Setup:
Windows 2008 RC (NIC: private IP), Ubuntu LTS 10.04.2 (eth1:public routable IP, eth2:private IP), Zimbra CS Open Source (zmcontrol -v Release 7.1.1_GA_3196.UBUNTU10_64 UBUNTU10_64 FOSS edition.)
Windows 2008 up and running MS Active Directory Domain Services
Ubuntu - virtual machine on ESXi 4.1 (4x CPU core + 4G of RAM) --> start install - next-next - finish. Това което трябва да се има предвид е:
1. Освен /etc/hosts; /etc/hostname == FQDN; /etc/mailname валиден MX запис за домейна е задължителен
2. apt-get remove --purge --umri_v_kofite_s_bokluk apparmor
3. rm -f /bin/sh и ln -s /bin/bash /bin/sh --> иначе умира slapd и оставаш без коса (или перчем) от скубане
Zimbra install - ./install.sh - YES/ENTER - finish.Инсталира си self signed certificates освен за всичко останало и за криптиране/аутентифициране на комуникацията м/у процесите си - ако имам някой multi cluster / cloud където имам по машина за процес ОК ама иначе ...
Ще изреве за някой и друг пакет ама apt-get/aptitude ги има
https://zimbra.domain.com:7071/zimbraAdmin
AD (ldap) integration -
1. zimbra user в АД-то - не пише, че трябва ама ... направих си и не съжалявам
2. http://wiki.zimbra.com/wiki/LDAP_Authentication#Configuring_external_LDAP_authentication - помага... LDAP over SSL = 3 дни борба м/у MS AD integrated CA/Zimbra self-signed/Other bulshits и няма EndUser authentication via MS Active Directory и го зарязах (L2 tunnel ще е по-лесно или да си живеят в LAN-a)
Пръчка: в Open Source версията няма автоматичен импорт на AD users (* CN=users,dn=domain,dn=com) в другите - незнам
Преди това: Admin Console: mail.domain.com:7071/zimbraAdmin - domains - needed domain - Configure Authentication - Active Directory - магьосника си знае работата
3. Manualy add users from AD to Zimbra
a) zmprov -l ca Pencho@domain.com Pencho's_(LDAP)Pass displayName "Pencho e Pich" -- Мъка за повечко хора - не съм го пробвал
б) http://wiki.zimbra.com/wiki/User_Migration - IMAP migrationa работи- за друго незнам
в) http://wiki.zimbra.com/index.php?title=Bulk_Provisioning#LDAP_Users_to_Zimbra_Accounts -- ldap2zm -h adserver -u administrator -p s3cr3t -b "DC=example,DC=com" -f '(memberOf=CN=Zimbra Users,OU=Employees,DC=example,DC=com)' имаше някакви малки драми ама... яде се... иначе е като Лада Нива - работи
Сертификатите - ако е до self signed - няма драма; по manual - ако сам си направя CSR от сървъра и го пратя да го подпишат и да ми върнат истински - пак трябва да сме ОК, но ако имам пратен по мейл от GlobalSign CEDS%date%SN.pfx --
Средна пръчка:
Convert to PEM: openssl pkcs12 -in filename.pfx -clcerts -nokeys -out commercial.crt
Export private key: openssl pkcs12 -in filename.pfx -nocerts -out commercial.key
Removepassphrase: openssl rsa -in commercial.key -out commercial.key
правилният manual: http://wiki.zimbra.com/index.php?title=Preexisting_Certifcate_Installation_for_Zimbra_6.0&oldid=24499
Голяма пръчка:
при # /opt/zimbra/bin/zmcertmgr addcacert /opt/zimbra/ssl/zimbra/commercial/commercial.crt
Получавам:
** Importing certificate /opt/zimbra/ssl/zimbra/commercial/commercial.crt to CACERTS as zcs-user-commercial...failed.
XXXXX ERROR: failed to import certficate.
keytool error: java.lang.Exception: Input not an X.509 certificate
И нищо не се стартира /тръгва като хората (добре че ESXi има Snapshots иначе тази игра не ми се играе)
Solution:
cat /opt/zimbra/ssl/zimbra/commercial/commercial.crt
Bag Attributes
localKeyID: ala-bala
subject=ala-bala
issuer=neshto_drugo
-----BEGIN CERTIFICATE-----
drun-drun
-----END CERTIFICATE-----
Изтрих всичко преди -----BEGIN CERTIFICATE----- и вече # /opt/zimbra/bin/zmcertmgr addcacert /opt/zimbra/ssl/zimbra/commercial/commercial.crt светна!
$ zmtlsctl redirect
$ zmcontrol restart --> красота!
Другото е тук: http://www.zimbra.com/support/
сряда, юли 13, 2011
Абонамент за:
Публикации (Atom)