Решил попробовать Яндекс почту с привязкой к active directory. Вот как это было.x
- Подготовка AD-пользователей
- Получаем доступ
- Установка
- Настройка синхронизации
- Траблшут
- Если пользователю требуется несколько Email
Подготовка AD-пользователей
Для начала стоит сказать, что синхронизация работает только в случае, если в атрибутах пользователя заполнены атрибуты, которые отмечены звёздочкой:
| Атрибут учетной записи Active Directory | Поле аккаунта в Яндекс.Коннекте |
|---|---|
| gn (givenName) | *Имя |
| sn (surname) | *Фамилия |
| title | Должность |
| sAMAccountName | *Логин |
| *Почта |
Почта формируется по такой формуле: логин от доменной учётки (sAMAccountName)@domain.ru
Отдельное внимание хочу уделить атрибуту mail. Это должна быть почта пользователя к которой у него есть доступ, скорее всего, это будет личная. После синхронизации AD с Я.Почтой, на неё приходит оповещение о создание электронного ящика и временный пароль, который при первом входе меняется. Это не всегда удобно, поэтому можно иметь под рукой какой-то ящик для этих целей, чтобы оповещения приходили нам и дальше либо передать их пользователю, либо настроить почтовые программы и etc…
Пример оповещения:
Если пользователь блокируется в AD, то внутри Яндекс.360 он тоже заблокируется.
Получаем доступ
Для начала надо заполнить форму.
Спустя минут 10-15 мне пришло письмо с инструкциями и ссылкой на Яндекс.Диск
То, что мы получаем внутри диска:
Установка
Устанавливаем на сервер рекомендуемый JRE.
После установки запускаем инсталлятор с Я.Диска, в зависимости от разрядности сервера.
При установке обязательно регистрируем ключи в реестр.
После удачной установки заходим в интерфейс программы.
Есть ярлыка не появилось, то можно через ALT+R и в тело
| 1 | “C:\Program Files\Eclipse Adoptium\<span style=”color: #ff0000;”>jre-11.0.13.8-hotspot</span>\bin\javaw.exe” -cp “C:\Program Files\Yandex\ADConnector\control\lib\bytecode\3rdparty\*;C:\Program Files\Yandex\ADConnector\control\lib\bytecode\vendor\*” ru.yandex.connector.gui.Main |
// только нужно указать правильную версию jre
Проходим аутификацию.
Открывается браузер. Разрешаем всё, что просит. Как иначе?
Далее надо будет пройти аутентификацию по коду с странице с браузера.
Настройка синхронизации
Для начала перейдем на вкладку «Настройки AD«.
- Указываем логин администратора домена;
- Указываем пароль от администратора домена;
- Указываем наш домен;
- Указываем хост;
Далее переходим на вкладку «Настройки синхронизации»
- Указываем область поиска;
- Указываем LDAP-фильтр (вот здесь очень хорошая статья на тему фильтров);
- Исключаем RDN, которые нам не нужны;
Из документации: Например, если вы хотите исключить из результатов поиска учетные записи из подразделения Service, в поле RDN не содержит введите .*ou=Service.* - Отключаем синхронизацию заблокированных пользователей;
- Чтобы засунуть определенную OU в нужный отдел внутри Я.Почты, надо указать ID подразделения (я нашел единственный способ, как его найти, описал его ниже в траблшут, если кто-то нашел проще, то прощу — скажите
);
Переходим на вкладку «Статус синхронизации» и нажимаем запустить синхронизацию.
Конечно, у меня создалась одна учётная запись, так, как в других пустой атрибут email. Но для теста пойдет.
Осталось настроить расписание. Переходим на вкладку «Расписание синхронизации» и задаём удобное для себя. Я поставил на каждый час в течение рабочего дня. Хотя смысла я особо в этом не нашел.
Траблшут
https://yandex.ru/support/connect/directory-sync/directory-sync.html документация
Как найти ID подразделения?
Переходим в управление порталом https://connect.yandex.ru/portal/admin/
Ставим курсор на нужный отдел (подразделение), кликаем и смотрим в адресную строчку:
https://connect.yandex.ru/portal/admin/departments/3
Вот эта цифра в конце и обозначает ID нашего подразделение.
Если пользователю требуется несколько Email
Нередка такая ситуация. Допустим, имеется человек: Гультяев Сергей с созданной почтой s.gultyaev@bite-byte.ru. Он в компании работает в отделе бухгалтерии. И, конечно, Гультяева Сергея может и не быть в компании, а бухгалтер есть всегда. Ну или просто хочется ящик покороче или который легко передать по телефону.
Поэтому хочется, чтобы был ящик buh@bite-byte.ru. Есть несколько путей решения этой проблемы:
- Сделать ручками отдельный ящик buh@bite-byte.ru и внутри настроить пересылку писем на нужную именную фамилию. Но у Яндекса в почте нет инструментов администрирования для настроек пересылки или делегации ящика и придется руками входить в ящик buh, настраивать переадресацию, а внутри s.gultyaev надо подтверждать пересылку;
- Настроить сбор писем с ящика buh внутри ящика bite-byte. Опять же, всё руками;
Свежие комментарии