Virtualización y Cloud Computing

Zimbra: Integración con Active Directory

Integrar un sistema de Zimbra con Active Directory, según donde este ubicado el Active Directory y las políticas aplicadas, puede llegar a ser un problema, me explicaré; la integración de Zimbra con Active Directory simplemente es de autenticación, eso quiere decir que lo único que nuestro servidor de Zimbra preguntará a nuestro Active Directory, es el password del usuario.

Imaginemos que el servidor de Zimbra está en la nube y el Active Directory esta ubicado en la empresa. La autenticación de Zimbra, se hace por Internet ya que están ubicados en posiciones geográficas diferentes. Eso quiere decir, que si existiera algún tipo de corte, o nuestro servidor de Zimbra no pudiera conectarse con nuestro Active Directory, nadie podría hacer login y ver sus correos. En cambio, el correo seguiría entrando en nuestro servidor de Zimbra y lo iría ubicando en los buzones de los usuarios del dominio en concreto.

Lo que sucede es que Zimbra no hace cache de los passwords de nuestro Active Directory, ya que sería un fallo de seguridad, pero a su vez es un inconveniente. Vamos a ver una ilustración acerca de cómo quedaría en un entorno Multi Server con la autenticación externa desde un Active Directory.

Cuando integramos nuestro dominio del servidor de Zimbra con Active Directory, no es posible tener cuentas mixtas. O sea, cuentas de nuestro Active Directory y cuentas que usen el LDAP interno, que lleva Zimbra incorporado. Todas las cuentas de correo electrónico del dominio, se ha de enlazar con una cuenta existente del Active Directory.

También es importante saber las políticas restrictivas que tiene el dominio. Ya que si por ejemplo, usan una política en que los usuarios solamente pueden hacer login en determinados equipos de la red, se nos va a complicar la integración de nuestro  Active Directory con Zimbra:

Nosotros vamos a integrar un dominio de correo electrónico que se llama dominio.es y nuestro Active Directory el cual se llama totalmente diferente: ilba.cat. Para que nos situemos, la IP de nuestro Active Directory es la 192.168.100.10  y la IP de nuestro servidor de Zimbra es la 192.168.100.20.

Antes de empezar, verificar que el puerto 3268 de nuestro DC está levantado, este servicio pertenece al catalogo global y es el puerto que nos servirá para autenticar los usuarios con nuestro Active Directory, cabe destacar que esta implementación no usamos el canal seguro de SSL, los passwords irán por la red sin ecriptar. También es importante que no haya el Firewall de Windows habilitado o crear una regla que nos permita el acceso a dicho puerto. Y ya solamente nos queda verificar que el puerto está escuchando,  la comunicación es unidireccional, de nuestro Zimbra al servidor de Active Directory:

Antes de empezar revisaremos en que OU ( Unidad Organizativa ) tenemos creado al usuario que usaremos para la autenticación. En nuestro caso será: Oscar Mas como se observa en la imagen.

Una vez verificada la conexión, nos vamos a la administración de Zimbra y creamos el dominio normalmente, sin ningún tipo de parámetro y una vez acabado, iremos transformando la autenticación en dos pasos:

Integración del dominio de correo

Esta parte es donde le indicamos el Catalogo Global y la cuenta de administración que usaremos. Primero hacemos click derecho en el dominio y “Configurar autenticación”:


Le indicaremos al Wizard que nos autenticaremos con un “Directorio activo externo”

Indicamos el dominio del Active Directory, en nuestro caso ilba.cat y la IP de nuestro servidor de Active Directory:

Añadimos al administrador del dominio o una cuenta que le hayamos delegado la autenticación y verificamos la conectividad:

Integración de los usuarios con nuestro Active Directory

A partir de ahora, nuestro dominio (dominio.es), ya se puede autenticar con nuestro Active Directory, solamente nos queda saber el Distinguished Name de cada usuario, para facilitar la autenticación. Para estar seguros y no cometer ningún error, usaremos el ADSI Edit:

En el cual podremos observar el Distinguished Name:

Una vez sabido el Distinguished Name, ya nos podemos ir al usuario de nuestro servidor de Zimbra y enlazar nuestro usuario de correo con nuestro Active Directory, para que haga la autenticación con la cuenta deseada:

En la autenticación externa pondremos el resultado del ADSI Edit: CN=Oscar Mas,CN=Users,DC=ilba,DC=cat

Si editamos el dominio, estará de la siguiente manera:

A partir de este momento ya podemos hacer login con nuestra cuenta de correo. Si queremos observar los logs, los veremos en:

[root@zimbra ~]# tail -f /opt/zimbra/log/audit.log
2014-02-09 20:17:57,043 INFO  [qtp1062592280-340:http://127.0.0.1:80/service/soap/AuthRequest] [name=oscar@dominio.es;oip=192.168.100.11;ua=zclient/8.0.6_GA_5922;] security – cmd=Auth; account=oscar@dominio.es; protocol=soap;

Falta integrar la GAL con nuestro Active Directory, pero eso lo dejo para otro post 😉

Hay que ser cuidadoso al integrar un servidor de Zimbra con Active Directory. Yo personalmente cuando levando un servidor de Zimbra, lo hago con un dominio ficticio que nuca usaré ( ilba.zcs ), simplemente se usa para tener la cuenta del admin del sistema de Zimbra. Pero si el dominio con el que hemos levantado el servidor de Zimbra, es el mismo con el que vamos a integrar con Active Directory, existe la posibilidad que se corte la comunicación con nuestro servidor de Windows, el cual usamos para autenticar. En este caso tenemos un problema y serio, ya que el admin del sistema de Zimbra, no  podrá logarse en la consola por falta del servidor de autenticación, ya que también lo hemos integrado. Para solventar esta incidencia tenemos el FallBack Authentication.  Pero no lo aconsejo, es mejor levantar el servidor de Zimbra siempre con un dominio ficticio.

Ventajas de usar este método

Zimbra permite tener cada dominio autenticando de un lugar distinto, por lo tanto podríamos tener un entorno local, con Zimbra y AD en la misma red, o Data Center, para dominio.es y para cliente.com autenticar mediante la autenticación local de Zimbra, os dejo una ilustración para que se entienda:

By | 2017-02-13T17:28:46+00:00 10-02-2014|Zimbra|