигурация программного обеспечения.Версия ОС.
- Сетевые особенности. Информация о любых прокси-серверах и межсетевых экранах.
- Конфигурация ZCS. Информация о любой конфигурации с одним сервером или несколькими узлами.
- Дополнительная информация. Любая другая информация, которая, по вашему мнению, может помочь в диагностике проблемы.
- Файлы журнала. Вам понадобятся файлы журналов, относящиеся к вашей проблеме, из следующего списка файлов журналов. Эти журналы должны содержать только информацию журналов, собранную во время возникновения проблемы.Например, если проблема возникает между 9: 13–9: 21 утра в понедельник, проверьте, не были ли записаны какие-либо из следующих журналов в понедельник, а затем соберите подробности журнала примерно с 9:00 до 9:30. в тот день.
- Примечание: Поскольку инструмент обращения в службу поддержки Zimbra поддерживает только вложения небольшого размера (2 МБ), часто невозможно включить весь файл журнала при первоначальном создании обращения в службу поддержки. При создании обращения в службу поддержки лучше всего создать текстовый файл, содержащий все события журнала, которые, по вашему мнению, могут иметь отношение к вашей проблеме.См. Пример в ExampleTextLogFile.zip.
- Журналы и вывод из / opt / zimbra / log.
- mailbox.log
- zimbra.log
- mysql_error.log
- myslow.log
- logger_myslow.log
- httpd_error.log
- clamd.log
- zmmtaconfig.log
- nginx.log
- zmconvertd.log
- zmmailboxd.out
- zmstat.out
- zmlogswatch.out
- zmswatch.out
- Журналы из / var / log.
Основные статьи по поиску и устранению неисправностей
Для получения дополнительных сведений об устранении неполадок см. Одну из следующих основных статей по устранению неполадок.
Инструменты для поиска и устранения неисправностей
Дополнительные сведения об инструментах и процедурах устранения неполадок ZCO см. В следующих статьях.
Ссылки по теме
Дополнительные статьи и ресурсы по устранению проблем ZCO см. По этим ссылкам.
Перед обращением в службу поддержки Zimbra
Чтобы помочь нам обеспечить высочайший уровень обслуживания, прежде чем обращаться в службу поддержки, соберите следующую информацию.
Помимо вышеуказанной информации, включите следующую информацию, если она имеет отношение к вашей проблеме.
- Установить журналы. Если у вас возникли проблемы с установкой ZCO, включите журналы установки. Вы можете создать журналы установки, выполнив следующую команду.
msiexec / i/ lv
Например, следующая команда создаст журнал установки ZCO с именем case00012345-zco-install.log.
msiexec / i ZimbraOlkConnector-5.0.6_GA_2314_5.0.2635.6.msi / lv case00012345-zco-install.log
Проблемы с Zimbra Connector для Blackberry (ZCB) обычно возникают во время установки или активации. Среди других распространенных проблем — устройства не получают электронную почту. Действия по устранению проблемы зависят от того, когда возникает проблема и какие типы сообщений об ошибках генерируются во время возникновения проблемы.
Устранение основных неисправностей
Для получения дополнительных сведений об устранении неполадок см. Одну из следующих основных статей по устранению неполадок.
Инструменты для поиска и устранения неисправностей
Дополнительные сведения об инструментах и процедурах устранения неполадок ZCB см. В следующих статьях.
Ссылки по теме
Дополнительные статьи и ресурсы по устранению неполадок ZCB см. По этим ссылкам.
Перед обращением в службу поддержки Zimbra
Чтобы помочь нам обеспечить высочайший уровень обслуживания, прежде чем обращаться в службу поддержки, соберите следующую информацию.
- Предоставьте подробное описание проблемы и шаги по воспроизведению проблемы.
- Общая информация
- Конфигурация оборудования. ЦП и оперативная память.
- Конфигурация программного обеспечения. Версия ОС, версия BES и версия ZCB.
- Сетевые особенности. Информация о любых прокси-серверах и межсетевых экранах.
- Конфигурация ZCS. Информация о любой многоузловой конфигурации.
- Конфигурация BES. Информация о конфигурации нескольких агентов и любых базах данных SQL.
- Дополнительная информация. Любая другая информация, которая, по вашему мнению, может помочь в диагностике проблемы.
- Файлы журнала. Есть два набора журналов, которые очень важны при отладке проблем ZCB. Вам необходимо включить журналы, созданные ZCB Logging Control, описанные в Руководстве по соединителю ZCS для Blackberry, в разделе «Использование Logging Control для устранения неполадок». Вам также необходимо включить журналы BlackBerry Enterprise Server, которые хранятся в ежедневных папках. Обратитесь к документации BlackBerry Enterprise Server для получения информации о том, как найти и настроить эти журналы.
Помимо приведенной выше информации, включите следующую информацию, если она имеет отношение к вашей проблеме.
- Автоматическая свалка керна. В случае сбоя агента BlackBerry Agent файл дампа ядра создается автоматически. Этот файл дампа памяти содержит полезную информацию для службы поддержки и разработки, которая поможет диагностировать конкретную проблему. Файлы дампа ядра создаются в папке% TEMPT% \ zco-cores на сервере. Если эти файлы существуют, предоставьте их для поддержки.
- Ручные дампы керна.Если процесс BlackBerry Agent зависает, вы можете вручную создать дамп памяти для отправки в службу поддержки. Инструкции по созданию дампа ядра приведены в разделе «Создание дампа ядра из запущенного процесса с помощью WinDbg».
Основные статьи по поиску и устранению неисправностей
Для получения дополнительных сведений об устранении неполадок см. Одну из следующих основных статей по устранению неполадок.
Инструменты для поиска и устранения неисправностей
Дополнительные сведения об инструментах и процедурах устранения неполадок ZD см. В следующих статьях.
Ссылки по теме
Дополнительные статьи и ресурсы по устранению проблем ZD см. По этим ссылкам.
Перед обращением в службу поддержки Zimbra
Чтобы помочь нам обеспечить высочайший уровень обслуживания, прежде чем обращаться в службу поддержки, соберите следующую информацию.
- Предоставьте подробное описание проблемы и шаги по воспроизведению проблемы.
- Общая информация
- Версия ZD. Версия ZD, которую вы используете.
Попробуйте Zimbra
Попробуйте Zimbra Collaboration с 60-дневной бесплатной пробной версией.
Получить сейчас »
Хотите принять участие?
Вы можете внести свой вклад в Сообщество, Вики, Код или разработку Zimlets.
Узнать больше. »
Ищете видео?
Посетите наш канал YouTube, чтобы получать последние веб-семинары, новости технологий, обзоры продуктов и многое другое.
Перейти на канал YouTube »
.
Zimbra Collaboration Загрузки
Главная
/
Скачать/ Zimbra Desktop
Загрузки Zimbra Desktop
Бесплатный почтовый клиент с открытым исходным кодом
Платформа | Загрузки | |
---|---|---|
64-разрядная версия Windows | Скачать 7.3.1 (MD5) (SHA256) 111,8 МБ | Программа установки Windows MSI | |
32-разрядная версия Windows | Скачать 7.3.1 (MD5) (SHA256) 104,3 МБ | Программа установки Windows MSI | |
Mac OS X 10.9+ | Скачать 7.3.1 (MD5) (SHA256) 198,7 МБ | & nbspDMG Пакет | |
Linux x86 | Скачать 7.3.1 (MD5) (SHA256) 131 МБ | & nbspTAR.GZ Пакет | |
Linux x64 | Скачать 7.3.1 (MD5) (SHA256) 127,9 МБ | & nbspTAR.GZ Пакет |
Платформа | Загрузки | |
---|---|---|
64-разрядная версия Windows | Скачать 7.3.0 (MD5) (SHA256) 106,4 МБ | Программа установки Windows MSI | |
32-разрядная версия Windows | Скачать 7.3.0 (MD5) (SHA256) 98,6 МБ | Установщик MSI для Windows | |
Mac OS X 10.9+ | Скачать 7.3.0 (MD5) (SHA256) 114,8 МБ | & nbspDMG Пакет | |
Linux x86 | Скачать 7.3.0 (MD5) (SHA256) 117,6 МБ | & nbspTAR.GZ Пакет | |
Linux x64 | Скачать 7.3.0 (MD5) (SHA256) 115,8 МБ | & nbspTAR.GZ Пакет |
Быстрые ссылки
Лицензия
Документация
Загрузки по версиям
Поиск
Сброс
Версия |
---|
7.3.1 Версия GA |
Версия 7.3.0 GA |
7.2.8 Версия GA |
7.2.7 Версия GA |
7.2.1 Версия GA |
7.2.2 Версия GA |
7.2.3 Версия GA |
7.2.5 Версия GA |
Версия 7.1.1 GA |
7.1.2 Версия GA |
7.Версия 1.4 GA |
Версия 7.0.1 GA |
Версия 2.0.0 GA |
2.0.1 Версия GA |
1.0.4 GA Release |
.
spf — почта Zimbra отправляется в спам
Переполнение стека
- Около
Продукты
- Для команд
Переполнение стека
Общественные вопросы и ответыПереполнение стека для команд
Где разработчики и технологи делятся частными знаниями с коллегамиВакансии
Программирование и связанные с ним технические возможности карьерного ростаТалант
Нанимайте технических специалистов и создавайте свой бренд работодателяРеклама
Обратитесь к разработчикам и технологам со всего мира- О компании
.