تفترض هذه المقالة أنك تستخدم Active Directory لمصادقة المستخدمين ، ويتم تنفيذ تسجيل الدخول الأحادي باستخدام Kerberos ، ويتوافق المستخدمون في بيئة نظام التشغيل Zimbra مع أولئك الذين تم إدخالهم في AD. تذكر أننا كتبنا سابقًا حول كيفية تكوين إنشاء المستخدم التلقائي في Zimbra OSE من AD.
البيانات الأولية: يقع الخادم مع Zimbra 9 في مجال madegirah.ru ، ويستخدم نوع مصادقة AD. يقع خادم AD في MADEGIRAH.LOCAL.
سيكون مبدأ تكوين SSO في هذه الحالة بسيطًا للغاية. في هذا الإطار ، نقوم بما يلي:
- دعونا ننشئ مستخدمًا خاصًا ، يسمى "صاحب التذاكر" ، والذي سيصدر تذاكر للمستخدمين للمصادقة
- لنقم بإنشاء ملف Keytab في Kerberos
- لنقم بتهيئة الأداة المساعدة SPNEGO وخادم Zimbra OSE نفسه للعمل مع Kerberos
- لنقم بتهيئة المتصفحات وعملاء البريد الإلكتروني للعمل مع SSO.
يرجى ملاحظة أنه من الضروري إجراء نسخ احتياطي لكافة الملفات عند إجراء أي تغييرات عليها.
بادئ ذي بدء ، نحتاج إلى إنشاء حساب zimbra جديد في AD ونمنعه من تغيير كلمة المرور.
بعد ذلك ، على وحدة تحكم المجال ، قم بإنشاء سلسلة من سجلات SPN لها. في حالتنا هذه ، ستكون هذه المبادئ الأساسية لبروتوكولات http و pop و imap و smtp. لإضافتها إلى حساب zimbra الخاص بك ، تحتاج إلى تشغيل الأوامر واحدة تلو الأخرى
- setpn -S HTTP / madegirah.ru زيمبرا
- setpn -S POP / madegirah.ru زيمبرا
- setpn -S IMAP / madegirah.ru زيمبرا
- setpn -S SMTP / madegirah.ru زيمبرا
بعد ذلك ، تحقق من إضافة جميع الأساسيات المطلوبة إلى المستخدم باستخدام الأمر setspn –L zimbra.
بعد ذلك ، قم بإنشاء مجلد C: \ keys على وحدة تحكم المجال ، حيث سنضيف إليه ملفات keytab التي تم إنشاؤها باستخدام Kerberos.
لننشئ أول علامة تبويب لدينا باستخدام هذا الأمر: ktpass -out c: \ keys \ jetty.keytab -princ HTTP/madegirah.ru@MADEGIRAH.LOCAL -mapUser zimbra -mapOp set -pass ******** -crypto RC4 -HMAC-NT -pType KRB5_NT_PRINCIPAL ينشئ علامة تبويب
رئيسية واحدة . الآن نحن بحاجة إلى إضافة 3 أساسيات أخرى إليها. يتم ذلك باستخدام الأوامر التالية:
- ktpass -princ IMAP/madegirah.ru@MADEGIRAH.LOCAL -mapuser zimbra -pass ******** -crypto All -ptype KRB5_NT_PRINCIPAL -in c: \ keys \ jetty.keytab -out c: \ keys \ jetty. new.keytab
- ktpass -princ POP/madegirah.ru@MADEGIRAH.LOCAL -mapuser zimbra -pass ******** -crypto All -ptype KRB5_NT_PRINCIPAL -in c:\keys\jetty.new.keytab -out c:\keys\jetty.new1.keytab
- ktpass -princ SMTP/madegirah.ru@MADEGIRAH.LOCAL -mapuser zimbra -pass ******** -crypto All -ptype KRB5_NT_PRINCIPAL -in c:\keys\jetty.new1.keytab -out c:\keys\jetty.new2.keytab
نتيجة لذلك ، سيحتوي الملف c: \ keys \ jetty.new2.keytab على جميع الأساسيات المطلوبة. دعنا نحذف جميع المفاتيح التي تم الحصول عليها أثناء تنفيذ التعليمات ، باستثناء jetty.new2.keytab. سنقوم بإعادة تسميته jetty.keytab ونسخه إلى الخادم باستخدام Zimbra OSE 9 في مجلدات / opt / zimbra / data / mailboxd / spnego / و / opt / zimbra / jetty /. قم بتغيير حقوق الوصول إلى ملف keytab باستخدام
أوامر
chown zimbra: zimbra /opt/zimbra/data/mailboxd/spnego/jetty.keytab chown zimbra : zimbra /opt/zimbra/jetty/jetty.keytab لنبدأ
الآن في تكوين تعاون Zimbra المدمج مجموعة من الأداة المساعدة SPNEGO ، والتي ستعمل مع ملف .keytab الذي تم إنشاؤه مسبقًا. يمكنك تكوين SPNEGO باستخدام الأوامر التالية:
sudo su -
zimbra zmprov mcf zimbraSpnegoAuthEnabled TRUE
ألف قدم مكعب zimbraSpnegoAuthRealm MADEGIRAH.LOCAL zmprov
zmprov مللي madegirah.ru zimbraSpnegoAuthTargetName وHTTP / madegirah.ru
مللي zmprov madegirah.ru zimbraSpnegoAuthPrincipal وHTTP / madegirah.ru
مللي zmprov madegirah.ru zimbraImapSaslGssapiEnabled إلى الحقيقة
مللي zmprov madegirah.ru zimbraPop3SaslGssapiEnabled إلى TRUE
zmprov MD madegirah.ru zimbraAuthKerberos5Realm MADEGIRAH. LOCAL
zmprov md madegirah.ru zimbraWebClientLoginURL '/ service / spnego'
zmprov md madegirah.ru zimbraWebClientLogoutURL '../؟sso=1'
نلفت انتباهك إلى حقيقة أن صبغة SPNEGO عالمية ، مما يعني أن جميع المجالات على الخادم الخاص بك يجب أن تستخدم Zimbra نفس Active Directory للمصادقة.
الخطوة التالية هي تحويل ملف الإعدادات /opt/zimbra/jetty/etc/krb5.ini إلى النموذج التالي:
[libdefaults]
default_realm = MADEGIRAH.local
dns_lookup_realm = no
dns_lookup_kdc = no
kdc_timesync = 1
ticket_lifetime = 24h
default_keytab_name = FILE:/opt/zimbra/data/mailboxd/spnego/jetty.keytab
default_tgs_enctypes = arcfour-rc4-md5 rc4-hmac des-cbc-crc des-cbc-md5
default_tkt_enctypes = arcfour-rc4-md5 rc4-hmac des-cbc-crc des-cbc-md5
permitted_enctypes = arcfour-rc4-md5 rc4-hmac des-cbc-crc des-cbc-md5
[realms]
MADEGIRAH.local = {
kdc = DC.MADEGIRAH.LOCAL
admin_server = DC.MADEGIRAH.LOCAL
default_domain = MADEGIRAH.LOCAL
}
[domain_realm]
madegirah.local = MADEGIRAH.LOCAL
.madegirah.local = MADEGIRAH.LOCAL
.local = MADEGIRAH.LOCAL
[appdefaults]
autologin = true
forwardable=true
هذا يكمل التكوين من جانب الخادم وكل ما تبقى هو إجراء بعض التغييرات على إعدادات جانب المستخدم. على وجه الخصوص ، يجب تكوين المتصفحات للعمل مع SPNEGO. بالنسبة إلى Firefox ، أدخل about: config في شريط العناوين وأدخل network.neg في مربع البحث. في الحقول المعروضة التي تحتوي على كلمة uris في الاسم ، حدد القيمة madegirah.ru ، أو
https://
.
في حالة Internet Explorer ، أضف madegirah.ru إلى شبكة الإنترانت المحلية . يمكنك أيضًا القيام بذلك من خلال سياسات المجموعة. يلتقط Google Chrome إعدادات Internet Explorer.
لمصادقة SSO في برنامج بريد Thunderbird ، يجب عليك تحديد نوع مصادقة GSSAPI عند إعداد حسابك. لكي يعمل هذا ، أضفنا مسبقًا مبادئ IMAP و POP و SMTP. يرجى ملاحظة أن Outlook لا يدعم هذا النوع من المصادقة عند استخدام POP / IMAP و SMTP بسبب قيود العميل.
يمكن أن يكون الفارق البسيط غير السار تحذيرًا بشأن صفحة غير آمنة عند استخدام شهادة موقعة ذاتيًا في Zimbra OSE. هذا الفارق الدقيق ليس حرجًا ، ومع ذلك ، فإن التحذير الذي يظهر بانتظام يتعارض مع مبدأ ملاءمة تقنية الدخول الموحد. لإزالته ، تحتاج إلى تثبيت شهادة Zimbra OSE على الجهاز الهدف.
للقيام بذلك ، يلزم وجود الأوامر التالية على خادم Zimbra:
sudo su
cd / opt / zimbra / ssl /
zimbra / ca openssl x509 -in ca.pem -outform DER -out ~ / zimbra.cer
بعد ذلك ، يجب نقل الشهادة المستلمة على الجهاز المستهدف وانقر عليه نقرًا مزدوجًا. في النافذة التي تفتح ، تحتاج إلى تحديد "تثبيت الشهادة" واستيرادها في معالج استيراد الشهادات. التحذير الوحيد عند تثبيته هو أنه عند اختيار متجر للحصول على شهادة ، فإنك تحتاج إلى وضعه في متجر "Trusted Root Certification Authorities". بالإضافة إلى ذلك ، يمكنك تثبيت هذه الشهادة من خلال نهج المجموعة.
بعد تحديد هذه الشهادة على أنها موثوقة ، سيتوقف التحذير عند دخول عميل الويب Zimbra OSE وعند استخدام Thunderbird.