Яндекс почта + AD

/

Решил попробовать Яндекс почту с привязкой к active directory. Вот как это было.x

Содержание

Подготовка AD-пользователей

Для начала стоит сказать, что синхронизация работает только в случае, если в атрибутах пользователя заполнены атрибуты, которые отмечены звёздочкой:

Атрибут учетной записи Active DirectoryПоле аккаунта в Яндекс.Коннекте
gn (givenName)*Имя
sn (surname)*Фамилия
titleДолжность
sAMAccountName*Логин
mail*Почта

Почта формируется по такой формуле: логин от доменной учётки (sAMAccountName)@domain.ru

Отдельное внимание хочу уделить атрибуту mail. Это должна быть почта пользователя к которой у него есть доступ, скорее всего, это будет личная. После синхронизации AD с Я.Почтой, на неё приходит оповещение о создание электронного ящика и временный пароль, который при первом входе меняется. Это не всегда удобно, поэтому можно иметь под рукой какой-то ящик для этих целей, чтобы оповещения приходили нам и дальше либо передать их пользователю, либо настроить почтовые программы и etc…

Пример оповещения:

Если пользователь блокируется в AD, то внутри Яндекс.360 он тоже заблокируется.

Получаем доступ

Для начала надо заполнить форму.

Спустя минут 10-15 мне пришло письмо с инструкциями и ссылкой на Яндекс.Диск

То, что мы получаем внутри диска:

Установка

Устанавливаем на сервер рекомендуемый JRE.

После установки запускаем инсталлятор с Я.Диска, в зависимости от разрядности сервера.

При установке обязательно регистрируем ключи в реестр.

После удачной установки заходим в интерфейс программы.

Есть ярлыка не появилось, то можно через ALT+R и в тело

1“C:\Program Files\Eclipse Adoptium\<span style=”color: #ff0000;”>jre-11.0.13.8-hotspot</span>\bin\javaw.exe” -cp “C:\Program Files\Yandex\ADConnector\control\lib\bytecode\3rdparty\*;C:\Program Files\Yandex\ADConnector\control\lib\bytecode\vendor\*” ru.yandex.connector.gui.Main

// только нужно указать правильную версию jre

Проходим аутификацию.

Открывается браузер. Разрешаем всё, что просит. Как иначе?

Далее надо будет пройти аутентификацию по коду с странице с браузера.

Настройка синхронизации

Для начала перейдем на вкладку «Настройки AD«.

  1. Указываем логин администратора домена;
  2. Указываем пароль от администратора домена;
  3. Указываем наш домен;
  4. Указываем хост;

Далее переходим на вкладку «Настройки синхронизации»

  1. Указываем область поиска;
  2. Указываем LDAP-фильтр (вот здесь очень хорошая статья на тему фильтров);
  3. Исключаем RDN, которые нам не нужны;
    Из документации:  Например, если вы хотите исключить из результатов поиска учетные записи из подразделения Service, в поле RDN не содержит введите .*ou=Service.* 
  4. Отключаем синхронизацию заблокированных пользователей;
  5. Чтобы засунуть определенную OU в нужный отдел внутри Я.Почты, надо указать ID подразделения (я нашел единственный способ, как его найти, описал его ниже в траблшут, если кто-то нашел проще, то прощу — скажите 🥺);

Переходим на вкладку «Статус синхронизации» и нажимаем запустить синхронизацию.

Конечно, у меня создалась одна учётная запись, так, как в других пустой атрибут email. Но для теста пойдет.

Осталось настроить расписание. Переходим на вкладку «Расписание синхронизации» и задаём удобное для себя. Я поставил на каждый час в течение рабочего дня. Хотя смысла я особо в этом не нашел.

Траблшут

https://yandex.ru/support/connect/directory-sync/directory-sync.html документация

Как найти ID подразделения?

Переходим в управление порталом https://connect.yandex.ru/portal/admin/
Ставим курсор на нужный отдел (подразделение), кликаем и смотрим в адресную строчку:
https://connect.yandex.ru/portal/admin/departments/3
Вот эта цифра в конце и обозначает ID нашего подразделение.

Если пользователю требуется несколько Email

Нередка такая ситуация. Допустим, имеется человек: Гультяев Сергей  с созданной почтой s.gultyaev@bite-byte.ru. Он в компании работает в отделе бухгалтерии.  И, конечно, Гультяева Сергея может и не быть в компании, а бухгалтер есть всегда. Ну или просто хочется ящик покороче или который легко передать по телефону.
Поэтому хочется, чтобы был ящик buh@bite-byte.ru. Есть несколько путей решения этой проблемы:

  1. Сделать ручками отдельный ящик buh@bite-byte.ru и внутри настроить пересылку писем на нужную именную фамилию. Но у Яндекса в почте нет инструментов администрирования для настроек пересылки или делегации ящика и придется руками входить в ящик buh, настраивать переадресацию, а внутри s.gultyaev надо подтверждать пересылку;
  2. Настроить сбор писем с ящика buh внутри ящика bite-byte. Опять же, всё руками;
Previous Story

Active Directory

Next Story

SQL

Latest from Blog

Zabbix – Docker – Raspberry Pi

Для начала установим Portainer – веб-интерфейс для управления docker-контейнерами. Бесплатно, удобно, подойдет новичкам в docker. Установка

Сетевая папка/диск в Linux

x.x.x.x адрес шары /mnt/shara точка монтирования user пользователь с доступом к шаре 1234 пароль пользователя Для

Памятка SSH

В статье описаны продвинутые функций OpenSSH, которые позволяют сильно упростить жизнь системным администраторам и программистам, которые

0 £0.00