Difference between revisions of "Cool Solution - Setting up Zimbra with LDAP authentication"

From Univention Wiki

Jump to: navigation, search
m (Keyword angepasst.)
Line 1: Line 1:
 
{{Version|UCS=2.4}}
 
{{Version|UCS=2.4}}
 +
As Zimbra ships all needed services and updates them when executing a regular Zimbra update, so, to simplifly matters, the shipped services will be used in a 64bit UCS Memberserver installation. Later on, the authentication against the DC Master using LDAP will be described. If required, Univetion can provide support for replicating user data.
  
Da Zimbra alle benötigten Dienste von Haus aus mitbringt und diese dann auch bei einem Zimbra-Update mit aktualisiert werden, werden diese der Einfachheit halber verwendet und auf einem 64bit Memberserver installiert. Später wird dann die Authentifizierung gegen den DC-Master per LDAP vorgenommen. Einen Mechanismus zum Abgleich der Benutzerdaten kann Univention auf Anfrage erstellen.
+
== Installing Zimbra ==
  
Im folgenden wird zunächst eine funktionierende Zimbra-Umgebung auf dem Member-Server aufgesetzt.
+
First, the latest version of Zimbra must be downloaded. As of time of writing, the latest version is from August 4th, 2011. Zimbra will be installed in /opt:
 +
<pre>
 +
cd /opt
 +
wget http://files2.zimbra.com/downloads/7.1.2_GA/zcs-7.1.2_GA_3268.DEBIAN5_64.20110804120420.tgz
 +
tar -xzf zcs-7.1.2_GA_3268.DEBIAN5_64.20110804120420.tgz
 +
cd zcs-7.1.2_GA_3268.DEBIAN5_64.20110804120420/
 +
</pre>
  
= Vorbereiten der Installation =
+
Next, the Apache webserver and postfix must be stopped and configured that both services do not automatically start when booting the system.
 +
<pre>
 +
/etc/init.d/apache2 stop
 +
ucr set apache2/autostart=no
 +
/etc/init.d/postfix stop
 +
ucr set postfix/autostart=no
 +
</pre>
  
Als erstes sollte die aktuelle Zimbra Edition heruntergeladen werden und entpackt werden. Zum Zeitpunkt der Erstellung dieses Dokuments ist dies die Version vom 04.08.2011.
+
To satisfy all needed dependencies, the UCS unmaintained repository must be activated and the dependencies be installed:
 +
<pre>
 +
ucr set repository/online/unmaintained=yes
 +
univention-install libidn11 curl fetchmail libgmp3c2 sysstat sqlite3
 +
</pre>
  
cd /opt
+
The interactive installation can now be started. During the installation some options can be changed, however, the default settings are mostly appropriate.
wget http://files2.zimbra.com/downloads/7.1.2_GA/zcs-7.1.2_GA_3268.DEBIAN5_64.20110804120420.tgz
+
<pre>
tar -xzf zcs-7.1.2_GA_3268.DEBIAN5_64.20110804120420.tgz
+
./install
cd zcs-7.1.2_GA_3268.DEBIAN5_64.20110804120420/
+
</pre>
  
Nun müssen Apache2 und Postfix gestopt werden, da diese mit Zimbra Diensten kollidieren. Ebenso muss verhindert werden, dass diese Dienste bei einem Neustart wieder starten.
+
It can occur that the installation script cannot find the MX record, this step can be skipped by pressing '''n''' on the keyboard. When the installation is finished, the administrator's password must be entered.
  
/etc/init.d/apache2 stop
+
To start the Zimbra service automatically when booting the system, it must be configured to do so:
ucr set apache2/autostart=no
+
<pre>
/etc/init.d/postfix stop
+
update-rc.d zimbra defaults
ucr set postfix/autostart=no
+
</pre>
  
Zur Installation müssen die unmaintained repositories in UCS eingebunden werden:
+
Since Zimbra's LDAP libraries conflict with the LDAP libraries shipped with UCS, the global path for LDAP libraries must be altered. Open the file '''/etc/univention/templates/files/etc/profile''' with an editor and add the following line:
ucr set repository/online/unmaintained=yes
+
<pre>
 +
export LD_LIBRARY_PATH="/usr/lib"
 +
</pre>
  
Danach können die benötigten Abhängigkeiten installiert werden:
+
For the change to take effect, the file must be re-written:
univention-install libidn11 curl fetchmail libgmp3c2 sysstat sqlite3
+
<pre>
 +
ucr commit /etc/profile
 +
</pre>
  
= Installation von Zimbra =
+
'''WARNING:''' When updating the server, the changes can be reverted. If this is the case, the changes need to be made again!
  
Die Installation wird mittels
+
Finally, restart your server:
./install.sh
+
<pre>
gestartet. Während der Installation müssen verschiedene Fragen beantwortet werden. In den meisten fällen ist die vorgegebene Antwort zutreffend.
+
reboot
 +
</pre>
  
Sollte das Installationsskript mehrmals hintereinander den MX-Record nicht finden, kann dieser Schritt durch Eingabe von '''n''' übersprungen werden. Am Ende der Installation muss noch das Administrator-Passwort gesetzt werden.
+
== Accessing Zimbra ==
  
Damit Zimbra bei beim Start des Systems gestartet wird, muss der folgende Befehl ausgeführt werden.
+
Zimbra can be accessed by opening either webaddress in your browser. At this time, a login is only possible as the administrative user. To log in, open on of the two addresses and login as '''admin@<domain>''' and use the password, which has been entered during the installation.
  
update-rc.d zimbra defaults
+
User login:
 +
<pre>
 +
http://<IP of Zimbra server>/
 +
</pre>
  
Da Zimbra eigene LDAP-Bibliotheken mitbringt, die zu Konflikten mit den LDAP-Bibliotheken in UCS führen, muss der Pfad zu den LDAP-Bibliotheken als globale Umgebungsvariable definiert werden. Dazu muss die Datei
+
Administrative user login:
/etc/univention/templates/files/etc/profile
+
<pre>
editiert werden und die folgende Zeile eingetragen werden:
+
http://<IP of Zimbra server>:7071
export LD_LIBRARY_PATH="/usr/lib"
+
</pre>
Danach muss die datei mit:
 
ucr commit /etc/profile
 
neu erstellt werden.
 
  
'''ACHTUNG''': Bei Updates gehen die Änderungen ggf. verloren und müssen neu bearbeitet werden.
+
== Configuration to use an external LDAP service ==
  
Anschließend muss der Server neu gestartet werden.
+
By default, Zimbra uses its own LDAP server. However, it is possible to configure Zimbra to use an external LDAP service. It is important that in both LDAP directories the usernames are identical. During login, Zimbra tries to authenticate the user against the external LDAP service. If the authentication is successful, the user is considered as authenticated and can use Zimbra. When the LDAP authentication is properly configured, Zimbra will only authenticate against the external LDAP service and not its own.
reboot
 
  
= Nutzung =
+
To configure Zimbra to use an external LDAP service, log in as an administrative user and navigate to the administration page. Open the configuration page by navigating to '''Configuration''' -> '''Domains'''. Click on the button "Configure Authetification", located at the upper part of the page. A configuration wizard will open and the settings can now be edited (assuming the domain is ucs.test):
Anschließenden lässt sich Zimbra per Webbrowser aufrufen. An beiden Logins kann man sich mit dem Benutzernamen admin@<domaine> und dem während der Installation vergebenen Passworts anmelden.
+
<pre>
Benutzerlogin:
+
Authentication Mechanism: External LDAP
http://<ip des Zimbraservers>/
+
LDAP URL: ldap://<FQDN des Masters>:389
Administratorlogin:
+
LDAP-Filter: (uid=%u)
https://<ip des Zimbraservers>:7071
+
LDAP-Search-Base: dc=ucs,dc=test
 +
Use DN/Password to bind to
 +
external Server: Yes
 +
Bind DN:
 +
uid=Administrator,cn=users,dc=ucs,dc=test
 +
</pre>
  
= Zimbra Authentifizierung gegen LDAP =
+
=== Synching user data ===
  
Zimbra bringt seinen eigenen LDAP-Server mit. Es kann allerdings eine LDAP-Authentifizierung gegen einen externen LDAP-Server durchführen. Dazu müssen in beiden Verzeichnissen gleichnamige LDAP-Benutzer existieren. Zimbra versucht dann, sich im LDAP-Verzeichnis mit den gegebenen Daten anzumelden. Ist dies erfolgreich, wird der Benutzer als authentifiziert angesehen. Sobald die LDAP-Authentifizierung eingerichtet ist, wird die Authentifizierung nur noch gegen LDAP durchgeführt. Das Zimbra Passwort wird dann nicht weiter verwendet.
+
In order for the LDAP authentication against an external LDAP service to be successful, the usernames in both LDAP directories must be identical.
Um eine LDAP-Authentifizierung einzurichten, muss die Administrationsseite aufgerufen werden. Nach einem klick auf die Domäne, die sich im Untermenü "Configuration->Domains" befindet, öffnet sich die Konfigurationsseite der Domäne. Im oberen Menü befindet sich eine Schaltfläche "Configure Authentification", auf die geklickt werden muss, um die Authentifizierung zu konfigurieren. In dem sich öffnenden Wizard müssen folgende Einstellungen vorgenommen werden (bei einer angenommen Domäne ucs.test):
 
Authentication Mechanism: External LDAP
 
LDAP URL: ldap://<FQDN des Masters>:389
 
LDAP-Filter: (uid=%u)
 
LDAP-Search-Base: dc=ucs,dc=test
 
Use DN/Password to bind to
 
external Server: Yes
 
Bind DN:
 
uid=Administrator,cn=users,dc=ucs,dc=test
 
  
Am Ende des Dialogs besteht die Möglichkeit, die Einstellungen mit Benutzerdaten zu testen. Ist dieser Test erfolgreich, funktioniert die Authentifizierung gegen LDAP.
+
== System mails ==
  
= Synchronisation der Benutzerdaten =
+
In order to receive system mails, like those generated by cronjobs, it is necessary to set root@<server fqdn> and root@<maildomain> as aliases in the Zimbra administration page.
 
 
Damit die Authentifizierung gegen LDAP mit Zimbra klappt, müssen in beiden
 
Verzeichnissen gleichnamige Benutzer existieren.
 
 
 
= Systemmails =
 
 
 
Zum Empfang von Systemmails, wie sie z.b. von Cronjobs generiert werden, ist es nötig die Aliase root@<server fqdn> und root@<maildomain> über die Zimbra-Admin-Oberfläche zu vergeben.
 
  
 
[[Category:Howtos]]
 
[[Category:Howtos]]
 +
[[Category:EN]]

Revision as of 08:18, 4 June 2012

Produktlogo UCS Version 2.4

As Zimbra ships all needed services and updates them when executing a regular Zimbra update, so, to simplifly matters, the shipped services will be used in a 64bit UCS Memberserver installation. Later on, the authentication against the DC Master using LDAP will be described. If required, Univetion can provide support for replicating user data.

Installing Zimbra

First, the latest version of Zimbra must be downloaded. As of time of writing, the latest version is from August 4th, 2011. Zimbra will be installed in /opt:

cd /opt
wget http://files2.zimbra.com/downloads/7.1.2_GA/zcs-7.1.2_GA_3268.DEBIAN5_64.20110804120420.tgz
tar -xzf zcs-7.1.2_GA_3268.DEBIAN5_64.20110804120420.tgz
cd zcs-7.1.2_GA_3268.DEBIAN5_64.20110804120420/

Next, the Apache webserver and postfix must be stopped and configured that both services do not automatically start when booting the system.

/etc/init.d/apache2 stop
ucr set apache2/autostart=no
/etc/init.d/postfix stop
ucr set postfix/autostart=no

To satisfy all needed dependencies, the UCS unmaintained repository must be activated and the dependencies be installed:

ucr set repository/online/unmaintained=yes
univention-install libidn11 curl fetchmail libgmp3c2 sysstat sqlite3

The interactive installation can now be started. During the installation some options can be changed, however, the default settings are mostly appropriate.

./install

It can occur that the installation script cannot find the MX record, this step can be skipped by pressing n on the keyboard. When the installation is finished, the administrator's password must be entered.

To start the Zimbra service automatically when booting the system, it must be configured to do so:

update-rc.d zimbra defaults

Since Zimbra's LDAP libraries conflict with the LDAP libraries shipped with UCS, the global path for LDAP libraries must be altered. Open the file /etc/univention/templates/files/etc/profile with an editor and add the following line:

export LD_LIBRARY_PATH="/usr/lib"

For the change to take effect, the file must be re-written:

ucr commit /etc/profile

WARNING: When updating the server, the changes can be reverted. If this is the case, the changes need to be made again!

Finally, restart your server:

reboot

Accessing Zimbra

Zimbra can be accessed by opening either webaddress in your browser. At this time, a login is only possible as the administrative user. To log in, open on of the two addresses and login as admin@<domain> and use the password, which has been entered during the installation.

User login:

http://<IP of Zimbra server>/

Administrative user login:

http://<IP of Zimbra server>:7071

Configuration to use an external LDAP service

By default, Zimbra uses its own LDAP server. However, it is possible to configure Zimbra to use an external LDAP service. It is important that in both LDAP directories the usernames are identical. During login, Zimbra tries to authenticate the user against the external LDAP service. If the authentication is successful, the user is considered as authenticated and can use Zimbra. When the LDAP authentication is properly configured, Zimbra will only authenticate against the external LDAP service and not its own.

To configure Zimbra to use an external LDAP service, log in as an administrative user and navigate to the administration page. Open the configuration page by navigating to Configuration -> Domains. Click on the button "Configure Authetification", located at the upper part of the page. A configuration wizard will open and the settings can now be edited (assuming the domain is ucs.test):

Authentication Mechanism: External LDAP
LDAP URL: ldap://<FQDN des Masters>:389
LDAP-Filter: (uid=%u)
LDAP-Search-Base: dc=ucs,dc=test
Use DN/Password to bind to
external Server: Yes
Bind DN:
uid=Administrator,cn=users,dc=ucs,dc=test

Synching user data

In order for the LDAP authentication against an external LDAP service to be successful, the usernames in both LDAP directories must be identical.

System mails

In order to receive system mails, like those generated by cronjobs, it is necessary to set root@<server fqdn> and root@<maildomain> as aliases in the Zimbra administration page.

Personal tools