10.1  Mapování účtů z Active Directory

10.1.1  Nastavení mapování v administračním rozhraní
10.1.2  Kerio Active Directory Extension

V praxi přinese mapování účtů z Active Directory následující výhody:

Jednotná správa účtů

Kerio MailServer může kromě vlastní (interní) databáze uživatelských účtů pracovat také s účty a skupinami, které jsou uloženy v LDAP databázi (v současné době Microsoft Active Directory). Výhodou použití LDAP je, že jsou uživatelské účty udržovány na jednom místě, čímž se výrazně snižuje administrativní náročnost a pravděpodobnost vzniku chyb.

Společná správa kontaktů

Všichni uživatelé z domény nebo z celého Kerio MailServeru (podle nastavení) budou mít přístup k veřejné složce Kontakty, do které se propagují kontakty všech uživatelů Active Directory.

Poznámka

Existují -li uživatelé, kteří se nemají zobrazovat ve veřejné složce s kontakty, potom je třeba jim v administračním rozhraní Kerio MailServeru v sekci Nastavení domény → Uživatelské účty odškrtnout volbu Publikovat ve veřejném adresáři.

Online spolupráce Kerio MailServeru a Microsoft Active Directory

Vytvoření, změna nebo zrušení uživatelského účtu (resp. skupiny) v databázi Microsoft Active Directory se okamžitě promítnou do aplikace Kerio MailServer.

Upozornění

  • Pokud účet vytvoříte v programu Kerio Administration Console, zobrazí se upozornění, že účet bude vytvořen pouze lokálně — nebude tedy duplikován do databáze Active Directory.

  • V případě nedostupnosti Active Directory serveru nebude možné se k aplikaci Kerio MailServer přihlásit. Pro tento případ doporučujeme vytvořit alespoň jeden lokální administrativní účet s právy pro čtení i zápis.

  • Při zakládání uživatelského účtu je nutno uživatelské jméno zapsat v ASCII. Pokud bude uživatelské jméno obsahovat národní znaky, může se stát, že se uživatel nebude moci přihlásit ke svému účtu.

Prakticky budete ke zprovoznění mapování účtů potřebovat nastavit mapování v administračním rozhraní a nainstalovat na doménový server speciální rozšíření Kerio Active Directory Extension. Průvodce těmito nastaveními najdete v následujících sekcích.

10.1.1  Nastavení mapování v administračním rozhraní

V administračním rozhraní Kerio MailServeru se přepněte do sekce Domény, vyberte potřebnou doménu a otevřete její nastavení. Pak se přepněte do záložky Adresářová služba:

Nastavení domény — Active Directory

Obrázek 10.1. Nastavení domény — Active Directory


Mapovat uživatelské účty a skupiny...

Volba zapíná/vypíná spolupráci s LDAP databází (je-li tato volba vypnuta, v doméně bude možno vytvořit pouze lokální účty).

Typ adresářové služby

Typ LDAP databáze, kterou bude tato doména používat (Active Directory).

Jméno počítače

DNS jméno nebo IP adresa serveru, na němž LDAP databáze běží.

Služba LDAP standardně používá pro komunikaci port 389 (standardní port zabezpečené verze LDAPS je 636). Je-li třeba použít pro komunikaci mezi Kerio MailServerem a LDAP databází nestandardní port, je nutné jej doplnit k názvu nebo IP adrese serveru (např.: mail1.firma.cz:12345 nebo 212.100.12.5:12345).

Poznámka

Pokud pro připojení využíváte zabezpečenou verzi služby LDAP, musí být do položky doplněno vždy DNS jméno kvůli ověřovací proceduře SSL certifikátu.

Uživatelské jméno

Jméno uživatele (ve tvaru xxxxx@firma.cz), který má práva pro čtení LDAP databáze.

Heslo

Heslo uživatele, který má práva pro čtení LDAP databáze.

Zabezpečené připojení (LDAPS)

Při komunikaci mezi LDAP databází a Kerio MailServerem jsou posílána i data velmi citlivá na bezpečnost (například uživatelská hesla). Z toho důvodu doporučujeme komunikaci zabezpečit SSL. Pro spuštění služby LDAPS v Active Directory je třeba spustit na doménovém řadiči certifikační autoritu, která je pro Kerio MailServer důvěryhodná.

Upozornění

SSL šifrování má na server vyšší nároky ohledně výkonu (rychlost internetové linky, výkon procesoru). Zejména v případě navazování mnoha spojení při komunikaci mezi LDAP databází a Kerio MailServerem nebo velkého množství uživatelů v LDAP databázi může komunikaci výrazně zpomalovat. Zatěžuje-li SSL šifrování server neúměrně, doporučujeme využít pouze nezabezpečenou verzi služby LDAP.

Záložní adresářový server

DNS jméno nebo IP adresa záložního serveru, na němž je spuštěna stejná LDAP databáze.

Pokud pro připojení využíváte zabezpečenou verzi služby LDAP, musí být do položky doplněno vždy DNS jméno kvůli ověřovací proceduře SSL certifikátu.

Jméno Active Directory domény...

Pokud se název domény liší od názvu v Active Directory, zaškrtněte volbu a doplňte její jméno do pole Jméno Active Directory domény.

Tlačítkem Test připojení je možno vyzkoušet správnost nastavených parametrů. Testovány jsou položky jméno nebo adresa serveru (zda je možno se k němu připojit), uživatelské jméno a heslo (zda je možné ověření) a také zda jsou na serveru, kde je spuštěna Active Directory, nainstalovány Kerio Active Directory Extension (vizte kapitolu 10.1.2  Kerio Active Directory Extension).

Poznámka

Výše popsaná spolupráce s LDAP databází nijak nesouvisí s vestavěným LDAP serverem — ten je určen pro přístup k adresáři kontaktů z poštovních klientů (podrobnosti vizte kapitolu 21  LDAP server). Jestliže je Kerio MailServer nainstalován na stejném počítači jako Active Directory, je třeba z důvodu zabránění kolize změnit číslo portu služby LDAP (Konfigurace → Služby).

10.1.2  Kerio Active Directory Extension

Kerio Active Directory Extension je rozšíření adresářové služby Microsoft Active Directory (dále jen Active Directory) o položky obsahující specifické informace pro Kerio MailServer. Instalací rozšíření lze integrovat část Kerio MailServeru do Active Directory, a zjednodušit tak administrační úkony spojené se správou uživatelů.

Instalace

Instalace Kerio Active Directory Extension je standardně prováděna pomocí průvodce. Po odsouhlasení licenčních podmínek je možno vybrat cílový adresář. V dalším kroku se objeví okno zobrazující průběh instalace. V levém dolním rohu okna jsou umístěna tlačítka pro zobrazení záznamu o instalaci (View Log) a jeho uložení do souboru (Save Log to File).

Průběh instalace

Obrázek 10.2. Průběh instalace


Poznámka

  1. V závislosti na instalované verzi prohlížeče Microsoft Internet Explorer můžete být ještě vyzváni k instalaci komponenty Microsoft XML Parser. Pokud se tato výzva objeví, je třeba Microsoft XML Parser nainstalovat, jinak nemůže být instalace Kerio Active Directory Extension dokončena!

  2. Kerio Active Directory Extension je k dispozici pouze v anglickém jazyce.

Systémové požadavky

Kerio Active Directory Extension podporuje ve Windows 2000 Server typy Active Directory NT compatible i 2000 native. Ve Windows 2003 typy Active Directory 2000 native a Active Directory 2003.

Active Directory

Active Directory je adresářová služba, která uchovává informace o objektech v síti Microsoft Network (uživatelích, skupinách, počítačích atd.). Aplikace podporující Active Directory si pomocí této adresářové služby zjišťují parametry a práva objektů. Základem Active Directory je strukturovaná databáze.

Uživatele a skupiny v doméně jsou provázány s LDAP databází Active Directory. Výhodou použití LDAP je, že jsou uživatelské účty udržovány na jednom místě, čímž se výrazně snižuje administrativní náročnost a pravděpodobnost vzniku chyb. Uživatelé i skupiny je nutno přidávat pomocí MMC (Microsoft Management Console). Nový uživatel či skupina přidaná do domény provázané s Active Directory pomocí Kerio Administration Console se uloží pouze do lokální databáze Kerio MailServeru.

MMC spustíme z menu Start → Nastavení → Ovládací panely → Nástroje pro správu → Uživatelé a počítačové služby Active Directory (Start → Settings → Control Panel → Administrative tools → Active Directory Users And Computers).

Definice uživatelského účtu

V konzoli Uživatelé a počítačové služby Active Directory zvolíme sekci Uživatelé (Users). Volbou Nový → Uživatel (New → User) spustíme průvodce pro vytvoření nového uživatelského účtu.

Upozornění

Při zakládání uživatelského účtu je nutno uživatelské jméno zapsat v ASCII. Pokud bude uživatelské jméno obsahovat národní znaky, může se stát, že se uživatel nebude moci přihlásit ke svému účtu.

Standardní průvodce je rozšířen o novou záložku pro vytvoření Kerio MailServer účtu.

Nastavení Kerio MailServer účtu

Obrázek 10.3. Nastavení Kerio MailServer účtu


Nyní je třeba zaškrtnout volbu Create a Kerio MailServer mailbox, aby byly vytvořeny položky databáze, s nimiž bude Kerio MailServer pracovat. Položka Alias slouží k nastavení základní e-mailové adresy uživatele (do této položky je automaticky dosazováno přihlašovací jméno uživatele zadané v prvním kroku průvodce).

Další parametry účtu je možno nastavit v jeho vlastnostech. Na vytvořený uživatelský účet klikneme pravým tlačítkem myši a v kontextovém menu zvolíme Vlastnosti (Properties). V dialogu vybereme záložku Kerio MailServer Account, která nabízí následující volby:

Záložka Kerio MailServer Account

Obrázek 10.4. Záložka Kerio MailServer Account


Mail Account Enabled

Zapnutí volby povoluje e-mailový účet v Kerio MailServeru. Bude-li volba vypnuta, Kerio MailServer bude tento uživatelský účet ignorovat.

E-mail Addresses

Nastavení e-mailových adres (aliasů) pro daného uživatele. Ve výchozím nastavení má uživatel přiřazenu jednu e-mailovou adresu tvořenou jeho uživatelským jménem a doménou, v níž je účet definován.

Forwarding

Nastavení přesměrování pošty na zadané e-mailové adresy. Volba Forward to: způsobí přeposílání zpráv pro daného uživatele na všechny adresy uvedené v tomto poli.

Volba Deliver messages to both způsobí, že pošta bude nejen přesměrována, ale zároveň také ukládána do lokální schránky (tzn. zasílání kopií zpráv na zadané adresy).

Mailbox Limits

Nastavení omezení schránky dle velikosti místa na disku serveru (Storage size) a počtu zpráv ve schránce (Number of messages). Každý z těchto limitů je možno vypnout (volba Do not limit...) — pak se na schránku příslušné omezení nevztahuje.

Nastavení omezení schránky

Obrázek 10.5. Nastavení omezení schránky


Administration Rights

Nastavení přístupových práv uživatele ke správě Kerio MailServeru. Možnosti jsou následující:

  • No access to administration — bez přístupu ke správě. Tato volba je výchozí a vyhovuje ve většině případů (běžní uživatelé by neměli mít přístup ke správě serveru). Pro správu Kerio MailServeru doporučujeme vytvořit lokální účet (vizte kapitola 8  Uživatelské účty), aby bylo možno Kerio MailServer spravovat i v případě výpadku sítě či Active Directory serveru.

  • Read only access to administration — přístup pouze pro čtení. Uživatel se může k serveru přihlásit pomocí Kerio Administration Console a prohlížet si nastavení, nemůže ale provádět žádné změny.

  • Read/write access to administration — plný přístup ke správě. Uživatel může provádět veškeré administrační úkony. Toto právo by mělo být uděleno jen velmi omezenému počtu osob.

Definice skupiny

Z hlediska Kerio Active Directory Extension je definice skupiny téměř identická s definicí uživatelského účtu. Průvodce vytvořením skupiny je rovněž rozšířen o jeden krok, v němž je možno skupině přiřadit primární e-mailovou adresu.

Záložka Kerio MailServer Account umožňuje pouze definici e-mailových adres skupiny (tlačítko E-Mail Addresses) a nastavení přístupových práv ke správě Kerio MailServeru (tlačítko Administration Rights.).