Здравствуйте. В прошлых статьях про RuPost мы уже установили его, и произвели первоначальную настройку. RuPost не создает отдельные учетки для почты, а использует существующие из доменов LDAP. На момент версии 2.2.0 RuPost поддерживает три службы каталогов:
- FreeIPA
- ALD PRO (внутренняя разработка ГК Астра)
- Microsoft Active Directory.
Сейчас мы рассмотрим все три типа доменов.
Исходные данные:
Домен FreeIPA - astra.ipa
Домен ALD PRO - astra.lan
Домен MS AD - windows.lan
FreeIPA
В статье про первоначальную настройку я уже затрагивал подключение к каталогу FreeIPA, но все равно повторюсь, чтобы все службы каталогов были в одном месте.
Для работы c FreeIPA - нужно запустить скрипт расширения. Скрипт выдается по запросу через техподдержку, либо имеется в базе знаний ГК Астра по ссылке (необходима авторизация). В папке со скриптом находится файл variables, в котором указывается служебный пользователь и пароль для доступа к домену. Затем в папке с скриптом выполняем команду
sudo bash configure.sh
Итак, когда скрипт успешно выполнен на контроллере домена - в домене создана специальная учетная запись (в нашем случае ldapbind)
Можно настраивать доступ к домену. Указываем домен, имя контроллера домена, тип домена, и учетную запись с паролем. Учетную запись формата uid=,cn=,dc= (в поле есть подсказка). На учетку ldapbind в домене из примера - строка будет выглядеть так
uid=ldapbind,cn=users,cn=accounts,dc=astra,dc=ipa
После этого мы жмем проверить соединение, и если не ошиблись в именах и паролях - проверка пройдет успешно.
ALD PRO
ALD PRO начиная с версии 1.3.0 поддерживает схему расширения для RuPost. Изначально хватало создать нужного пользователя в ALD PRO и дать ему роль RuPost Service Integrations. но начиная с RuPost версии 2.1.0 в руководстве по установке и конфигурированию появился правильный путь добавления служебного пользователя.
Для добавления служебного пользователя нужно выполнить следующую команду:
python3 /opt/rbta/ad/mgmtportal/api/core/manage.py rupostadmin add --uid <имя учетной записи> --password <пароль от учетной записи>
В скриншоте ниже мы создаем учетную запись ldapbind, а затем командой rupostadmin find проверяем создание учетной записи.
Обратите внимание: в случае с ALD PRO, cn запись в уникальном имени не похожа на cn в FreeIPA и имеет вид (в примере домена astra.lan).
uid=ldapbind,cn=sysaccounts,cn=etc,dc=astra,dc=lan
После установки всех настроек, так же проверяем доступность службы каталогов.
MS Active Directory
Для подключения RuPost к MS Active Directory так же требуется проделать несколько действий.
Во первых в оснастке Пользователи и компьютеры мы должны создать нашу служебную учетную запись. А затем должны делегировать ей управление.
И делегируем управление учетной записи на:
- Создание, удаление и управление учетными записями пользователей
- Чтение информации о всех пользователях
После этого так же вводим все необходимые данные.
Обратите внимание: в уникальном имени указывается не логин, а имя учетной записи. В данном примере:
CN=Rupost,CN=Users,DC=windows,DC=lan
Как можно быстро узнать уникальное имя? Открываем оснастку AD - Редактирование ADSI
Подключаемся к локальному хосту (ничего не меняем в полях).
Проваливаемся по дереву к нашему служебному пользователю, и открываем свойства.
Нас интересует свойство distinguishedName. Там м находится подсказка, как называется наше уникальное имя, необходимое для RuPost
Все, после добавления служб каталогов не забываем заново развернуть конфигурацию.
Затем мы спокойно можем обращаться к нашим доменам, искать пользователей и добавлять их в наш список.
