Iniciar uma conversa

Sincronização automática de usuários via AD/LDAP

Introdução

Muitas organizações utilizam um Serviço de Diretório (DS) centralizado, para que possam gerenciar contas de usuários a partir de um local único. IceWarp Server possui função de sincronizar contas em servidores Active Directory (AD) ou Lightweight Directory Access Protocol (LDAP) server para um domínio específico do IceWarp Server. A sincronização ocorre a cada 5 min (default) e reflete mudanças realizadas no Servico de Diretório.

Caso queira sempre pode realizar testes sincronizando para um dominio de testes no IceWarp Server, seguindo as orientações abaixo.

Cenário Básico

Na maior parte dos casos:

  • As contas estão armazenadas no AD.
  • O nome do domínio no AD é o mesmo do nome do domínio no IceWarp Server.
  • Os usuários estão localizados na OU (organizational unit) "Users" (Usuários) padrão na estrutura do AD.
  • O domínio do e-mail definido em cada conta de usuário do AD combina com o domínio no IceWarp Server, com o qual deseja sincronizar.

Caso todas as afirmações acima sejam válidas, você precisa configurar apenas o seguinte, na aba Serviço de Diretório de um domínio, no console IceWarp:

  • O hostname do seu AD
  • O nome de usuário e senha de usuário AD que possui privilégios para listar usuário da OU do AD.
  • Um nome de hostname de AD de backup - caso exista - que será usado caso a conexão com AD primário falhe.



Na tela acima especificamos alpha.lucanet.com.br, onde reside o servidor Active Directory. Caso tenha problemas de conectividade lembre que IceWarp usa os DNSs especificados em Sistema/Conexão internet para resolução de DNS, verifique esse aspecto e tente alocar o endereço IP do AD.

Considere também, conectar de forma segura no campo hostname, especificando ldaps://hostname

Note também que em filtro temos que especificar que objetos desejamos sincronizar. No caso, usuários e grupos.

ATENÇÃO, ambos (usuários e grupos) precisam ter o campo E-Mail Preenchido no AD! veja a tela abaixo.

Conforme informado anterior, não especificamos nada no campo DN:, logo IceWarp irá obter os usuários do container padrão "Users" (ou "Usuários") do AD..

Caso você utilize a sintaxe: "dc=alpha=dc=lucanet,dc=com,dc=br", o IceWarp sincronizaria usuários de todos os nós e sub-nós do seu AD.

A opção "Origem do campo do usuário" será usado pelo IceWarp server no que diz respeito ao campo username no AD. Caso tenha escolhido "Apelido principal da conta AD", o IceWarp busca o campo mail (sem o dominio), já se escolher "Nome de usuário da conta AD", o IceWarp busca o username do AD com domínio.



Observações:

  1. O botão "Testar conexão..." lista todos usuários disponíveis na OU do AD especificada. Essa listagem não combina necessariamente com os usuários sendo sincronizados para o IceWarp Server. Quando o domíio do endereço de e-mail de um usuário não combina com o domínio do usuário no IceWarp Server, tal usuário não será sincronizados caso use as configurações padrão.
  2. O botão "Sincronizar Agora" iniciará a sincronização, mas pode demorar algum tempo. Você deve teclar F5 para recarregar o console de administração e verificar as mudanças feitas pela sincronização.
  3. O modo de autenticação da conta dos usuários é automaticamente definida como "LDAP/AD" após realizar sincronização. Isso serve para informar ao IceWarp Server para autenticar o respectivo usuário usando Serviço de Diretório e também marca as contas que devem ser sincronizadas, ou seja, se um aconta for excluída no Servico de Diretório, a mesma também será excluída do IceWarp Server (caso esteja em modo de autenticação LDAP/AD).
  4. Se a conta, que foi retornada pelo Servico de Diretório não existe no domínio do IceWarp Server ela será criada no IceWarp Server.

Autenticação

A sincronização do serviço de diretório cria usuários com o modo de autenticação setado para LDAP/AP (com a sintaxe e valores corretos), entretanto, você pode definir para que o usuário autentique em qualquer conta do Active Directory, mesmo sem usar a sincronização do Serviço de Diretório (aba Serviço de Diretório do domínio no IceWarp Server).

O modo LDAP/AD informa ao IceWarp Server para autenticar o usuário usando Serviço de Diretório, com a conta especificada na lacuna ao lado da opção Modo de autenticação. IceWarp Server não armazena a senha das contas - ele passa a senha da conta diretamente ao servidor AD/LDAP. Você precisa usar autenticação em texto puro nos clientes, caso contrário, o Servico de Diretório não conseguirá confirmar a senha, clique aqui para detalhes a esse respeito.


A sintaxe para o modo de autenticação LDAP/AD é a seguinte:

<hostname serviço de diretório>;<conta do usuário>


Com o AD, você pode usar o seguinte como conta de usuário, independente da estrutura do seu AD:

<nome de login da conta>@<domínio AD>
Ex: ad.icewarpdemo.com;jan.ramba@icewarpdemo.com


Segue exemplo de sintaxe com a especificação de "Distinguish Name (DN)", de acordo com a estrutura do serviço de diretório:

Ex: ad.icewarpdemo.com;CN=Jan Ramba,OU=support,DC=icewarpdemo,DC=com

Cenários Avançados

    • Caso queira conectar ao servidor de Diretório de Serviço usando conexão SSL, você deve usar a seguinte sintaxe no campo "Hostname": ldaps://ad.icewarpdemo.com

    • Você também precisa possuir o certificado SSL confiável no servidor AD.

    • IceWarp Server é capaz de sincronizar 3 tipos de ojetos. Users e Groups (usados tipicamente pelo AD) e objetos inetOrgPerson (usandos tipicamente por servidores LDAP, opção disponível desde a versão 9.2 do IceWarp Server). Usuários e grupos (User;Group) são usados por padrão caso nada seja especificado nos campo Objetos. De toda forma, você pode escolher quais objetos deseja sincronizar e separá-los com ';'. Por exemplo, especificando "User" no campo Objetos, fará com que sejam sincronizados apenas objetos do tipo User a partir do Serviço de Diretório. Já "Users;Group;inetOrgPerson" irá sincronizar todos os objetos suportados.

    • Quando o nome do domínio no AD é diferente do nome do domínio no IceWarp Server, você precisa especificar o domínio como consta no AD na aba Serviço de Diretório, no respectivo domínio do IceWarp Server.

      Digamos que o domínio seja "icewarpdemo.com" no IceWarp e "merakdemo.cz" no AD. Você deve marcar o checkbox de que o domínio no serviço de diretório é diferente do domínio no IceWarp Server e, na lacuna Domínio (Domain), especificar o domínio como consta no AD. Nesse caso, estamos considerando que apenas o domínio diferente no AD/IceWarp, entretanto que o campo e-mail de cada usuário do AD, seja igual ao e-mail dos usuários no IceWarp Server.

    • Quando o e-mail do usuário no AD possui um domínio diferente daquele usado no IceWarp Server, você precisa especificar novamente o domínio, dessa vez como consta no campo e-mail de cada usuário do AD, como segundo parâmetro na lacuna Domínio, separado por ';'.

      Digamos que no IceWarp Server termos o domínio "icewarpdemo.com", no AD temos "merakdemo.com" e as contas de e-mail dos usuários no AD estão definidas com o formato alias@merakdemo.cz. Nesse caso, você deve especificar o seguinte:



      Caso tenha um cenário mais complexo, onde há contas no AD usando diversos domínios diferentes, onde não seja suficiente informar ao IceWarp que o domínio do AD é diferente do IceWarp uma única vez. já que há diversos domínios envolvidos, considere usar o recurso de Clusters de domínios (detalhes no help do IceWarp), através do qual você pode ter diversos domínios lógicos no IceWarp, separados, porém todos agindo como se fossem o domínio "pai" informado.

    • O domínio no AD pode ter uma estrutura mais complexa. IceWarp Server é capaz de sincronizar usuários de uma OU específica definida no campo DN.

      Digamos que, no IceWarp Server, temos o domínio "icewarpdemo.com", no AD temos "merakdemo.com" e os e-mails de usuário do AD estejam no formato alias@merakdemo.cz, bem como temos a seguinte estrutura de AD:

  • Caso queira sincronizar usuários de todas as OUs filhas a partir do "SecondOU", as configurações no IceWarp Server ficariam da seguinte forma:

  • Segue exemplo de como sincronizar contas a partir de um servidor LDAP. Objetos do banco de dados LDAP devem constar de forma similar ao seguinte:

    # Xyz + xyz@merakdemo.com, root
    dn: cn=Xyz+mail=xyz@merakdemo.com,dc=root
    objectClass: inetOrgPerson
    cn: Xyz
    sn: Xyz
    mail: xyz@merakdemo.com
    userPassword:: e1NTSEF9VVNoM2RaRVJ3SEI4OU9nemcraXN4TFlvRDU1UUpNdXg=

    As configurações no IceWarp Server para o domínio icewarpdemo.com devem ficar da seguinte forma:



  • O intervalo de sincronização padrão do Serviço de Diretório é de 5 minutos. Você pode alterar esse valor usando /icewarp/tool.exe (ou tool.sh no Linux) para efetuar mudança diretamentea na API. Segue um exemplo de como aumentar o período de verificação para 15 minutos, e em seguida confirmar que está definido dessa forma:

    c:\Program Files\Merak>tool set system C_Accounts_Global_ActiveDirectorySyncInterval 15

    c:\Program Files\Merak>tool get system C_Accounts_Global_ActiveDirectorySyncInterval

  • Caso esteja tentando sincronizar um número muito grande de objetos a partir do Serviço de Diretório, esteja ciente que sempre há um limite do número de objetos retornados. O limite padrão de objetos retornados do AD é 1000. Para maiores informações a respeito desse limote, veja o seguinte documento: http://support.microsoft.com/kb/315071

Resolvendo Problemas

Caso esteja tendo dificuldades para localizar detalhes específicos de uma conta ou não tenha certeza a respeito de algum endereço DN ou OU, você deve usar o botão de "Testar Conexão". Serão listados todos os detalhes a respeitos de objetos DS, para que possa consultar.

Escolher arquivos ou arraste e solte arquivos
Esse artigo foi útil?
Sim
Não
  1. Flávio Zarur Lucarelli

  2. Publicado
  3. Atualizado

Comentários