Zimbra

Надежность шифрования является одним из наиболее важных показателей при использовании информационных систем для бизнеса, ведь ежедневно они участвуют в передаче огромного количества конфиденциальной информации. Общепринятым средством оценки качества SSL-соединения является независимый тест от Qualys SSL Labs. Поскольку данный тест может запустить кто угодно, для SaaS-провайдеров особенно важно, чтобы оценка в этом тесте была максимальной. О качестве SSL-соединения заботятся не только SaaS-провайдеры, но и обычные предприятия. Для них данный тест является отличной возможностью выявить потенциально уязвимые места и заблаговременно закрыть все лазейки для киберпреступников.



В Zimbra OSE допустимо использовать два вида SSL-сертификатов. Первый это самоподписанный сертификат, который автоматически добавляется при установке. Этот сертификат бесплатен и не ограничен по времени использования, а значит идеально подойдет для тестирования Zimbra OSE или ее использования исключительно в рамках внутренней сети. Однако при входе в веб-клиент пользователи будут видеть предупреждение от браузера, что данный сертификат ненадежен, и тест от Qualys SSL Labs ваш сервер однозначно провалит.

Второй это коммерческий SSL-сертификат, подписанный удостоверяющим центром. Такие сертификаты без проблем воспринимается браузерами и обычно используются при коммерческой эксплуатации Zimbra OSE. Сразу после корректной установки коммерческого сертификата Zimbra OSE 8.8.15 показывает оценку A в тесте от Qualys SSL Labs. Это отличный результат, но наша цель достигнуть результата A+.





Для того, чтобы достичь максимальной оценки в тесте от Qualys SSL Labs при использовании Zimbra Collaboration Suite Open-Source Edition необходимо выполнить ряд шагов:

1. Увеличение параметров протокола Диффи-Хеллмана

По умолчанию во всех компонентах Zimbra OSE 8.8.15, которые используют OpenSSL, значение параметров протокола Диффи-Хеллмана составляет 2048 бит. В принципе, этого более чем достаточно для получения оценки А+ в тесте от Qualys SSL Labs. Однако, в том случае, если вы обновляетесь с более старых версий, значение параметров может оказаться ниже. Поэтому рекомендуется после завершения обновления выполнить команду zmdhparam set -new 2048, которая повысит параметры протокола Диффи-Хеллмана до приемлемых 2048 бит, а при желании при помощи этой же команды можно повысить значение параметров до 3072 или 4096 бит, что с одной стороны приведет к увеличению времени генерации, однако с другой стороны положительно скажется на уровне безопасности почтового сервера.

2. Включение рекомендованного списка используемых шифров

По умолчанию Zimbra Collaborataion Suite Open-Source Edition поддерживает широкий спектр сильных и слабых шифров, при помощи которых шифруются данные проходящие по защищенному соединению. Однако использвоание слабых шифров является серьезным минусом при проверке безопасности SSL-соединения. Для того, чтобы этого избежать, необходимо настроить список используемых шифров.

Для этого следует воспользоваться командой zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'.

В эту команду сразу включен набор рекомендованных шифров и благодаря ей команде можно сразу включить в список надежные шифры и исключить ненадежные. Теперь остается только перезагрузить узлы с обратными прокси с помощью команды zmproxyctl restart. После перезагрузки внесенные изменения вступят в силу.

В том случае, если этот список вас по тем или иным причинам не устраивает, можно удалить из него ряд слабых шифров с помощью команды zmprov mcf +zimbraSSLExcludeCipherSuites. Так, например, команда zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, которая полностью исключит использование шифров RC4. Так же можно поступить и с шифрами AES и 3DES.

3. Включение HSTS

Включенные механизмы принудительного включения шифрования соединения и восстановления сеанса TLS также являются обязательными условиями для получения высшего балла в тесте от Qualys SSL Labs. Для их включения необходимо ввести команду zmprov mcf +zimbraResponseHeader Strict-Transport-Security: max-age=31536000. Данная команда добавит необходимый заголовок в конфигурацию, а для вступления новых настроек в силу придется перезагрузить Zimbra OSE с помощью команды zmcontrol restart.

Уже на этом этапе тест от Qualys SSL Labs будет демонстрировать оценку A+, однако если вы захотите дополнительно улучшить безопасность вашего сервера, можно предпринять еще ряд мер.



Например, можно включить принудительное шифрование межпроцессных соединений, а также включить принудительное шифрование при подключении к службам Zimbra OSE. Для проверки межпроцессных соединений следует ввести следующие команды:

zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=true

Для включения принудительного шифрования нужно ввести:

zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https

zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https

zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUE

Благодаря этим командам будут шифроваться все соединения с прокси-серверами и почтовыми серверами, а также будет осуществляться проксирование всех этих соединений.



Таким образом, следуя нашим рекомендациям можно не только добиться высочайшей оценки в тесте на безопасность SSL-соединения, но и значительно повысить безопасность работы всей инфраструктуры Zimbra OSE.

По всем вопросам, связанными c Zextras Suite вы можете обратиться к Представителю компании Zextras Екатерине Триандафилиди по электронной почте katerina@zextras.com

Технология единого входа обладает массой преимуществ по сравнению с классическими методами аутентификации, главное из которых заключается в том, что именно SSO обеспечивает наилучший баланс между удобством пользователя и информационной безопасностью предприятия. Ранее мы уже рассказывали о том, как реализовать SSO в Zimbra OSE при использовании аутентификации в Active Directory с помощью Kerberos. На этот раз мы расскажем о том, как внедрить Zimbra OSE другую технологию единого входа SAML на примере провайдера Okta.



Единый вход с помощью SAML в Zimbra OSE доступен только для пользователей Zextras Suite Pro.

Подготовка к интеграции

В первую очередь для включения интеграции в SAML, необходимо пропатчить NGINX. Для этого в папке /opt/zimbra/conf/nginx/templates/ отредактируйте поочередно файлы:

• nginx.conf.web.http.default.template
• nginx.conf.web.http.template
• nginx.conf.web.https.default.template
• nginx.conf.web.https.template

Во всех файлах в разделе location ^~ /zx/ замените содержимое на

location ^~ /zx/

{

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

proxy_set_header Host $http_host;

proxy_set_header X-Forwarded-Proto $scheme;

proxy_set_header X-Forwarded-Port $server_port;

proxy_pass ${web.upstream.zx};

}

Эти изменения нужны для того, чтобы составлять полноценные URL-запросы Protocol X и X-Port.

Также необходимо активировать движок аутентификации от Zextras на уровне домена. Сделать это может администратор сервера, введя в командной строке команду zmprov modifyDomain example.ru zimbraAuthMech custom:zx.

Создание приложения в Okta

В том случае, если вы ранее не использовали SAML для доступа к ресурсам компании, вам придется создать собственное приложение для аутентификации пользователей. Для того, чтобы создать такое приложение в Okta:

1. Зарегистрируйтесь в качестве разработчика на сайте okta.com

2. В личном кабинете нажмите на кнопку Create App Integration



3. В открывшемся списке выберите SAML 2.0 и нажмите Next



4. В следующем окне укажите название своего приложения, выберите иконку и настройте его видимость и нажмите кнопку Next, когда всё будет готово



5. В следующем окне:

1. В качестве SSO URL укажите адрес вашего сервера с аппендиксом /zx/auth/saml
2. В качестве Audiend URI укажите адрес вашего сервера с аппендиксом /zx/auth/samlMetadata
3. В качестве Name ID Format укажите EmailAddress
4. Нажмите кнопку Next

6. В мини-опросе выберите первый вариант ответа и нажмите кнопку Finish



7. Скачайте метаданные своего приложения SAML



Если у вас уже есть приложение в Okta, просто скачайте файл с метаданными своего приложения.

Экспорт учетных записей из домена Zimbra OSE

Приложение SAML поддерживает как создание новых учетных записей, так и импортирование уже существующих из Zimbra. Для того, чтобы импортировать учетные записи, необходимо сперва экспортировать их из Zimbra в формате .csv.

Для экспорта учетных записей перейдите в консоль администратора Zimbra, перейдите во вкладку Поиск и осуществите поиск по пользователям с названием домена в поисковом запросе. Результатом поиска будет полный список пользователей домена, который можно выгрузить в формате CSV, нажав на иконку Дополнительные настройки в правом верхнем углу и выбрав раздел Загрузить



Импортируйте полученный CSV в приложение SAML с помощью соответствующего инструмента в личном кабинете разработчика.

Интеграция приложения в Zimbra OSE

Чтобы интегрировать приложение SAML в Zimbra OSE, вам потребуются данные из скачанного ранее файла с метаданными приложения.

Интеграцию можно провести в автоматическом режиме, просто указав в настройках расположение файла с метаданными, так и вручную, добавив все необходимые данные в файл конфигурации.

Для того, чтобы выполнить интеграцию в автоматическом режиме, введите команду zxsuite auth saml import example.ru url dev-3299935.okta.com/app/exkvjcggn7C7jrhc75d6/sso/saml/metadata. Если вы используете собственный сервер SAML с самоподписанными сертификатами, используйте параметр allow_insecure true для пропуска проверки подлинности SSL-сертификата.

Чтобы провести интеграцию в ручном режиме, экспортируйте настройки SAML по умолчанию при помощью команды zxsuite auth saml get example.ru export_to /tmp/saml.json. Откройте полученный файл /tmp/saml.json в любом редакторе и добавьте в него следующие данные, заменяя строки отмеченные знаками >> << данными из файла с метаданными. В нашем случае добавленные строки будут выглядеть следующим образом:

sp.nameidformat:urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress ,
sp.entityid: >>example.ru/zx/auth/samlMetadata?domain=example.ru<<,
sp.assertion_consumer_service.url: >>example.ru/zx/auth/saml<<,
idp.single_sign_on_service.url: >>dev-3299935.okta.com/app/dev-3299935_zextrassamlintegration_1/exkvjcggn7C7jrhc75d6/sso/saml<<,
idp.entityid: >>www.okta.com/exkvjcggn7C7jrhc75d6<<,
idp.x509cert: >>MIIDpjCCAo6gAwIBAgIGAXmC9e8bMA0GCSqGSIb3DQEBCwUAMIGTMQswCQYDVQQGEwJVUzETMBEG A1UECAwKQ2FsaWZvcm5pYTEWMBQGA1UEBwwNU2FuIEZyYW5jaXNjbzENMAsGA1UECgwET2t0YTEU MBIGA1UECwwLU1NPUHJvdmlkZXIxFDASBgNVBAMMC2Rldi0zMjk5OTM1MRwwGgYJKoZIhvcNAQkB Fg1pbmZvQG9rdGEuY29tMB4XDTIxMDUxOTA0NDkyNloXDTMxMDUxOTA0NTAyNlowgZMxCzAJBgNV BAYTAlVTMRMwEQYDVQQIDApDYWxpZm9ybmlhMRYwFAYDVQQHDA1TYW4gRnJhbmNpc2NvMQ0wCwYD VQQKDARPa3RhMRQwEgYDVQQLDAtTU09Qcm92aWRlcjEUMBIGA1UEAwwLZGV2LTMyOTk5MzUxHDAa BgkqhkiG9w0BCQEWDWluZm9Ab2t0YS5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIB AQCOJA7bhf/LO89VpuGTHur77RbwKlJg3Eni/P4JKowSVrQD6PghwprCdzThyTsKWcHwESZoYwEL WdrZ6CVzDZWAegWJnaJivfiFlFjsEZ15UHOGizMBM3VI0ePWjaWJ6O2DM9BID2mGULnXUDbQXbf6 rE1EHxzlxzCKIBWmT8ut/JsA/lmBm0YNi4BKfP06KXCLianxoH+fEETNd/NH2mXwgHdxMV1BS/mm TAHSJtkDfWxTM+dTGngrjMANKvmChGjSO1ZXFs/pm+vx0o6ffYcoeXnfgodBX3FZ7aTFBTk0s5Se Wms1utjfa8qhHbrolErqqIc1PPBngEFvzcLjFAfRAgMBAAEwDQYJKoZIhvcNAQELBQADggEBAByU jjdAc5tdH+QFAHS0CJNYa9VNaapxuEFrlR3ZdAztIaczKUqYfHqHdXuDHYCjdHXhLFHwntBsnphk M2sk8D2zG0wpoYsEA3IrvbXoTwwqDzACpLF37S7Pfn0RjE5IvvJ9WP4DoZa9ikM/p0N+H7fpqkU2 xavoiNGOMqot9xpWrytM0P+luXereriOOzVaBS1+DuhA4INhze5luyc52X18T4HrJ3iGivfXR2os L8/PI4gZwR956Ju8tDEcmFVCelLN4FlN3ITogPK+SyKHhlTBuSGHidrGKQJBRmkLhk6lhKWTHjWP mI88ECqrA63+QvxU4KRUl1zzRgKVwrgzos4=<<

Сохраните внесенные в файл изменения и импортируйте его в Zimbra OSE с помощью команды zxsuite auth saml import example.ru /tmp/saml.json



После осуществления всех описанных действий на странице входа веб-клиента Zimbra OSE появится кнопка Вход SAML, при нажатии на которую сервер обратится к приложению SAML с запросом об аутентификации пользователя. В случае, если приложение подтвердит подлинность входа, пользователь попадет в свою учетную запись без ввода каких-либо аутентификационных данных. При этом оставляется возможность для входа пользователя по логину и паролю.

По всем вопросам, связанными c Zextras Suite Pro и Team Pro вы можете обратиться к Представителю компании Zextras Technology Екатерине Триандафилиди по электронной почте ekaterina.triandafilidi@zextras.com

Глобальная книга адресов в Zimbra OSE реализована с помощью отдельной системной учетной записи galsync, которая имеется на каждом почтовом домене Zimbra OSE. В список контактов этой учетной записи добавлена информация о каждом пользователе в домене, а пользователи домена при этом имеют доступ к данному списку адресов и могут использовать его для поиска пользователей и автозаполнения при наборе адреса электронной почты.

Такая реализация глобальной адресной книги позволяет максимально упростить импортирование в нее новых данных, однако по умолчанию работает она в рамках только одного домена.Крупные компании часто используют отдельные почтовые домены для разных подразделений или дочерних предприятий и нередко возникает необходимость иметь общую глобальную адресную книгу, в которой содержались бы почтовые адреса и данные пользователей нескольких или вообще всех доменов компании.



Для того, чтобы объединить списки контактов учетных записей galsync с разных почтовых доменов, необходимо настроить их синхронизацию. На примере доменов msk.company.ru и spb.company.ru настроим общую адресную книгу для филиалов компании в Москве и Санкт-Петербурге.

По умолчанию учетная запись galsync в доменах Zimbra OSE имеет некий суффикс, представляющий из себя случайный набор цифр и букв. Это в дальнейшем может затруднить нам работу с ней, и поэтому сперва удалим учетную запись galsync.kf9song4@msk.company.ru, а затем создадим новую galsync@msk company.ru с помощью следующих команд:

zmgsautil deleteAccount -a galsync.kf9song4@msk.company.ru
zmgsautil createAccount -a galsync@msk.company.ru -n GAL --domain msk.company.ru -t zimbra -s mail.company.ru -f GAL

Обращаем ваше внимание на то, что учетную запись galsync ни в коем случае нельзя удалять так же, как и обычную учетную запись. Это приведет к тому, что Zimbra OSE постоянно будет сообщать об ошибке при попытке обращения к домену, который остался без учетной записи galsync.

После этого добавим в учетную запись galsync московского домена новый источник данных SPB, контакты из которого будут автоматически добавляться в папку контактов_SPB. Делается это при помощи команды zmgsautil addDataSource -a galsync@msk.company.ru -n SPB --domain msk.company.ru -t ldap -f _SPB -p 1d.

В качестве источника информации укажем домен spb.company.ru и зададим фильтр для поиска контактов: zmprov mds galsync@msk.company.ru SPB zimbraGalSyncLdapBindDn $zimbra_ldap_userdn zimbraGalSyncLdapBindPassword $zimbra_ldap_password zimbraGalSyncLdapFilter '(|(&(mail=*)(zimbraAccountStatus=active)(!(zimbraHideInGAL=TRUE)))(&(mail=*)(objectClass=zimbraDistributionList)(!(zimbraHideInGAL=TRUE))))' zimbraGalSyncLdapSearchBasedc=spb,dc=company,dc=ru zimbraGalSyncLdapURL ldap://192.168.0.15:389.

Теперь останется лишь включить добавленный нами источник контактов zmprov mds galsync@msk.company.ru SPBzimbraDataSourceEnabled TRUE и принудительно провести первую синхронизацию с помощью команды zmgsautil forceSync -a galsync@msk.company.ru -n SPB.

Убедиться в том, что синхронизация контактов между глобальными адресными книгами работает, можно проверить содержимое папки _SPB, которую мы только что создалиzmmailbox -z -m galsync@msk.company.ru gaf. Если все в порядке, останется только ввести командуzmprov md msk.company.ru zimbraGALMode bothи проверить, как работает автозаполнение при наборе контактов из петербургского домена.

В том случае, если вам необходимо, чтобы пользователи домена spb.company.ru также могли видеть пользователей домена msk.company.ru, потребуется сделать то же самое, но поменяв местами домены:

1. zmgsautil addDataSource -a galsync@spb.company.ru -n MSK --domain spb.company.ru -t ldap -f _MSK -p1d
2. zmprov mds galsync@spb.company.ru SPB zimbraGalSyncLdapBindDn $zimbra_ldap_userdn zimbraGalSyncLdapBindPassword $zimbra_ldap_password zimbraGalSyncLdapFilter '(|(&(mail=*)(zimbraAccountStatus=active)(!(zimbraHideInGAL=TRUE)))(&(mail=*)(objectClass=zimbraDistributionList)(!(zimbraHideInGAL=TRUE))))' zimbraGalSyncLdapSearchBasedc=msk,dc=company,dc=ru zimbraGalSyncLdapURL ldap://192.168.0.15:389
3. zmprov mds galsync@spb.company.ru MSK zimbraDataSourceEnabled TRUE
4. zmgsautil forceSync -a galsync@spb.company.ru -n MSKzmmailbox -z -m galsync@spb.company.ru gaf
5. zmprov md spb.company.ru zimbraGALMode both

Количество источников данных в учетной записи galsync неограничено.

Добавлять новые источники контактов для учетной записи galsync можно и в консоли администрирования. Однако для того, чтобы это сделать, все равно сперва придется поработать в командной строке. Для того, чтобы, например, добавить в galsync московского домена контакты из филиала в Калуге, необходимо с помощью командыzmgsautil addDataSource -a galsync@msk.company.ru -n KLG --domain msk.company.ru -t ldap -f _KLG -p 1d добавить источник данных KLG и папку для них под названием _KLG.



После этого в администраторской консоли переходим вНастройка Домены настроить GAL, в открывшемся мастере настройки глобальной адресной книги выбираем источник KLG и вводим в него все необходимые параметры, аналогичные тем, что использовались в прошлых примерах.



Также в качестве внешнего источника контактов можно подключить Active Directory. Делается это точно так же, как и в случае с обычным LDAP:cоздается источник данных AD zmgsautil addDataSource -a galsync@msk.company.ru -n AD --domain msk.company.ru -t ldap -f _AD -p 1d, а затем в консоли администрирования указывается фильтр поиска и данные для автозаполнения.

По всем вопросам, связанными c Zextras Suite вы можете обратиться к Представителю компании Zextras Екатерине Триандафилиди по электронной почте katerina@zextras.com

14 июля 2020 года, Виченца, Италия Ведущий мировой разработчик расширений для СПО Zextras выпустил собственную версию популярного почтового сервера Zimbra с загрузкой из собственного репозитория и поддержкой. Решения Zextras добавляют в почтовый сервер Zimbra возможности совместной работы, коммуникаций, поддержку хранилищ, мобильных устройств, резервирования и восстановления в реальном времени, администрирования мультитенантной инфраструктуры.


Zimbra это широко известный почтовый сервер с открытым кодом, используемый миллионами пользователей во всех отраслях экономики, государственных и образовательных учреждениях, сервис-провайдерах по всему миру. Торговая марка Zimbra принадлежит американской компании Synacor. В апреле 2020 года Synacor изменил политику в области публикации открытого кода. Начиная с выпуска Zimbra 9 проект перестал публиковать Zimbra Open Source Edition и ограничился выпуском только коммерческой версии продукта. Это вызвало негативную реакцию сообщества пользователей Zimbra с открытым кодом, и под их давлением Synacor открыл коды Zimbra 9 для создания собственных сборок и самостоятельной их поддержки.

В создавшейся ситуации на помощь пользователям Zimbra OSE пришла компания Zextras, которая благодаря многолетнему опыту разработки для этого сервера создала собственную сборку Zimbra 9 Open Source от Zextras и решила независимо поддерживать ее в дальнейшем. Сборка Zextras, создана на основе исходного кода, предоставленного Synacor без каких-либо существенных изменений. Благодаря позиции Zextras пользователи во всем мире смогли отстоять свое право использования актуальных версий популярного продукта с поддержкой на экспертном уровне.

Помимо поддержки собственной ветки Zimbra 9 Open Source компания Zextras порадовала пользователей новыми возможностями продукта: представлением нескольких писем каскадом в веб-клиенте, расширенными функциями календаря и задач, чатом Zimbra и многим другим.

Генеральный директор Zextras Паоло Сторти прокомментировал свое решение поддержать Zimbra Open Source: В конце 90-х я начал работать системным администратором Linux. Позже, сосредоточился на предоставлении почтовых решений с открытым исходным кодом. Это было время напряженной работы. Интеграция и поддержка множества разнородных компонентов была постоянной проблемой, ночи и дни были потрачены на то, чтобы найти подходящее решение. Потом появилась Zimbra, и это стало для меня поворотным моментом: мне сразу понравилась возможность предложить комплексное решение, в котором все части идеально сочетаются друг с другом. Как поклонник коммуникационных систем и сторонник Open Source, я нашел в Zimbra все, о чем мечтал. Это причина, по которой я предоставил свою сборку Zimbra 9, чтобы продолжить проект, в который я твердо верю.

Вы можете скачать Zimbra 9 Open Source от Zextras на нашем сайте

Zextras ведущий мировой разработчик для почтового сервера Zimbra OSE. Это компания с десятилетним опытом работы и присутствием во всех регионах мира. Zextras Suite добавляет в Zimbra OSE текстовый и видеочат, резервирование, совместную работу с документами, поддержку мобильных устройств и дисковых хранилищ с высокой степенью надежности и экономным использованием вычислительных ресурсов. Решение используется в крупнейших компаниях, операторах связи и провайдерах облачных услуг более чем 20 миллионами пользователей.

По всем вопросам, связанными c Zextras Suite вы можете обратиться к Представителю компании Zextras Екатерине Триандафилиди по электронной почте katerina@zextras.com

Введение

В Веб-Админке Zimbra отсутствуют инструменты для генерации подписи к письмам. Перелопатив кучу мануалов понял, что ни один из Них меня не устраивает.

Задача кажется тривиальной, но решения в лоб найти сразу не удалось. Надеюсь, эта статья поможет кому-то сэкономить кучу времени и сил.

С моей же стороны это вклад в сообщество, за ранее использованные наработки.

Системные требования

система: Linux Ubuntu 18.04
версия Zimbra: Zimbra 8.8.15

Скрипт генерации HTML подписи

Начнем сразу с самого скрипта ниже дам пояснения и описание работы скрипта.

#!/bin/bash# created by Parfentiev Aleksey, Shultz Denis SRC_LOGO="http://personeltest.ru/aways/mail.domen.ru/home/it@domen.ru/Briefcase/Logo/tl_logo.png"SRC_TXT="ЛОГО организации"SIGN_NAME="Подпись_Организации"DOMEN="domen.ru" # Check for run as zimbra userID=`id -u -n`if [ x$ID != "xzimbra" ]; then   echo "Please run as ZIMBRA user"   echo "Exiting..."   exit 1fi # Obtain all user accounts in $DOMEN (template: Family.IN@domen.com or family.in_jr@domen.com)accounts=`zmaccts | grep 'active'| grep $DOMEN | grep -P "(\b[A-z]+)\.(\D{2,5}@).*" | awk '{print $1}'` for ac in $accounts; do  echo -ne "Checking account: $ac \t"     # Try delete signature    /opt/zimbra/bin/zmprov dsig $ac $SIGN_NAME     echo -ne "Setting signature... "     # Obtain signature from LDAP user atributes     declare -A arr    mapfile -t ARRAY < <(/opt/zimbra/bin/zmprov ga $ac | egrep "(^cn|^title|^mobile|^zimbraPrefFromAddress|^st|^l|^street|^telephoneNumber|^pager|^postalCode)" | sed 's/: /:/')    for sgn in "${ARRAY[@]}" ; do        KEY=${sgn%%:*}        VALUE=${sgn#*:}        arr[$KEY]=$VALUE    done     HTML='<div style="display: inline-block;" data-mce-style="display: inline-block;">'    HTML+='<br><table style="width: 550px; border: 0; border-top: 1px #e0e0e0 solid;" align="left" data-mce-style="width: 550px; border: 0; border-top: 1px #e0e0e0 solid;">'    HTML+='<tbody>'    HTML+='<tr><td style="width: 87px; padding: 5px;" valign="middle" align="center" data-mce-style="width: 87px; padding: 5px;">'    HTML+='<img src="'$SRC_LOGO'"  alt="'$SRC_TXT'"></td>'    HTML+='<td style="font-size: 10pt; color: #808080; font-family: georgia, serif; width: 389px;" data-mce-style="font-size: 10pt; color: #808080; font-family: georgia, serif; width: 389px;">'    HTML+="${arr['cn']} - ${arr['title']}   <br>тел: ${arr["telephoneNumber"]} доб.${arr["pager"]}   моб: ${arr["mobile"]}"    HTML+="<br>e-mail: ${ac} <br>${arr['postalCode']} ${arr['st']} ${arr['l']} ${arr['street']}</td></tr></tbody></table></div>"    unset arr     # Set signature for account $ac and obtain signature id account    sign_id=$(/opt/zimbra/bin/zmprov csig $ac $SIGN_NAME zimbraPrefMailSignatureHTML "$HTML")    # Obtain delegates mailbox accounts    mapfile -t ARRAY < <(/opt/zimbra/bin/zmprov gid $ac name | cut -d " "  -f 3-7 | grep -P '[^.*]')    for gid in "${ARRAY[@]}" ; do    # Set defalt signature position (outlook (before) or internet (after attachments)) for each account    /opt/zimbra/bin/zmprov modifyIdentity $ac "$gid" zimbraPrefDefaultSignatureId $sign_id zimbraPrefForwardReplySignatureId $sign_id zimbraPrefMailSignatureStyle outlook    done    echo "done!"

передаем данный скрипт на хостовую машину, любым Вам известным способом.

Помещаем в папку /usr/local/bin или создаем файл zm_sign_html.sh по этому пути и copy/paste

sudo -i# ввести пароль от sudo user# создать файл  /usr/local/bin/zm_sign_html.shtouch /usr/local/bin/zm_sign_html.sh# открыть любым редактором copy/paste# сделать исполняемымchmod 755 /usr/local/bin/zm_sign_html.sh

Описание работы скрипта

1. проверяем запущен ли скрипт от пользователя zimbra ( команды CLI выполняются от пользователя zimbra).
   возможно сделать и по-другому использовать команду runuser и запускать скрипт из-под root.
   
2. получаем все активные пользовательские аккаунты в нужном домене.
   
   У нас в организации приняты следующие шаблоны именования пользователей:
   
   family.in@domen.ru или family.in_jr@domen.ru
   
   где: family фамилия Пользователя транслитерацией.
   in инициалы Пользователя
   in_jr инициалы Пользователя с дополнением (для Пользователей у которых совпали Фамилия.Инициалы).
   
   Отсылка к статье на Хабре: Как я внедрял Zimbra
   
   Соответственно, ящик ivanov.aa@domen.ru попадет в список для генерации подписи, а служебный ящик zavod@domen.ru будет проигнорирован.
   
   За это отвечает регулярка grep -P "(\b[A-z]+)\.(\D{2,5}@).*" в строке скрипта
   
   

   accounts=`zmaccts | grep 'active'| grep $DOMEN | grep -P "(\b[A-z]+)\.(\D{2,5}@).*" | awk '{print $1}'`
   

   
   
3. удаляем подпись с Названием SIGN_NAME ( если такой подписи нет будет ошибка в этой CLI команде, и скрипт пойдет далее )
   
4. Перебираем Пользователей.
   
   Забираем нужные поля для текущего Пользователя с LDAP, собираем в массив, собираем HTML подпись (переменная HTML в скрипте).
   
   

   mapfile -t ARRAY < <(/opt/zimbra/bin/zmprov ga $ac | egrep "(^cn|^title|^mobile|^zimbraPrefFromAddress|^st|^l|^street|^telephoneNumber|^pager|^postalCode)" | sed 's/: /:/')
   

   
   Здесь, как видно я собираю данные из полей: cn, title и т.д.
   
   Название полей можно посмотреть в Админке:
   
   
   
5. Получаем аккаунты делегированных ящиков (отправить от имени, отправить как) для текущего Пользователя.
   
   Чтобы было понятнее для чего это делается, покажу на Скриншоте (Настройки Подписи).
   
   
   
   Допустим, у Вас есть доп профиль (здесь он называется Ит отдел, в которых настроена возможность отправлять от Имени или Отправлять как).
   
   Тогда мы получаем все доп. профили и для Них устанавливаем подпись.
   
   Расположение подписи настраивается так:
   
   

   /opt/zimbra/bin/zmprov modifyIdentity $ac "$gid" zimbraPrefDefaultSignatureId $sign_id zimbraPrefForwardReplySignatureId $sign_id zimbraPrefMailSignatureStyle outlook
   

   
   Последний параметр zimbraPrefMailSignatureStyle: outlook перед вложенными сообщениями, internet после
   
   Сами профили настраиваем в Настройки Учетные Записи:
   
   
   
6. устанавливаем подпись.
   
7. переходим к следующему Пользователю.
   

Описание параметров

SRC_LOGO=mail.domen.ru/home/it@domen.ru/Briefcase/Logo/tl_logo.png ссылка на логотип организации.

Создаём ящик отдела ИТ (it@domen.ru). В Zimbra есть встроенный сервис хранения документов (Портфель). В ящике отдела ИТ в Портфеле, создаем папку LOGO, в неё помещаем логитип Нашей организации.

Разрешаем доступ к данной папке.



Теперь логотип Нашей организации доступен по адресу:
mail.domen.ru/home/it@domen.ru/Briefcase/Logo/tl_logo.png

SRC_TXT=ЛОГО Организации текстовое пояснение, если отключена загрузка изображений в браузере.

SIGN_NAME=Организация Название подписи ( можно транслитом, можно по-русски).

DOMEN=domen.ru почтовый домен, для которого будем устанавливать подписи.

Автоматизация выполнения

Настраиваем crontab от пользователя zimbra:

sudo su zimbracrontab -e

Будьте внимательны, в crontabe данного Пользователя выполняются фоновые задания zimbra (между секциями ZIMBRA_START и ZIMBRA_END).

Дописываем Наше задание в конец файла не забываем оставить пустую строку в конце!

Запускаем скрипт /usr/local/bin/zimbra/zm_sign_html.sh каждый день в 6:00.

Пример файла crontab:

#35 3 * * * /opt/zimbra/bin/zmcbpadmin --cleanup >/dev/null 2>&1# ZIMBRAEND -- DO NOT EDIT ANYTHING BETWEEN THIS LINE AND ZIMBRASTART0 6 * * * /usr/local/bin/zm_sign_html.sh

Заключение

На этом пока все. Можно дописать отсылку на e-mail. Если это кому-то необходимо дополню.
Пишите в комментах

Всем хорошего настроения! И не болеть!

Ссылки на используемые статьи

phas13.blogspot.com/search/label/Zimbra
wiki.zimbra.com/wiki/Setting_automatic_Default_Signature

P.S.: Отдельная благодарность Шульц Денису (tlk234) за помощь в отладке скрипта и работе с документацией Zimbra CLI.

Введение

Оптимизация офисной инфраструктуры и развертывание новых рабочих мест серьезная проблема для компаний всех типов и размеров. Оптимальным вариантом для нового проекта является аренда ресурсов в облаке и приобретение лицензий, которые можно использовать как у провайдера, так и в собственном ЦОД. Одним из решений для такого сценария является Zextras Suite, который позволяет создать платформу для совместной работы и корпоративных коммуникаций предприятия как в облачной среде, так и на своей инфраструктуре.



Решение рассчитано на офисы любого размера и имеет два основных сценария развёртывания: при наличии до 3000 тысяч почтовых ящиков и отсутствии высоких требований к отказоустойчивости, можно использовать установку в варианте single-server, а вариант установки multi-server поддерживает надежную и отзывчивую работу десятков и сотен тысяч почтовых ящиков. Во всех случаях пользователь получает доступ к почте, документам и сообщениям через единый веб-интерфейс с рабочего места с любой ОС без установки и настройки дополнительного ПО, или через мобильные приложения для iOS и Android. Возможно использование привычных клиентов Outlook и Thunderbird.

Для развертывания проекта партнер Zextras SVZ выбрал Яндекс.Облако, т.к. его архитектура аналогична AWS и имеется поддержка S3 совместимого хранилища, что позволит удешевить стоимость хранения большого объема почты, сообщений и документов и повысит отказоустойчивость решения.

В среде Яндекс.Облако для установки single-server используются базовые средства управления виртуальными машинами Compute Cloud и возможности управления виртуальными сетями Virtual Private Cloud. Для multi-server инсталляции в дополнение к указанным средствам необходимо использовать технологии Групп размещения, при необходимости (в зависимости от масштаба системы) также и Instance Groups, и сетевой балансировщик Yandex Load Balancer.

S3-совместимое объектное хранилище Yandex Object Storage может использоваться в обоих вариантах инсталляции, а также может быть подключено к системам, развёрнутым on-premise для экономного и отказоустойчивого хранения данных почтового сервера в Яндекс.Облаке.

Для single-server инсталляции, в зависимости от количества пользователей и/или почтовых ящиков, требуется: для основного сервера 4-12 vCPU, 8-64 GB vRAM (конкретные значения vCPU и vRAM зависят от количества почтовых ящиков и фактической нагрузки), не менее 80 GB диска для операционной системы и приложений, а также дополнительное дисковое пространство для хранения почты, индексов, логов и т.п., зависящее от количества и среднего размера почтовых ящиков и которое может динамически изменяться во время эксплуатации системы; для вспомогательных серверов Docs: 2-4 vCPU, 2-16 GB vRAM, 16 GB дискового пространства (конкретные значения ресурсов и количество серверов зависят от фактической нагрузки); дополнительно может потребоваться сервер TURN/STUN (его необходимость как отдельного сервера и ресурсы зависят от фактической нагрузки). Для multi-server инсталляций количество и назначение ролевых виртуальных машин и выделяемые им ресурсы определяются индивидуально в зависимости от требований пользователя.

Цель статьи

Описание развертывания в среде Яндекс.Облако продуктов Zextras Suite на базе почтового сервера Zimbra в варианте установки single-server. Полученная инсталляция может быть использована в продуктивной среде (опытные пользователи могут сделать необходимые настройки и добавить ресурсы).

В состав системы Zextras Suite/Zimbra входят:
Zimbra- корпоративная электронная почта с возможностью делиться почтовыми ящиками, календарями и списками контактов (адресными книгами).
Zextras Docs- встроенный офисный пакет на базе LibreOffice online для создания и совместной работы с документами, таблицами, презентациями.
Zextras Drive индивидуальное файловое хранилище, позволяющее редактировать, хранить и делиться с другими пользователями файлами и папками.
Zextras Team мессенджер с поддержкой аудио- и видеоконференций. Доступны версии Team Basic, позволяющая только коммуникации 1:1, и Team Pro, поддерживающая многопользовательские конференции, каналы, возможность демонстрации экрана, обмена файлами и другие функции.
Zextras Mobile поддержка мобильных устройств через Exchange ActiveSync для синхронизации почты с мобильными устройствами с функциями управления MDM (Mobile Device Management). Позволяет использовать Microsoft Outlook в качестве почтового клиента.
Zextras Admin реализация мультитенантного администрирования системы с делегированием администраторов для управления группами клиентов и классами сервисов.
Zextras Backup-резервирование и восстановление данных полного цикла в режиме реального времени
Zextras Powerstore- иерархическое хранилище объектов почтовой системы с поддержкой классов обработки данных, с возможностью хранения данных локально или в облачных хранилищах архитектуры S3, включая Yandex Object Storage.

По окончании установки пользователь получает работающую в среде Яндекс.Облако систему.

Условия и ограничения

1) Не описывается выделение дискового пространства для почтовых ящиков, индексов и других типов данных, т. к. Zextras Powerstore поддерживает различные типы хранилищ. Тип и размер хранилищ зависят от задач и параметров системы. При необходимости это может быть сделано позднее в процессе перевода описанной инсталляции в продуктивную.

2) Для упрощения установки не рассматривается использование управляемого администратором DNS сервера для разрешения внутренних (непубличных) доменных имён, используется стандартный DNS-сервер Яндекс.Облака. При использовании в продуктивной среде рекомендуется использовать DNS-сервер, возможно уже есть в корпоративной инфраструктуре.

3) Предполагается, что используется учётная запись в Яндекс.Облако с настройками по умолчанию (в частности, при входе в Консоль сервиса существует только каталог (в списке Доступные облака под именем default). Пользователи, знакомые с работой в Яндекс.Облако, могут по своему усмотрению, создать отдельный каталог для тестового стенда, или использовать существующий.

4) У пользователя должна быть публичная зона DNS, к которой у него должен быть административный доступ.

5) У пользователя должен быть доступ к каталогу в Консоли Яндекс.Облако по крайней мере с ролью editor (у Владельца облака все необходимые права есть по умолчанию, для предоставления доступа другим пользователям к облаку есть руководства:
https://cloud.yandex.ru/docs/resource-manager/concepts/resources-hierarchy, https://cloud.yandex.ru/docs/resource-manager/operations/folder/set-access-bindings, https://cloud.yandex.ru/docs/iam/concepts/access-control/roles)

6) В данной статье не описывается установка пользовательских X.509 сертификатов, используемых для защиты сетевых коммуникаций посредством механизмов TLS. По окончании установки будут использованы самоподписанные сертификаты, что позволяет использовать браузеры для доступа к установленной системе. Они как правило выводят уведомление об отсутствии у сервера верифицируемого сертификата, но позволяют продолжить работу. До установки верифицируемых клиентскими устройствами сертификатов (подписанных публичными и/или корпоративными удостоверяющими центрами) с установленной системой могут не работать приложения для мобильных устройств. Поэтому установка указанных сертификатов в продуктивной среде необходима, и производится после завершения теста в соответствии с корпоративными политиками безопасности.

Описание процесса инсталляции системы Zextras/Zimbra в варианте single-server

1. Предварительная подготовка

Перед началом установки необходимо обеспечить:
а) Внесение изменений в публичную DNS зону (создание A-записи для сервера Zimbra и MX-записи для обслуживаемого почтового домена).
б) Настройку виртуальной сетевой инфраструктуры в Яндекс.Облако.

При этом, после внесения изменений в зону DNS, необходимо некоторое время на распространение этих изменений, но, с другой стороны, нельзя создать A-запись, не зная IP-адреса, с ней связанного.

Поэтому действия производятся в следующей последовательности:

1. Зарезервировать публичный IP-адрес в Яндекс.Облако
1.1 В Консоли Яндекс.Облака (при необходимости выбрав каталок в доступные облака) зайти в раздел Virtual Private Cloud, подраздел IP-адреса, после чего нажать кнопку Зарезервировать адрес, выбрать предпочитаемую зону доступности (или согласиться с предлагаемым значением; эта зона доступности впоследствии должна использоваться для всех описываемых в дальнейшем действий в Яндекс.Облако, если на соответствующих формах есть возможность выбора зоны доступности), в открывшемся диалоговом окне, при желании можно, но не обязательно, выбрать опцию Защита от DDoS, и нажать кнопку Зарезервировать (см. также документацию).



После закрытия диалога в списке IP-адресов будет доступен выделенных системой статический IP-адрес, который можно скопировать и использовать на следующем шаге.



1.2 В прямой зоне DNS сделать A-запись для сервера Zimbra, указывающую на выделенный ранее IP-адрес, A-запись для сервера TURN, указывающую на тот же самый IP-адрес, и MX-запись для обслуживаемого почтового домена. В нашем примере это будут mail.testmail.svzcloud.ru (сервер Zimbra), turn.testmail.svzcloud.ru (сервер TURN), и testmail.svzcloud.ru (почтовый домен) соответственно.

1.3 В Яндекс.Облако в выбранной зоне доступности для подсети, которая будет использоваться для развёртывания виртуальных машин, включить NAT в Интернет.
Для этого в разделе Virtual Private Cloud, подраздел Облачные сети, выбрать соответствующую облачную сеть (по умолчанию там доступна только сеть default), в ней выбрать соответствующую зону доступности и в её настройка выбрать пункт Включить NAT в интернет.



Статус изменится в списке подсетей:



Подробнее см. в документации https://cloud.yandex.ru/docs/vpc/quickstart и https://cloud.yandex.ru/docs/vpc/concepts/network.

2. Создание виртуальных машин
2.1. Создание виртуальной машины для Zimbra
Последовательность действий:
2.1.1 В Консоли Яндекс.Облака зайти в раздел Compute Cloud, подраздел Виртуальные машины, нажать кнопку Создать ВМ (подробнее о создании ВМ см. документацию).



2.1.2 Там необходимо задать:

• Имя произвольно (в соответствии с поддерживаемым Яндекс.Облаком форматом)
• Зона доступности должна соответствовать ранее выбранной для виртуальной сети.
• В Публичные образы выбрать Ubuntu 18.04 lts
• В дисках установить загрузочный диск размером не менее 80ГБ. Для тестовых целей достаточно типа HDD (и также для продуктивного использования при условии вынесения некоторых типов данных на диски типа SSD). При необходимости дополнительные диски можно будет добавить после создания ВМ.

В вычислительных ресурсах задать:

• vCPU: не менее 4-х.
• Гарантированная доля vCPU: на время выполнения описываемых в статье действий не менее 50%, после окончания установки, при необходимости, можно будет уменьшить.
• RAM: рекомендуется 8ГБ.
• Подсеть: выбрать подсеть, для которой на этапе предварительной подготовки был включен NAT в Интернет.
• Публичный адрес: выбрать из списка IP-адрес, ранее использованных для создания A-записи в DNS.
• Пользователь: по своему усмотрению, но отличный от пользователя root и от системных учётных записей Linux.
• Обязательно надо задать публичный (открытый) SSH-ключ.

Подробнее об использовании SSH см. https://cloud.yandex.ru/docs/compute/operations/vm-connect/ssh
См. также Приложение 1. Создание ключей SSH в openssh и putty и конвертация ключей из формата putty в openssh.
2.1.3 По окончании настройки нажать Создать ВМ.

2.2. Создание виртуальной машины для Zextras Docs
Последовательность действий:
2.2.1 В Консоли Яндекс.Облака зайти в раздел Compute Cloud, подраздел Виртуальные машины, нажать кнопку Создать ВМ (подробнее о создании ВМ см. https://cloud.yandex.ru/docs/compute/quickstart/quick-create-linux).



2.2.2 Там необходимо задать:

• Имя произвольно (в соответствии с поддерживаемым Яндекс.Облаком форматом)
• Зона доступности должна соответствовать ранее выбранной для виртуальной сети.
• В Публичные образы выбрать Ubuntu 18.04 lts
• В дисках установить загрузочный диск размером не менее 80ГБ. Для тестовых целей достаточно типа HDD (и также для продуктивного использования при условии вынесения некоторых типов данных на диски типа SSD). При необходимости дополнительные диски можно будет добавить после создания ВМ.

В вычислительных ресурсах задать:

• vCPU: не менее 2-х.
• Гарантированная доля vCPU: на время выполнения описываемых в статье действий не менее 50%, после окончания установки, при необходимости, можно будет уменьшить.
• RAM: не менее 2ГБ.
• Подсеть: выбрать подсеть, для которой на этапе предварительной подготовки был включен NAT в Интернет.
• Публичный адрес: без адреса (к данной машине не требуется доступ из Интернета, только исходящий доступ с этой машины в Интернет, который обеспечивается опцией NAT в Интернет используемой подсети).
• Пользователь: по своему усмотрению, но отличный от пользователя root и от системных учётных записей Linux.
• Обязательно надо задать публичный (открытый) SSH-ключ, можно тот же самый, что и для сервера Zimbra, можно сгенерировать отдельную ключевую пару, т. к. закрытый ключ для сервера Zextras Docs потребуется поместить на диск сервера Zimbra.

См. также Приложение 1. Создание ключей SSH в openssh и putty и конвертация ключей из формата putty в openssh.
2.2.3 По окончании настройки нажать Создать ВМ.

2.3 Созданные виртуальные машины будут доступны в списке виртуальны машин, где отображается, в частности, их статус и используемые IP-адреса, как публичные, так и внутренние. Информация об IP-адресах потребуется на последующих шагах установки.



3. Подготовка сервера Zimbra к инсталляции
3.1 Установка обновлений
Необходимо зайти на сервер Zimbra по его публичному IP-адресу посредством предпочитаемого вами ssh-клиента с использованием закрытого (частного, приватного) ключа ssh и используя имя пользователя, заданного при создании виртуальной машины.
После входа выполнить команды:
sudo apt update
sudo apt upgrade
(при выполнении последней команды ответить y на вопрос о том, уверены ли вы в установке предлагаемого списка обновлений)
После установки обновлений можно (но не обязательно) выполнить команду:
sudo apt autoremove
И в завершении шага выполнить команду
sudo shutdown r now

3.2 Доустановка приложений
Необходимо установить NTP-клиент для синхронизации системного времени и приложение screen следующей командой:
sudo apt install ntp screen
(при выполнении последней команды ответить y на вопрос о том, уверены ли вы в установке прилагаемого списка пакетов)
Также можно установить дополнительные утилиты для удобства администратора. Например, Midnight Commander может быть установлен командой:
sudo apt install mc

3.3. Изменение системной конфигурации

3.3.1 В файле /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg изменить значение параметра manage_etc_hosts c true на false.
Примечание: редактор для изменения этого файла надо запускать с правами пользователя root, например, sudo vi /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg или, если установлен пакет mc, можно использовать команду sudo mcedit /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg

3.3.2 Отредактировать /etc/hosts следующим образом, заменив в строке, определяющей FQDN хоста, адрес с 127.0.0.1 на внутренний IP-адрес этого сервера, а имя с полного имени в зоне .internal на публичное имя сервера, указанное ранее в A-записи зоны DNS, и соответствующим образом изменив короткое имя хоста (если оно отличается от короткого имени хоста из A-записи публичного DNS).
Например, в нашем случае файл hosts имел вид:



После редактирования он принял вид:



Примечание: редактор для изменения этого файла надо запускать с правами пользователя root, например, sudo vi /etc/hosts или, если установлен пакет mc, можно использовать команду sudo mcedit /etc/hosts

3.4 Задать пароль пользователя
Это необходимо в связи с тем, что в дальнейшем будет производиться настройка файрвола, и в случае возникновения каких-либо проблем с ним, при наличии у пользователя пароля, можно будет зайти на виртуальную машину с использованием сериальной консоли из веб-консоли Яндекс.Облако и отключить файрвол и/или исправить ошибку. При создании виртуальной машины пользователь не имеет пароля, и поэтому доступ возможен только по SSH с использованием аутентификации по ключам.
Для задания пароля необходимо выполнить команду:
sudo passwd <имя пользователя>
Например, в нашем случае это будет команда sudo passwd user.

4. Инсталляция Zimbra и Zextras Suite
4.1. Скачивание дистрибутивов Zimbra и Zextras Suite
4.1.1 Скачивание дистрибутива Zimbra
Последовательность действий:
1) Зайти браузером по URL www.zextras.com/download-zimbra-9
и заполните форму. Вам придет письмо со ссылками на загрузку Zimbra для разных ОС.
2) Выбрать актуальную версию дистрибутива для платформы Ubuntu 18.04 LTS и скопировать ссылку
3) Скачать дистрибутив Zimbra на сервер Zimbra и распаковать его
Для этого в ssh-сеансе на сервере zimbra выполнить команды
cd ~
mkdir zimbra
cd zimbra
wget <url, скопированный на предыдущем шаге>
tar zxf <имя скачанного файла>
(в нашем примере это tar zxf zcs-9.0.0_OSE_UBUNTU18_latest-zextras.tgz)

4.1.2 Скачивание дистрибутива Zextras Suite
Последовательность действий:
1) Зайти браузером по URL https://www.zextras.com/download/
2) Заполнить форму, введя необходимые данные, и нажать кнопку DOWNLOAD NOW



3) Откроется страница для скачивания



На ней есть два интересующих нас URL: один вверху страницы для самого Zextras Suite, который будет необходим нам сейчас, а другой внизу в блоке Docs Server для Ubuntu 18.04 LTS, который понадобится позже для установки Zextras Docs на ВМ для Docs.

4) Скачать дистрибутив Zextras Suite на сервер Zimbra и распаковать его
Для этого в ssh-сеансе на сервере zimbra выполнить команды
cd ~
mkdir zimbra
cd zimbra
(если после предыдущего шага не изменялась текущая директория команды выше можно не выполнять)
wget download.zextras.com/zextras_suite-latest.tgz
tar zxf zextras_suite-latest.tgz

4.2. Инсталляция Zimbra
Последовательность действий
1) Перейти в директорию, в которую распаковались файлы на шаге 4.1.1 (можно просмотреть командой ls, находясь в директории ~/zimbra).
В нашем примере это будет:
cd ~/zimbra/zcs-9.0.0_OSE_UBUNTU18_latest-zextras/zimbra-installer

2) Запустить инсталляцию Zimbra командой
sudo ./install.sh

3) Отвечаем на вопросы инсталлятора
На вопросы инсталлятора можно отвечать y (сответствует да), n (соответствует нет) или оставить предложение инсталлятора без изменений (он предлагает варианты, отображая их в квадратных скобках, например, [Y] или [N].
Do you agree with the terms of the software license agreement? да.
Use Zimbras package repository? по умолчанию (да).
Install zimbra-ldap?, Install zimbra-logger?, Install zimbra-mta? по умолчанию (да).
Install zimbra-dnscache? нет (в операционной системе по умолчанию включен свой кэширующий DNS сервер, поэтому у этого пакета будет с ним конфликт из-за используемых портов).
Install zimbra-snmp? по желанию, можно оставить вариант по умолчанию (да), можно не устанавливать этот пакет. В нашем примере оставлен вариант по умолчанию.
Install zimbra-store?, Install zimbra-apache?, Install zimbra-spell?, Install zimbra-memcached?, Install zimbra-proxy? по умолчанию (да).
Install zimbra-snmp? нет (пакет фактически не поддерживается и функционально заменяется Zextras Drive).
Install zimbra-imapd? по умолчанию (нет).
Install zimbra-chat? нет (функционально заменяется Zextras Team)
После чего инсталлятор спросит, продолжать ли установку?



Отвечаем да если можно продолжать, иначе отвечаем нет и получаем возможность изменить ответы на ранее заданные вопросы.
После согласия на продолжение инсталлятор выполнит установку пакетов.

4.) Отвечаем на вопросы первичного конфигуратора
4.1) Поскольку в нашем примере различаются DNS-имя почтового сервера (имя A-записи) и имя обслуживаемого почтового домена (имя MX-записи), конфигуратор выводит предупреждение и предлагает задать имя обслуживаемого почтового домена. Соглашаемся с его предложением и вводим имя MX-записи. В нашем примере это выглядит следующим образом:



Примечание: задать обслуживаемого почтового домена отличным от имени сервера можно и в том случае, если для имени сервера есть одноимённая MX-запись.

4.2) Конфигуратор отображает основное меню.



Нам необходимо задать пароль администратора Zimbra (пункт меню 6 в нашем примере), без которого невозможно продолжение инсталляции, и изменить настройку zimbra-proxy (пункт меню 8 в нашем примере; при необходимости эту настройку можно изменить и после инсталляции).

4.3) Изменение настроек zimbra-store
В приглашение конфигуратора вводим номер пункта меню и нажимаем Enter.
Попадаем в меню настройки хранилища:



где в приглашении конфигуратора вводим номер пункта меню Admin Password (в нашем примере 4), нажимаем Enter, после чего конфигуратор предлагает случайно сгенерированный пароль, с которым можно согласиться (запомнив его) либо ввести свой. В обоих случаях в конце надо нажать Enter, после чего с пункта Admin Password будет снят маркер ожидания ввода информации от пользователя:



Возвращаемся в предыдущее меню (соглашаемся с предложением конфигуратора).

4.4) Изменение настроек zimbra-proxy
По аналогии с предыдущим шагом, в главном меню выбираем номер пункта zimbra-proxy и вводим его в приглашение конфигуратора.



В открывшемся меню Proxy configuration выбираем номер пункта Proxy server mode и вводим его в приглашение конфигуратора.



Конфигуратор предложит выбрать один из режимов, вводим в его приглашение redirect и нажимаем Enter.
После чего возвращаемся в основное меню (соглашаемся с предложением конфигуратора).

4.5) Запуск конфигурации
Для запуска конфигурации вводим a в приглашение конфигуратора. После чего он спросит, сохранить ли введённую конфигурацию в файл (который можно использовать для повторной инсталляции) можно согласиться с предложением по умолчанию, если сохранение будет произведено спросит, в каком файле сохранить конфигурацию (также можно согласиться с предложением по умолчанию или ввести своё имя файла).



На данном этапе еще можно отказаться от продолжения и внести изменения в конфигурацию, согласившись с ответом по умолчанию на вопрос The system will be modified continue?.
Для начала инсталляции на этот вопрос необходимо ответить Yes, после чего конфигуратор будет некоторое время применять введённые ранее настройки.

4.6) Завершение инсталляции Zimbra
Перед завершением инсталлятор спросит, уведомлять ли Zimbra о произведённой инсталляции? Можно как согласиться с предложением по умолчанию, так и отказаться (ответив No) от уведомления.
После чего инсталлятор еще некоторое время будет проделывать завершающие операции и выведет уведомление о завершении конфигурирования системы с предложением нажать любую клавишу для выхода из инсталлятора.



4.3. Инсталляция Zextras Suite
Подробнее об установке Zextras Suite см. https://svzcloud.ru/zextras/Docs/Ustanovka_zextras_suite_-_team-31032020.pdf

Последовательность действий:
1) Перейти в директорию, в которую распаковались файлы на шаге 4.1.2 (можно просмотреть командой ls, находясь в директории ~/zimbra).
В нашем примере это будет:
cd ~/zimbra/zextras_suite

2) Запустить инсталляцию Zextras Suite командой
sudo ./install.sh all

3) Отвечаем на вопросы инсталлятора
Принцип работы инсталлятора аналогичен работе инсталлятора Zimbra, за исключением отсутствия конфигуратора. На вопросы инсталлятора можно отвечать y (соответствует да), n (соответствует нет) или оставить предложение инсталлятора без изменений (он предлагает варианты, отображая их в квадратных скобках, например, [Y] или [N].
Для начала процесса инсталляции необходимо последовательно ответить да на следующие вопросы:
Do you agree with the terms of the software license agreement?
Do you wish for Zextras Suite to automatically download, install and upgrade the ZAL Library?
После чего будет выведено уведомление с предложение нажать Enter для продолжения:



После нажатия на Enter начнётся процесс инсталляции, иногда прерываемый вопросами, на которые, впрочем, отвечаем согласием с предложениями по умолчанию (да), а именно:
Zextras Suite Core will now be installed. Proceed?
Do you wish to stop the Zimbra Web Application (mailbox)?
The Zextras Suite Zimlet will now be installed. Proceed?
Перед началом финальной части установки будет выведено уведомление о необходимости настройки фильтра DOS с предложением нажать Enter для продолжения. После нажатия на Enter начинается финальная часть установки, в конце выводится финальное уведомление и работа инсталлятора завершается.



4.4. Первичный тюнинг настройки и определение параметров конфигурации LDAP
1) Все последующие действия выполняются из-под пользователя zimbra. Для этого необходимо выполнить команду
sudo su zimbra

2) Изменяем настройку DOS фильтра командой
zmprov mcf zimbraHttpDosFilterMaxRequestsPerSec 150

3) Для установки Zextras Docs понадобится информация о некоторых параметрах настройки Zimbra. Для этого можно выполнить команду:
zmlocalconfig s | grep ldap
В нашем примере будет выведена следующая информация:



Для дальнейшего использования понадобятся ldap_url, zimbra_ldap_password (и zimbra_ldap_userdn, хотя инсталлятор Zextras Docs обычно выдаёт правильные предположения об имени пользователя LDAP).

4) Завершить работу под пользователем zimbra, выполнив команду
logout

5. Подготовка сервера Docs к инсталляции
5.1. Загрузка закрытого ключа SSH на сервер Zimbra и вход на сервер Docs
Необходимо поместить на сервер Zimbra закрытый ключ пары SSH ключей, публичный ключ которой был использован на шаге 2.2.2 п.2.2 при создании виртуальной машины Docs. Его можно загрузить на сервер по SSH (например, по sftp) или вставить через буфер обмена (если позволяют возможности используемого SSH-клиента и среды его выполнения).
Считаем, что закрытый ключ помещён в файл ~/.ssh/docs.key и пользователь, используемый для входа на сервер Zimbra является его владельцем (если загрузка/создание этого файла осуществлялись из-под этого пользователя он автоматически стал его владельцем).
Необходимо однократно выполнить команду:
chmod 600 ~/.ssh/docs.key
В дальнейшем для входа на сервер Docs необходимо выполнять следующую последовательность действий:
1) Зайти на сервер Zimbra

2) Выполнить команду
ssh -i ~/.ssh/docs.key user@<внутренний ip-адрес сервера Docs>
Где значение <внутренний ip-адрес сервера Docs> можно узнать в Консоли Яндекс.Облако, например, как это показано в п.2.3.

5.2. Установка обновлений
После входа на сервер Docs выполнить команды аналогично таковым для сервера Zimbra:
sudo apt update
sudo apt upgrade
(при выполнении последней команды ответить y на вопрос о том, уверены ли вы в установке предлагаемого списка обновлений)
После установки обновлений можно (но не обязательно) выполнить команду:
sudo apt autoremove
И в завершении шага выполнить команду
sudo shutdown r now

5.3. Доустановка приложений
Необходимо установить NTP-клиент для синхронизации системного времени и приложение screen, аналогично такому же действию для сервера Zimbra, следующей командой:
sudo apt install ntp screen
(при выполнении последней команды ответить y на вопрос о том, уверены ли вы в установке прилагаемого списка пакетов)
Также можно установить дополнительные утилиты для удобства администратора. Например, Midnight Commander может быть установлен командой:
sudo apt install mc

5.4. Изменение системной конфигурации
5.4.1. В файле /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg так же, как и для сервера Zimbra, изменить значение параметра manage_etc_hosts c true на false.
Примечание: редактор для изменения этого файла надо запускать с правами пользователя root, например, sudo vi /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg или, если установлен пакет mc, можно использовать команду sudo mcedit /etc/cloud/cloud.cfg.d/95-yandex-cloud.cfg

5.4.2. Отредактировать /etc/hosts, добавив в него публичный FQDN сервера Zimbra, но с внутренним IP-адресом, назначенным Яндекс.Облако. При наличии управляемого администратором внутреннего DNS-сервера, используемого виртуальными машинами (например, в продуктивной среде), и способного разрешать публичный FQDN сервера Zimbra внутренним IP-адресом при получении запроса из внутренней сети (для запросов из Интернет FQDN сервера Zimbra должно разрешаться публичным IP-адресом, а сервер TURN должен разрешаться публичным IP-адресом всегда, в т.ч. при обращении с внутренних адресов), эта операция не требуется.
Например, в нашем случае файл hosts имел вид:



После редактирования он принял вид:



Примечание: редактор для изменения этого файла надо запускать с правами пользователя root, например, sudo vi /etc/hosts или, если установлен пакет mc, можно использовать команду sudo mcedit /etc/hosts

6. Инсталляция Zextras Docs

6.1. Зайти на сервер Docs
Порядок входа на сервер Docs описан в п.5.1.

6.2. Скачивание дистрибутива Zextras Docs
Последовательность действий:
1) Со страницы, с которой в п. 4.1.2. Скачивание дистрибутива Zextras Suite скачивался дистрибутив Zextras Suite (на шаге 3), скопировать URL для сборки Docs для Ubuntu 18.04 LTS (если он не был скопирован ранее).

2) Скачать дистрибутив Zextras Suite на сервер Zimbra и распаковать его
Для этого в ssh-сеансе на сервере zimbra выполнить команды
cd ~
mkdir zimbra
cd zimbra
wget <URL со страницы скачивания>
(в нашем случае выполняется команда wget download.zextras.com/zextras-docs-installer/latest/zextras-docs-ubuntu18.tgz)
tar zxf <имя скачанного файла>
(в нашем случае выполняется команда tar zxf zextras-docs-ubuntu18.tgz)

6.3. Инсталляция Zextras Docs
Подробнее о установке и настройке Zextras Docs см. docs.zextras.com/zextras-suite-documentation/latest/docs.html
Последовательность действий:
1) Перейти в директорию, в которую распаковались файлы на шаге 4.1.1 (можно просмотреть командой ls, находясь в директории ~/zimbra).
В нашем примере это будет:
cd ~/zimbra/zextras-docs-installer

2) Запустить инсталляцию Zextras Docs командой
sudo ./install.sh

3) Отвечаем на вопросы инсталлятора
На вопросы инсталлятора можно отвечать y (сответствует да), n (соответствует нет) или оставить предложение инсталлятора без изменений (он предлагает варианты, отображая их в квадратных скобках, например, [Y] или [N]).
System will be modified, would you like to proceed? принимаем вариант по умолчанию (да).
После этого начнётся установка зависимостей: инсталлятор будет показывать, какие пакеты он хочет установить и спрашивать подтверждение на их установку. Во всех случаях соглашаемся с предложениями по умолчанию.
Например, он может спрашивать python2.7 not found. Would you like to install it?, python-ldap not found. Would you like to install it? и т.п.
После установки всех необходимых пакетов инсталлятор запрашивает согласие на установку Zextras Docs:
Would you like to install Zextras DOCS? принимаем вариант по умолчанию (да).
После чего некоторое время идёт установка пакетов, собственно, Zextras Docs и переход к вопросам конфигуратора.

4) Отвечаем на вопросы конфигуратора
Конфигуратор по очереди запрашивает конфигурационные параметры, в ответ в вводятся значения, полученные на шаге 3 в п.4.4. Первичный тюнинг настройки и определение параметров конфигурации LDAP.
В нашем примере настройки имеют вид:



5) Завершение инсталляции Zextras Docs
После ответа на вопросы конфигуратора инсталлятор завершает локальную конфигурацию Docs и регистрирует установленный сервис на основном сервере Zimbra, установленном ранее.
Для single-server инсталляции как правило этого достаточно, но в некоторых случаях (если документы не будут открываться в Docs в вебклиенте на вкладке Drive) может понадобится выполнение действия, обязательного для мультисерверной установки в нашем примере на основном сервере Zimbra потребуется выполнение из-под пользователя Zimbra команд /opt/zimbra/libexec/zmproxyconfgen и zmproxyctl restart.

7. Первичная настройка Zimbra и Zextras Suite (кроме Team)
7.1. Первичный вход в консоль администратора
Войти в браузере по URL: https://<FQDN_сервера_Zimbra>:7071
При желании, можно войти в веб-клиент по URL: https://<FQDN_сервера_Zimbra>
При входе браузеры показывают предупреждение о небезопасном подключении в связи с невозможностью проверить сертификат. Необходимо ответить браузеру о согласии перейти на сайт несмотря данное предупреждение. Это связано с тем, что после установки используется самоподписанный X.509 сертификат для TLS-соединений, который впоследствии можно (в продуктивном использовании нужно) заменить на коммерческий сертификат или иной сертификат, признаваемый используемыми браузерами.
В форме для аутентификации ввести имя пользователя в формате admin@<ваш обслуживаемый почтовый домен> и пароль администратора Zimbra, заданный при установке сервера Zimbra на шаге 4.3 в п.4.2.
В нашем примере это выглядит следующим образом:

Консоль администратора:



Веб-клиент:



Примечание 1. Если не указать обслуживаемый почтовый домен при входе в консоль администратора или в веб-клиент, пользователи будут аутентифицироваться в почтовом домене, созданном при инсталляции сервера Zimbra. После инсталляции это единственный существующий на этом сервере обслуживаемый почтовый домен, но при эксплуатации системы могут быть добавлены дополнительные почтовые домены, и тогда явное указание домена в имени пользователя будет иметь значение.

Примечание 2. При входе в веб-клиент браузер может запрашивать разрешение на отображение уведомлений с сайта. Необходимо дать согласие на получение уведомлений с этого сайта.

Примечание 3. После входа в консоль администратора может быть выведено уведомление о наличии сообщений администратору, как правило, являющихся напоминанием о необходимости настроить Zextras Backup и/или о необходимости приобрести лицензию Zextras до окончания срока действия триальной лицензии, установленной по умолчанию. Эти действия можно произвести позднее, а потому имеющиеся на момент входа сообщения можно игнорировать и/или отметить их как прочитанные в меню Zextras: Оповещение Zextras.



Примечание 4. Особо необходимо отметить, что в мониторе состояния сервера статус службы Docs отображается как не доступна даже если Docs в веб клиенте работает корректно:



Это особенность триальной версии и может быть устранена только после приобретения лицензии и обращения в службу поддержки.

7.2. Развёртывание компонентов Zextras Suite
В меню Zextras: Core необходимо нажать на кнопку Развернуть для всех зимлетов, которые предполагается использовать.



При развёртывании зимлетов выводится диалог с результатом операции следующего вида:



В нашем примере производится развёртывание всех зимлетов Zextras Suite, после чего форма Zextras: Core примет следующий вид:



7.3. Изменение настроек доступа
7.3.1. Изменение глобальных настроек
В меню Настройка: Глобальные настройки, подменю Прокси-сервер, изменить следующие параметры:
Режим веб-прокси: redirect
Включить прокси-сервер консоли администрирование: поставить чекбокс.
После чего в правой верхней части форму нажать на Сохранить.
В нашем примере после внесённых изменений форма имеет следующий вид:



7.3.2. Изменения настроек сервера основного Zimbra
В меню Настройка: Серверы: <имя основного сервера Zimbra>, подменю Прокси-сервер, изменить следующие параметры:
Режим веб-прокси: нажать на кнопку Сбросить на значение по умолчанию (при этом само значение не изменится, т. к. уже было задано при установке).
Включить прокси-сервер консоли администрирование: проверить, что чекбокс стоит (должно было примениться значение по умолчанию, если не применилось можно нажать кнопку Сбросить на значение по умолчанию и/или поставить вручную).
После чего в правой верхней части формы нажать на Сохранить.
В нашем примере после внесённых изменений форма имеет следующий вид:



Примечание: (может потребоваться перезапуск, если не заработает вход по этому порту)

7.4. Новый вход в консоль администратора
Войти в консоль администратора в браузере по URL: https://<FQDN_сервера_Zimbra>:9071
В дальнейшем использовать для входа этот URL
Примечание: для single-server инсталляции как правило достаточно изменения, проделанного на предыдущем шаге, но в некоторых случаях (если при входе по указанному URL не отображается страница сервера) может понадобится выполнение действия, обязательного для мультисерверной установки в нашем примере на основном сервере Zimbra потребуется выполнение из-под пользователя Zimbra команд /opt/zimbra/libexec/zmproxyconfgen и zmproxyctl restart.

7.5. Редактирование COS по умолчанию
В меню Настройка: Класс обслуживания выбрать COS с именем default.
В подменю Возможности снять чекбокс для функции Портфель, после чего в правой верхней части формы нажать на Сохранить.
В нашем примере после настройки форма имеет следующий вид:



Также рекомендуется в подменю Drive поставить чекбокс для настройки Включить общий доступ к файлам и папкам, после чего в правой верхней части формы нажать на Сохранить.
В нашем примере после настройки форма имеет следующий вид:



В тестовой среде в этом же классе обслуживания можно включить функции Team Pro, для чего в подменю Team включить чекбокс с одноимённым названием, после чего форма настройки примет следующий вид:



При отключенных функциях Team Pro пользователям будут доступны только функции Team Basic.
Обращаем ваше внимание на то, что Zextras Team Pro лицензируется независимо от Zextras Suite, что позволяет приобрести его на меньшее количество почтовых ящиков, чем собственно Zextras Suite; функции Team Basic включены в лицензию Zextras Suite. Поэтому при использовании в продуктивной среде может потребоваться создание отдельного класса обслуживания для пользователей Team Pro, в котором будут включены соответствующие функции.

7.6. Настройка файрвола
Необходимо для основного сервера Zimbra:
а) Разрешить доступ из Интернета к портам ssh, http/https, imap/imaps, pop3/pop3s, smtp (основной порт и дополнительные порты для использования почтовыми клиентами) и порт консоли администрирования.

б) Разрешить все подключения из внутренней сети (для которой на шаге 1.3 в п.1 был включен NAT в Интернет).

Для сервера Zextras Docs настраивать файрвол не требуется, т.к. к нему отсутствует доступ из Интернета.
Для этого необходимо выполнить следующую последовательность действий:
1) Зайти в текстовую консоль основного сервера Zimbra. При входе по SSH необходимо выполнить команду screen во избежание прерывания выполнения команд при временной потери связи с сервером из-за изменения настроек файрвола.

2) Выполнить команды
sudo ufw allow 22,25,80,110,143,443,465,587,993,995,9071/tcp
sudo ufw allow from <адрес_вашей_сети>/<длина CIDR маски>
sudo ufw enable

В нашем примере это выглядит следующим образом:



7.7. Проверка доступа к веб-клиенту и консоли администратора
Для контроля работоспособности файрвола можно зайти в браузере по следующим URL
Консоль администратора: https://<FQDN_сервера_Zimbra>:9071
Веб-клиент: http://<FQDN_сервера_Zimbra> (произойдёт автоматический редирект на https://<FQDN_сервера_Zimbra>)
При этом по альтернативному URL https://<FQDN_сервера_Zimbra>:7071 консоль администратора не должна открываться.
Веб-клиент в нашем примере выглядит следующим образом:



Примечание. При входе в веб-клиент браузер может запрашивать разрешение на отображение уведомлений с сайта. Необходимо дать согласие на получение уведомлений с этого сайта.

8. Обеспечение работы аудио- и видеоконференций в Zextras Team
8.1. Общие сведения
Выполнение описанных далее действие не требуется, если все клиенты Zextras Team взаимодействуют друг с другом без использования NAT (при этом взаимодействия с самим сервером Zimbra может осуществляться с использованием NAT, т.е. важно отсутствие NAT именно между клиентами), или если используется только текстовый мессенджер.
Для обеспечения взаимодействия клиентов в режиме аудио- и видеоконференцсвязи:
а) Необходимо установить либо использовать существующий сервер TURN.

б) Т.к. сервер TURN как правило имеет также и функциональность сервера STUN, рекомендуется использовать его и в этом качестве тоже (в качестве альтернативы можно использовать публичные серверы STUN, но одной лишь функциональности STUN как правило недостаточно).

В продуктивной среде из-за потенциально высокой нагрузки рекомендуется выносить сервер TURN на отдельную виртуальную машину. Для тестирования и/или небольшой нагрузки сервер TURN может быть совмещен с основным сервером Zimbra.
В нашем примере рассматривается установка сервера TURN на основной сервер Zimbra. Установка TURN на отдельный сервер аналогична с той разницей, что шаги, относящиеся у установке и конфигурированию программного обеспечения TURN выполняются на сервере TURN, а шаги по настройке сервера Zimbra на использование этого сервера выполняются на основном сервере Zimbra.

8.2. Установка TURN-сервера
Предварительно зайдя по SSH на основной сервер Zimbra выполнить команду
sudo apt install resiprocate-turn-server

8.3. Настройка TURN сервера
Примечание. Редактор для изменения всех указанных далее конфигурационных файлов надо запускать с правами пользователя root, например, sudo vi /etc/reTurn/reTurnServer.config или, если установлен пакет mc, можно использовать команду sudo mcedit /etc/reTurn/reTurnServer.config

Упрощённое создание пользователя
Для упрощения создания и отладки тестового подключения к TURN серверу мы отключим использование хешированных паролей в базе пользователей TURN сервера. В продуктивной среде рекомендуется использовать хэшированные пароли; в этом случае генерацию хешей паролей для них необходимо выполнять в соответствии с инструкциями, содержащимися в файлах /etc/reTurn/reTurnServer.config и /etc/reTurn/users.txt.

Последовательность действий:
1) Отредактировать файл /etc/reTurn/reTurnServer.config
Изменить значение параметра UserDatabaseHashedPasswords с true на false.

2) Отредактировать файл /etc/reTurn/users.txt
Задать в нём имя пользователя, пароль, realm (произвольный, не используется при настройке подключения Zimbra) и установить учётной записи статус AUTHORIZED.
В нашем примере файл изначально имел вид:



После редактирования принял вид:



3) Применение конфигурации
Выполнить команду
sudo systemctl restart resiprocate-turn-server

8.4. Настройка файрвола для сервера TURN
На данном этапе устанавливаются дополнительные правила файрвола, необходимые для работы сервера TURN. Необходимо разрешить доступ к основному порту, на котором сервер принимает запросы, и к динамическому диапазону портов, используемых сервером для организации медиапотоков.
Порты указаны в файле /etc/reTurn/reTurnServer.config, в нашем случае это:



и



Для установки правил файрвола необходимо выполнить команды
sudo ufw allow 3478,49152:65535/udp
sudo ufw allow 3478,49152:65535/tcp

8.5. Настройка использования сервера TURN в Zimbra
Для настройки используется FQDN сервера сервер TURN, созданное на шаге 1.2 п.1, и которое должно DNS-серверами разрешаться одним и тем же публичным IP-адресом как для запросов из Интернет, так и для запросов с внутренних адресов.
Просмотреть текущую настройку подключения zxsuite team iceServer get, выполняемой из-под пользователя zimbra.
Подробнее о настройке использования сервера TURN см. раздел Установка Zextras Team для использования TURN сервера в документации.

Для настройки необходимо выполнить следующие команды на сервере Zimbra:

sudo su zimbra
zxsuite team iceServer add stun:<FQDN вашего сервера TURN>:3478?transport=udp
zxsuite team iceServer add turn:<FQDN вашего сервера TURN>:3478?transport=udp credential <пароль> username <имя пользователя>
zxsuite team iceServer add stun:<FQDN вашего сервера TURN>:3478?transport=tcp
zxsuite team iceServer add turn:<FQDN вашего сервера TURN>:3478?transport=tcp credential <пароль> username <имя пользователя>
zxsuite team iceServer add stun:<FQDN вашего сервера TURN>:3478
logout

В качестве <имя пользователя> и <пароль> используются значения имени пользователя и пароля соответственно, заданные на шаге 2 в п.8.3.

В нашем примере это выглядит следующим образом:



9. Разрешение прохождения почты по протоколу SMTP
В соответствии с документацией, в Яндекс.Облаке всегда блокируется исходящий трафик на TCP-порт 25 в Интернет и на виртуальные машины Yandex Compute Cloud, при обращении через публичный IP-адрес. Это не помешает проверить приём почты на обслуживаемый почтовый домен, отправленной с иного почтового сервера, но помешает отправить почту за пределы сервера Zimbra.

В документации указано, что Яндекс.Облако может открыть TCP-порт 25 по запросу в поддержку, если вы соблюдаете Правила допустимого использования, и оставляет за собой право снова заблокировать порт в случае нарушения правил. Для открытия порта необходимо связаться со службой поддержкой Яндекс.Облака.

Приложение

Создание ключей SSH в openssh и putty и конвертация ключей из формата putty в openssh

1. Создание ключевых пар для SSH

В Windows с использованием putty: запустить команду puttygen.exe и нажать кнопку Generate

В Linux: выполнить команду
ssh-keygen

2. Конвертация ключей из формата putty в openssh

В Windows:
Последовательность действий:
1) Запустить программу puttygen.exe.
2) Загрузить закрытый ключ в формате ppk, для чего воспользоваться пунктом меню File Load private key.
3) Ввести код (passphrase), если он требуется для данного ключа.
4) Публичный ключ формате OpenSSH отображается в puttygen с надписью Public key for pasting into OpenSSH authorized_keys file field
5) Для экспорта закрытого ключа в формат OpenSSH выбрать в главном меню Conversions Export OpenSSH key
6) Сохранить закрытый ключ в новый файл.

В Linux
1. Установить пакет инструментов PuTTY:
в Ubuntu: sudo apt-get install putty-tools
в Debian-подобных дистрибутивах: apt-get install putty-tools
в RPM-based дистрибутивах на основе yum (CentOS и др.): yum install putty

2. Для конвертации закрытого ключа выполнить команду:
puttygen <key.ppk> -O private-openssh -o <key_openssh>

3. Для генерации открытого ключа (если необходимо):
puttygen <key.ppk> -O public-openssh -o <key_openssh.pub>

Результат

После установки в соответствии с рекомендациями, пользователь получает настроенный в инфраструктуре Яндекс.Облако почтовый сервер Zimbra с расширением Zextras для корпоративных коммуникаций и совместной работы с документами. Настройки сделаны с определенными ограничениями для тестовой среды, но перевести инсталляцию в продуктивный режим и добавить опции использования объектного хранилища Яндекс.Облако и другие не сложно. С вопросами по развертыванию и использованию решения обращайтесь к партнеру Zextras SVZ или представителям Яндекс.Облако.

По всем вопросам, связанными c Zextras Suite вы можете обратиться к Представителю компании Zextras Екатерине Триандафилиди по электронной почте katerina@zextras.com

Ранее в нашем блоге мы рассказывали об on-premise решениях Zextras Team Pro и Zextras Drive, позволяющих создать корпоративное хранилище файлов, а также корпоративный групповой чат и систему для видеоконференций с большим количеством участников на базе Zimbra Open-Source Edition. Оба этих решения, помимо веб-клиента, можно использовать и в разработанных компанией Zextras мобильных приложениях Team и Drive, доступных для Android и iOS. В данной статье мы подробно разберем интерфейс и функциональность мобильного приложения Zextras Team.



Экран входа

Экран входа у обоих приложений полностью идентичен. Осуществить вход в мобильные приложения можно двумя способами. Первый ввести имя учетной записи, пароль, а также адрес сервера для входа, второй войти с помощью специального QR-кода, который можно сгенерировать в веб-клиенте Zimbra OSE.



Вход по QR-коду более безопасен, так как позволяет не сохранять на устройстве логин и пароль пользователя. Благодаря этому в случае утери устройства или даже его целенаправленного хищения, злоумышленники не смогут извлечь из него аутентификационные данные и скомпрометировать учетную запись пользователя.



Чтобы сгенерировать QR-код для входа в мобильное приложение, необходимо обновить Zextras Suite до версии не ниже 3.1.8 и развернуть расширение Zextras Auth. Делается это в командной строке при помощи следующих команд:

sudo su zimbra
zxsuite auth doDeployAuthZimlet
zmprov fc zimlet

Обращаем ваше внимание на то, что для корректной работы Zextras Auth и генерации QR-кодов требуется, чтобы в Zimbra были настроены параметры zimbraPublicServiceHostname, zimbraPublicServicePort и zimbraPublicServiceProtocol. В нашем случае эти настройки будут выглядеть следующим образом:

zmprov mcf zimbraPublicServiceHostnameexample.ru
zmprov mcf zimbraPublicServiceProtocol https
zmprov mcf zimbraPublicServicePort 443

После этого в списке зимлетов в веб-клиенте Zimbra OSE появится Zextras Auth. Нажатие на него открывает окно, на котором отображаются пароли учетной записи. Изначально в списке нет паролей, для добавления нового пароля следует нажать на кнопку Новый Пароль. В открывшемся окне можно указать название приложения, в котором будет использоваться пароль, а также его тип: текст или QR-код.



Текстовые пароли используются для подключения приложений, работающих по протоколу Exchange ActiveSync. Возможность создания отдельного пароля для EAS присутствовала и раньше в расширении Zextras Mobile, теперь же эта функциональность полностью перенесена в Zextras Auth. Преимуществом Zextras Auth является то, что данное расширение позволяет пользователю создавать сразу несколько паролей для нескольких приложений без участия администратора.



QR-коды в настоящее время могут использоваться только для подключения мобильных приложений Zextras Drive и Zextras Team. Сгенерированный QR-код сгорает после первого же входа и не может использоваться для повторного входа.

Для того, чтобы войти по QR-коду, достаточно в мобильном приложении Team или Drive нажать на кнопку SCAN QR CODE и навести камеру на экран монитора с QR-кодом.

Мобильное приложение Zextras Team

Мобильные приложения Team для iOS и Android отличаются внешне, но при этом имеют абсолютно схожую функциональность. Они позволяют пользователям Zextras Team Pro общаться друг с другом в приватных и групповых чатах, Переговорных и Каналах, а также Различия в интерфейсе обусловлены требованиями по разработке приложений для мобильных операционных систем. Пользователи Zextras Team Basic также могут использовать приложение Zextras Team, однако доступны им будут только создание и участие в приватных чатах, а также участие в мгновенных совещаниях по приглашению пользователей Zextras Team Pro.

Team Basic входит в состав лицензий Zextras Suite Basic, Zextras Suite Mobile и Zextras Suite Pro. Лицензия Team Pro для добавления групповых чатов, Переговорных, Каналов и Мгновенных совещаний приобретается отдельно и доступна только при наличии лицензииZextras Suite Pro.



Так выглядит приложение Team для пользователей Team Basic

Администратор сервера Zimbra OSE, используя консоль администратора, может ограничивать те или иные функции пользователю Zextras Team Pro. В частности, он может:

• Включить или выключить функции Team Pro
• Включить или выключить доступ к истории чатов
• Включить или выключить возможность пользоватьсявидеозвонками
• Установить режим работы автозаполнения при поиске в Zextras Team
• Установить время (в минутах), в течение которого пользователь может удалить свое сообщение
• Включить и выключить возможность отвечать на сообщения
• Включить или выключить возможность пересылки сообщений
• Установить время (в минутах), в течение которого пользователь может редактировать свое сообщение

iOS

Интерфейс приложения Zextras Team на iOS состоит из четырех разделов: Чат, Переговорная, Мгновенные совещания и Настройки.

В разделе Чат отображаются все приватные и групповые чаты, в которых участвует пользователь. В правом верхнем углу окна раздела Чат находится кнопкаСоздать, при нажатии на которую можно создать новые приватный или групповой чаты.



Сами чаты упорядочены в виде списка по времени последнего сообщения. В списке отображается последняя реплика чата. При нажатии на чат в списке, он разворачивается на полный экран. Окно чата идентично для приватных и групповых чатов. Здесь можно просмотретьисторию чата, написать новую реплику, а нажав на значок камеры в правом верхнем углу можно начать видеовстречу с собеседником или, если вы находитесь в групповом чате, собеседниками.

Долгое нажатие на реплику в чате открывает контекстное меню, в котором доступны следующие опции:

• Редактировать сообщение (По умолчанию доступно в течение 10 минут после отправки)
• Удалить сообщение (По умолчанию доступно в течение 10 минут после отправки)
• Ответить
• Переслать
• Копировать текст сообщения
• Информация

Нажатие на значок скрепки позволяет прикрепить к сообщению файл или фотографию. Пользователю доступны 4 опции:

• Сделать фото или видео с помощью камеры смартфона
• Выбрать файл из галереи устройства
• Поделиться документом из iCloud Drive
• Поделиться документом из Zextras Drive

Поддерживаемые форматы файлов будут отображаться в виде предпросмотра их содержимого.



В разделе Переговорная отображаются все Переговорные и Каналы, в которых участвует пользователь. При нажатии на Переговорную или Канал из списка открывается окно чата, которое дублирует функциональность окна чата во вкладке Чат, за исключением возможности отправки файлов.



При нажатии на название Переговорной или канала в верхней части окна открывается информация о нем. Администраторы Переговорной или Канала могут управлять списком его участников, а также изменять их тему, название и иконку.



В разделе Мгновенные совещания содержимое появляется только после того как пользователь присоединяется к одному или более мгновенных совещаний. В этом разделе доступен просмотр чата, который идет во время Мгновенного совещания. После завершения совещания чат из этого раздела исчезает. В окне чата можно писать сообщения и прикреплять файлы.





В разделе Настройки доступны следующие разделы:

• Настройка профиля Позволяет установить собственную аватарку и изменить статус. Также позволяет просмотреть свое имя и открытые администратором возможности
• Свяжитесь с нами Открывает форму обратной связи для отправки сообщения разработчикам приложения
• О нас Открывает соглашение конечного пользователя
• Лицензии Открывает список лицензий программных продуктов, использовавшихся при создании приложения
• Тема Позволяет переключаться между светлой и темной темой
• Встреча Открывает настройки видеовызова, где можно задать настройки, которые будут применяться автоматически в момент начала видеозвонка
• Выход Выход из учетной записи
• Версия Отображает текущую версию приложения.

Android

В нижней части приложения для Android находятся всего три раздела: Чаты, Переговорные и Мгновенные совещания. Переключаться между ними можно с помощью свайпов влево и вправо. Раздел Настройки доступен при нажатии кнопки Меню в левом верхнем углу окна приложения.



Окно раздела Чаты также представляет из себя список приватных и групповых чатов, выстроенных по времени отправки последнего сообщения. При нажатии на чат, он разворачивается на полный экран.Окно чата идентично для приватных и групповых чатов. Здесь можно просмотретьисторию чата, написать новую реплику, а нажав на значок камеры в правом верхнем углу можно начать видеовстречу с участниками беседы. Нажатие на значок или название чата позволяет просмотреть информацию о собеседниках и просмотреть список файлов, которые были отправлены в рамках данного чата.



Нажатие на значок скрепки позволяет отправить в чат файл или фотографию. Доступны 4 варианта:

• Сделать фото или видео с помощью камеры смартфона
• Выбрать файл из галереи устройства
• Выбрать документ на файловом хранилище устройства
• Поделиться документом из Zextras Drive

Поддерживаемые форматы файлов будут отображаться в виде предпросмотра их содержимого.



В разделе Переговорная отображаются все Переговорные и Каналы, в которых участвует пользователь. В окне этого раздела доступен только список Переговорных и Каналов. Создавать новые прямо в мобильном приложении нельзя. При нажатии на Переговорную или Канал из списка открывается окно чата, которое дублирует функциональность окна чата во вкладке Чат, за исключением возможности отправки файлов.



В разделе Мгновенные совещания содержимое появляется только после того как пользователь присоединяется к одному или более мгновенных совещаний. В этом разделе доступен просмотр чата, который идет во время Мгновенного совещания. После завершения совещания чат из этого раздела исчезает. В окне чата можно писать сообщения и прикреплять файлы.



Боковое меню с настройками включает в себя следующие разделы:

• Настройка профиля Позволяет установить собственную аватарку и изменить статус. Также позволяет просмотреть версию приложения, свое имя и открытые администратором возможности
• Звуки и уведомления Позволяет настроить степень важности и звук различных уведомлений. Например, новое сообщение в приватном чате может сопровождаться звуком всплывающим баннером, а уведомления для новых сообщений в групповом чате можно полностью отключить.
• Настройки темы Позволяет переключаться между светлой и темной темой, а также включать специальную тему, позволяющую сберечь заряд батареи.
• Настройки встречи Открывает настройки видеовызова, где можно задать настройки, которые будут применяться автоматически в момент начала видеозвонка
• Свяжитесь с нами -Открывает форму обратной связи для отправки сообщения разработчикам приложения
• Лицензии -Открываетсоглашение конечного пользователя
• Сторонние лицензии Открывает список лицензий программных продуктов, использовавшихся при создании приложения
• Выход Выход из учетной записи.

На сегодняшний день мобильное приложение Zextras Team практически полностью дублирует функциональность Zextras Team Pro в веб-клиенте и позволяет полноценно общаться с коллегами с помощью любого мобильного устройства. Создание новых каналов и переговорных, а также создание новых Мгновенных совещаний доступно пользователям Zextras Team Pro в веб-клиенте Zimbra OSE.

По всем вопросам, связанными c Zextras Suite Pro и Team Pro вы можете обратиться к Представителю компании Zextras Technology Екатерине Триандафилиди по электронной почте ekaterina.triandafilidi@zextras.com

Ранее в нашем блоге мы рассказывали об on-premise решениях Zextras Team Pro и Zextras Drive, позволяющих создать корпоративное хранилище файлов, а также корпоративный групповой чат и систему для видеоконференций с большим количеством участников на базе Zimbra Open-Source Edition. Оба этих решения, помимо веб-клиента, можно использовать и в разработанных компанией Zextras мобильных приложениях Team и Drive, доступных для Android и iOS. Ранее мы публиковали обзор приложения Team, а в данной статье мы подробно разберем интерфейс и функциональность мобильного приложения Zextras Drive для iOS и Android.

Экран входа

Экран входа у обоих приложений полностью идентичен. Осуществить вход в мобильные приложения можно двумя способами. Первый ввести имя учетной записи, пароль, а также адрес сервера для входа, второй войти с помощью специального QR-кода, который можно сгенерировать в веб-клиенте Zimbra OSE.



Вход по QR-коду более безопасен, так как позволяет не сохранять на устройстве логин и пароль пользователя. Благодаря этому в случае утери устройства или даже его целенаправленного хищения, злоумышленники не смогут извлечь из него аутентификационные данные и скомпрометировать учетную запись пользователя.



Чтобы сгенерировать QR-код для входа в мобильное приложение, необходимо обновить Zextras Suite до версии не ниже 3.1.8 и развернуть расширение Zextras Auth. Делается это в командной строке при помощи следующих команд:

sudo su - zimbrazxsuite auth doDeployAuthZimletzmprov fc zimlet

Обращаем ваше внимание на то, что для корректной работы Zextras Auth и генерации QR-кодов требуется, чтобы в Zimbra были настроены параметры zimbraPublicServiceHostname, zimbraPublicServicePort и zimbraPublicServiceProtocol. В нашем случае эти настройки будут выглядеть следующим образом:

zmprov mcf zimbraPublicServiceHostnameexample.ruzmprov mcf zimbraPublicServiceProtocol httpszmprov mcf zimbraPublicServicePort 443

После этого в списке зимлетов в веб-клиенте Zimbra OSE появится Zextras Auth. Нажатие на него открывает окно, на котором отображаются пароли учетной записи. Изначально в списке нет паролей, для добавления нового пароля следует нажать на кнопку Новый Пароль. В открывшемся окне можно указать название приложения, в котором будет использоваться пароль, а также его тип: текст или QR-код.



Текстовые пароли используются для подключения приложений, работающих по протоколу Exchange ActiveSync. Возможность создания отдельного пароля для EAS присутствовала и раньше в расширении Zextras Mobile, теперь же эта функциональность полностью перенесена в Zextras Auth. Преимуществом Zextras Auth является то, что данное расширение позволяет пользователю создавать сразу несколько паролей для нескольких приложений без участия администратора.



QR-коды в настоящее время могут использоваться только для подключения мобильных приложений Zextras Drive и Zextras Team. Сгенерированный QR-код сгорает после первого же входа и не может использоваться для повторного входа.

Для того, чтобы войти по QR-коду, достаточно в мобильном приложении Team или Drive нажать на кнопку SCAN QR CODE и навести камеру на экран монитора с QR-кодом.

Мобильное приложение Zextras Drive

Мобильные приложения Drive для iOS и Android отличаются внешне, но при этом имеют абсолютно схожую функциональность. Они позволяют скачивать и загружать файлы в хранилище Zextras Drive и предоставлять доступ к ним другим пользователям. Также мобильные приложения Drive для iOS и Android позволяют управлять данными создавать папки, копировать, перемещать, переименовывать и удалять файлы в хранилище.

Администратор сервера Zimbra OSE, используя консоль администратора, может ограничивать те или иные функции пользователю Zextras Drive. В частности, он может:

• Включить или выключить возможность для пользователя предоставлять доступ к своим файлам
• Ограничить максимальный размер загружаемого файла
• Ограничить время хранения версий файла
• Ограничить число сохраняемых версий файла

iOS

Интерфейс приложения Zextras Drive на iOS состоит из пяти разделов: Делюсь я, Поделились со мной, Главная, Помечено и Корзина.

• В разделе Делюсь я отображаются все файлы, к которым пользователь Zextras Drive предоставил доступ своим коллегам
• В разделе Поделились со мной отображаются все файлы, к которым коллеги пользователя предоставили доступпользователю Zextras Drive
• В разделе Главная отображаются все файлы, которые находятся в хранилище Drive пользователя
• В разделе Помечено отображаются все файлы, которые были помечены пользователем
• В разделе Корзина отображаются удаленные файлы

Долгое нажатие на файл приводит к появлению контекстного меню, в котором доступны следующие разделы:

• Детали Отображает детали файла, такие как размер, владелец, последнее изменение, описание, публичная ссылка и список сотрудников, имеющих к нему доступ. В этом разделе можно создать публичную ссылку на файл
• Открыть с помощью Позволяет открыть файл с помощью установленного на мобильном устройстве приложения
• Переименовать Позволяет изменитьимя файла
• Перенести Позволяет перенестифайл в указанную папку
• Копировать Позволяет создать копию файла в указанной папке
• Отмечено Позволяет пометить файл, чтобы он попал в раздел Помечено
• Сохранить копию оффлайн Позволяет сохранить файл на устройство или в iCloud Drive
• Добавить сотрудника Позволяет предоставить сотруднику доступ к файлу
• Удалить Позволяет переместить файл в корзину
• Восстановить Позволяет переместить файл из корзины.

В окне каждого из разделов присутствуют строка поиска, позволяющая быстро находить файлы и значок Настройки, нажатие которого приводит к открытию окна с настройками приложения. Они включают в себя:

• Данные об учетной записи
• Данные об использовании диска
• Данные об использовании квоты почтового ящика
• Свяжитесь с нами -Открывает форму обратной связи для отправки сообщения разработчикам приложения
• Лицензия -Открываетсоглашение конечного пользователя
• Сторонние лицензии Открывает список лицензий программных продуктов, использовавшихся при создании приложения
• Файлы Открывает настройки скачивания файлов. Среди них скачивание файлов только по Wi-Fi, сжатие медиафайлов и очистка локального кэша.
• Тема Позволяет переключаться между светлой и темной темой
• Выход Выход из учетной записи
• Версия Отображает текущую версию приложения.

В разделе Главное присутствуютдве дополнительные кнопки. Первая из них, в форме облака, открывает менеджер загрузок, в котором отображаются загруженныефайлы. Вторая кнопка открывает диалог загрузки новых файлов в Drive и управления хранящимися в нем файлами. В открывающемся диалоге присутствуют следующие разделы:

• Редактировать Позволяет выбрать несколько файлов, чтобы переносить одновременно перенести или копировать в другую папку, либо одновременно пометить их или удалить
• Создать папку Позволяет создать новую папку в выбранной локации
• Включить камеру Запускает камеру, а сделанный снимок или видеоролик сохраняет в Drive
• Выбрать из галереи Позволяет загружать фотографии и видеоролики из галереи устройства
• Выбрать из документов -Позволяет загружать фотографии и видеоролики из iCloud Drive
• Сканирование документа Позволяет при помощи камеры создать скан бумажного документа.

Android

Интерфейс приложения Zextras Drive для Android также состоит из пяти разделов: Все файлы, Делюсь я, Поделились со мной, Помечено и Корзина. Строку с разделами можно прокручивать влево и вправо.

• В разделе Все файлы отображаются все файлы, которые находятся в хранилище Drive пользователя.В разделе Делюсь я отображаются все файлы, к которым пользователь Zextras Drive предоставил доступ своим коллегам
• В разделе Поделились со мной отображаются все файлы, к которым коллеги пользователя предоставили доступпользователю Zextras Drive
• В разделе Помечено отображаются все файлы, которые были помечены пользователем
• В разделе Корзина отображаются удаленные файлы

В правом верхнем углу каждого раздела находится кнопка поиска, благодаря которой можно искать файлы в каждом из разделов. Кнопка "+" в нижнем правом углу экрана позволяет создать новую папку, либо загрузить новый файл.



Справа от каждого файла в приложении Zextras Drive есть две кнопки звездочка, при нажатии на которую файл помечается и появляется в разделе Помечено, а также кнопка в виде трех точек, при нажатии на которую появляется контекстное меню, в котором доступны информацияо файле, копирование, перемещение и удаление файла, а также опции по скачиванию файла и предоставлению общего доступа к нему.



Для того, чтобы создать ссылку на файл необходимо зайти в раздел Информация и нажать на поле У кого есть доступ. Откроется диалог создания ссылки на файл, в котором можно будет выбрать тип ссылки публичная или только для сотрудников. Использование публичной ссылки позволяет устанавливать пароль на скачивание файла.



При долгом нажатии на файл появляется возможность выбора нескольких файлов. Значок поиска в верхнем правом углу при этом меняется на кнопку в виде трех точек. Нажатие на нее вызывает контекстное меню, в котором можно перенести, копировать, пометить или удалить выбранные файлы, а также загрузить их на устройство.



В верхнем левом углу окна приложения находится кнопка Параметры, которая вызывает боковое меню с настройками приложения. Здесь также присутствует несколько разделов:

• Данные об учетной записи
• Настройки файлов -Открывает настройки скачивания файлов. Среди них скачивание файлов только по Wi-Fi, сжатие медиафайлов и очистка локального кэша
• Настройки темы -Позволяет переключаться между светлой и темной темой
• Свяжитесь с нами -Открывает форму обратной связи для отправки сообщения разработчикам приложения
• Лицензия -Открываетсоглашение конечного пользователя
• Сторонние лицензии Открывает список лицензий программных продуктов, использовавшихся при создании приложения

По всем вопросам, связанными c Zextras Suite Pro и Team Pro вы можете обратиться к Представителю компании Zextras Technology Екатерине Триандафилиди по электронной почте ekaterina.triandafilidi@zextras.com

Делегирование почтовых ящиков одна из ключевых функций почтовых серверов корпоративного класса. Эта функция позволяет пользователю на время отпуска предоставлять доступ к своему почтовому ящику коллеге, а руководителю дает возможность переложить на секретаря обязанность по чтению почты и ответу на нее. Также эта функция позволяет сотрудникам отдела совместно использовать единый почтовый ящик, на который поступают заявки от клиентов или различные обращения. В Zimbra OSE данная функция реализована не совсем стандартным способом. Возможности делегировать права на весь почтовый ящик сразу здесь не предусмотрено. Вместо этого имеется возможность предоставления доступа к почтовым папкам, а также делегирования отправки писем. Вместе две этих функции полностью повторяют функцию делегирования почтового ящика. Разберемся в том, как пользователь Zimbra OSE может настроить делегирование почтовых папок и отправку писем.



Самый простой и самый распространенный сценарий использования общих почтовых папок в Zimbra OSE является общий почтовый ящик для целого отдела. Возьмем, к примеру, предприятие, которое имеет отдел продаж в количестве трех человек и единый почтовый ящик sales@example.ru, на который поступают заявки и вопросы от клиентов. Задача состоит в том, чтобы обеспечить доступ всех работников отдела к входящим письмам на данном почтовом ящике.

Чтобы это осуществить, необходимо предоставить каждому работнику общий доступ к папке Входящие на почтовом ящике sales@example.ru. Для этого в веб-клиенте необходимо войти под учетной записью sales@example.ru и предоставить права доступа к папке Входящие каждому из работников отдела продаж.



При предоставлении доступа можно выбрать права, которые пользователь будет иметь на данную папку. Доступны 4 варианта:

• Нет Настройка используется для отзыва прав на почтовую папку у пользователя
• Наблюдатель Настройка используется для предоставления прав на просмотр содержимого почтовой папки
• Менеджер Настройка используется для предоставления прав на просмотр, редактирование, удаление и добавление нового содержимого почтовой папки
• Админ Настройка используется для менеджерских прав на содержимое почтовой папки. Пользователь с этим уровнем доступа сможет самостоятельно предоставлять доступ к почтовой папке другим пользователям

Также необходимо ввести электронные адреса сотрудников, которым будет предоставляться общий доступ к почтовой папке Входящие. Разумно будет обычному сотруднику дать доступ только к чтению данных из папки, а руководителю отдела на ее полное администрирование.



После предоставления доступа к почтовой папке, пользователю придет письмо с информацией о почтовой папке, к которой он теперь имеет доступ. Прямо из письма пользователь может примонтировать папку в веб-клиенте Zimbra. В процессе монтирования он может переименовать её и изменить цвет ее иконки, чтобы сделать общую папку более заметной в структуре почтовых папок веб-клиента.

Чтобы сотрудники могли отвечать на письма не указывая своей личной почты, а используя в качестве адреса От: sales@example.ru, необходимо делегировать им права на отправку. Делается это в настройках веб-клиента. Для этого в настройках перейдите в раздел Учетные записи и найдите настройку Делегаты. При нажатии на кнопку Добавить делегата откроется диалог добавления учетной записи с правами на отправку сообщений. Здесь необходимо указать имя учетной записи, которая сможет отправлять письма от имени данной учетной записи, а также вид делегирования, который бывает двух видов

• Отправить как Получатель письма, отправленного сотрудником как sales@example.ru увидит в поле От: только почтовый адрес sales@example.ru
• Отправить от имени Получатель письма, отправленного сотрудником от имени sales@example.ru увидит в поле От: почтовый адрес sales@example.ru и адрес сотрудника, который является реальным отправителем.

Можно предоставлять пользователям оба варианта делегирования отправки писем.



То же самое можно выполнить административно без участия пользователей. С помощью команд необходимо будет предоставить пользователям доступ к папке почтового ящика sales@example.ru, смонтировать эту папку в их веб-клиенте, а также предоставить права на отправку писем от имени данного почтового ящика.

1. Предоставим доступ к почтовой папке: zmmailbox -z -m sales@example.ru mfg '/Inbox' account ivanov@example.ru r
2. Смонтируем папку в веб-клиенте пользователя: zmmailbox -z -m ivanov@example.ru cm '/sales@example.ru' sales@example.ru '/Inbox'
3. Делегируем право отправления писем от имени sales@example.ru: zmprov grr account sales@example.ru usr ivanov@example.ru sendOnBehalfOf
4. Делегируем право отправления писем как sales@example.ru: zmprov grr account sales@example.ru usr ivanov@example.ru sendAs

Проверить, корректно ли настроены права отправки писем можно с помощью команды zmprov ckr account sales@example.ru ivanov@example.ru sendAs. В ее выводе должно значиться ALLOWED



Для назначения расширенных прав на почтовую папку начальнику отдела продаж, следует воспользоваться командой предоставления прав на папку с расширенным набором атрибутов, например zmmailbox -z -m sales@example.ru mfg "/Inbox" account SalesBoss@example.ru rwixda. Добавленные атрибуты означают следующее:

• w права на запись данных в почтовую папку
• i права на создание подпапок в почтовой папке
• x права на принятие приглашений
• d права на удаление данных из почтового ящика
• a права на администрирование почтовой папки

Для отзыва прав на папку используется команда предоставления прав на папку с атрибутом none, например zmmailbox -z -m sales@example.ru mfg '/Inbox' account ivanov@example.ru none. Для отзыва прав на отправку писем используется команда zmprov grr account sales@example.ru usr ivanov@example.ru -sendAs. Проверить, были ли отозваны права отправки писем можно с помощью команды zmprov ckr account sales@example.ru ivanov@example.ru sendAs. В ее выводе должно значиться DENIED.

Также на предприятии может возникнуть необходимость отправки почтовых сообщений от имени списка рассылки. Для того, чтобы добавить пользователю возможность отправки писем от имени списка рассылки введите команду zmprov grr dl DistList@example.ru usr ivanov@example.ru sendAsDistList. Чтобы отозвать права на отправку писем от имени списка рассылки, введите команду zmprov grr dl DistList@example.ru usr ivanov@example.ru -sendAsDistList.

По всем вопросам, связанными c Zextras Suite Pro и Team Pro вы можете обратиться к Представителю компании Zextras Technology Екатерине Триандафилиди по электронной почте ekaterina.triandafilidi@zextras.com

По мнению технических специалистов, Zimbra является надежным и простым в обслуживании почтовым сервером. Усилия разработчиков Zextras все последние годы были сосредоточены на удобстве управления для администраторов, защите данных, новых функциях совместной работы. Но пользователи почтового сервера обращали внимание не только на широкую функциональность, но и на устаревший дизайн веб-клиента. Компания Zextras внимательна к запросам клиентов и всегда руководствовалась их пожеланиями в своих разработках. Разработчики Zextras создали новую тему оформления веб-клиента Zimbra с современным дизайном. Это хороший подарок компании Zextras всему сообществу Zimbra и поэтому будет доступна на версиях почтового сервера, начиная с 8.6 до 9 независимо от того, используете ли вы Zextras Suite или нет. В этой статье мы расскажем о том, как установить новую тему оформления и как включить её для обычных пользователей.



Основным приоритетом при создании новой темы было сохранение пользовательского опыта. Именно поэтому новая тема оформления содержит те же элементы классической темы, но при этом выглядит более лаконично и современно за счет использования иконок вместо надписей и уменьшения границ между элементами интерфейса.





Для того, чтобы скачать новую тему, нужно перейти по ссылке https://www.zextras.com/ru/tema-zextras-interface-zimbra/ и заполнить форму. После этого на указанную вами электронную почту придет письмо с ссылками на скачивание новой темы. Если же вы являетесь клиентом Zextras, то тема будет добавлена автоматически после обновления Zextras Suite до версии 3.1.5





После установки тема станет доступной в настройках пользователей. Системный администратор может установить новую тему от Zextras в консоли администратора Zimbra для пользователей и классов обслуживания. Вы всегда можете вернуться к классическому интерфейсу Zimbra.

Надеемся, что вам и вашим пользователям понравится новая тема оформления от Zextras!

По всем вопросам, связанными c Zextras Suite вы можете обратиться к Представителю компании Zextras Екатерине Триандафилиди по электронной почте ekaterina.triandafilidi@zextras.com