Перейти к содержанию

Настройка интеграции с Active Directory

Назначение документа

В документе описан процесс настройки интеграции с Active Directory.

Настроить интеграцию с Active Directory

Почта переносит из Acitve Directory список пользователей, группы рассылок и контакты. При этом Почта не хранит пароли пользователей, то есть вся цепочка аутентификации происходит на стороне AD (LDAP-провайдера). Для каждого домена интеграция с AD настраивается отдельно. Чтобы настроить интеграцию:

  1. Перейдите в панель администратора по адресу biz.<почтовый домен>.
  2. Перейдите в раздел Конфигурация -> Настройки.

  3. Уберите чекбокс Не использовать AD.

    freeipa_2

  4. Заполните поля:

    Адрес AD — адрес вашего каталога Active Directory.

    Каталоги пользователей — введите значение поля distinguishedName из списка атрибутов каталога. Например, OU=demoapp.DC=presale.DC=local.

    Примечание

    Если вам нужно указать больше одного каталога пользователей, обратитесь к представителю VK.

    Логин администратора — Distinguished Name (DN) пользователя Active Directory с правами на чтение каталога и авторизацию пользователей. Пример DN: CN=admin,OU=demoapp,DC=local

    Пароль администратора — пароль пользователя Active Directory с правами на чтение каталога и авторизацию пользователей.

    Поле свойства «Отчество» — если вы используете свойство Отчество, введите его значение в это поле.

    Использовать шифрованное соединение (LDAPS) — есть возможность добавления сертификата LDAPS с помощью кнопки Добавить сертификат.

    Игнорировать ошибки сертификата — отметьте этот чекбокс, если у вас самоподписанный SSL-сертификат.

    Сбрасывать сессии пользователей при изменении пароля — если чекбокс отмечен, при изменении пароля пользователя в Active Directory будет сбрасываться сессия в Почте.

    Использовать в качестве логина email вместо username — в текущей версии поле не используется.

    Загружать общие почтовые ящики — отметьте этот чекбокс, чтобы синхронизировать общие ящики с AD.

    Загружать синонимы почты как в AD — отметьте этот чекбокс, чтобы синхронизировать почтовые адреса для аккаунта (синонимы) с AD.

    Внимание

    Перед интеграцией с AD Exchange нужно предварительно завести все домены из Exchange в Почте VK WorkSpace. Иначе часть синонимов не будет создана.

  5. Нажмите на кнопку Сохранить.

Синхронизация с AD выполняется один раз в час. Если AD содержит много данных, то одного часа может быть недостаточно для синхронизации всего объема. В этом случае через час после настройки подключения в разделе Пользователи отобразятся не все пользователи из AD, а только часть. Просто подождите еще час.

Внимание

Если объем данных в AD очень большой, при синхронизации может временно отображаться ошибка 502 (или 504). Не переживайте, дождитесь окончания синхронизации.

Если пользователи не появились в Почте, нужно проверить корректность настроек синхронизации с Active Directory с помощью консольной команды:

sudo journalctl -fu onpremise-container-adloader1.service

Внимание

Поле e-mail в AD должно быть заполнено и домен электронного адреса должен совпадать с доменом в Почте. Домен должен быть заведен в Почте, записи в DNS не обязательны.

Чтобы настроить автоматическую блокировку пользователей в Почте при удалении из каталога:

  1. Перейдите по адресу biz.<mail_domain>/admin/misc/configurations/adloaderclient/.

  2. Кликните по домену, для которого необходимо настроить блокировку пользователей.

  3. Для полей remove и block_removed в разделе users установите значение true:

{
    "syncer": {
        "id": 1,
        "sync_interval": "5m",
        "users": {
            …,
            "remove": true,
            "remove_blocked": true, 
        },
        …,
    },
}

Чтобы удалять пользователей, которые удалены в каталоге, установите следующие параметры:

{
    "syncer": {
        "id": 1,
        "sync_interval": "5m",
        "users": {
            …,
            "remove": true,
            "remove_blocked": false, 
        },
        …,
    },
}