0

Яндекс почта + AD

21.03.2022

Решил попробовать Яндекс почту с привязкой к active directory. Вот как это было.x

Содержание

Подготовка AD-пользователей

Для начала стоит сказать, что синхронизация работает только в случае, если в атрибутах пользователя заполнены атрибуты, которые отмечены звёздочкой:

Атрибут учетной записи Active DirectoryПоле аккаунта в Яндекс.Коннекте
gn (givenName)*Имя
sn (surname)*Фамилия
titleДолжность
sAMAccountName*Логин
mail*Почта

Почта формируется по такой формуле: логин от доменной учётки (sAMAccountName)@domain.ru

Отдельное внимание хочу уделить атрибуту mail. Это должна быть почта пользователя к которой у него есть доступ, скорее всего, это будет личная. После синхронизации AD с Я.Почтой, на неё приходит оповещение о создание электронного ящика и временный пароль, который при первом входе меняется. Это не всегда удобно, поэтому можно иметь под рукой какой-то ящик для этих целей, чтобы оповещения приходили нам и дальше либо передать их пользователю, либо настроить почтовые программы и etc…

Пример оповещения:

Если пользователь блокируется в AD, то внутри Яндекс.360 он тоже заблокируется.

Получаем доступ

Для начала надо заполнить форму.

Спустя минут 10-15 мне пришло письмо с инструкциями и ссылкой на Яндекс.Диск

То, что мы получаем внутри диска:

Установка

Устанавливаем на сервер рекомендуемый JRE.

После установки запускаем инсталлятор с Я.Диска, в зависимости от разрядности сервера.

При установке обязательно регистрируем ключи в реестр.

После удачной установки заходим в интерфейс программы.

Есть ярлыка не появилось, то можно через ALT+R и в тело

1“C:\Program Files\Eclipse Adoptium\<span style=”color: #ff0000;”>jre-11.0.13.8-hotspot</span>\bin\javaw.exe” -cp “C:\Program Files\Yandex\ADConnector\control\lib\bytecode\3rdparty\*;C:\Program Files\Yandex\ADConnector\control\lib\bytecode\vendor\*” ru.yandex.connector.gui.Main

// только нужно указать правильную версию jre

Проходим аутификацию.

Открывается браузер. Разрешаем всё, что просит. Как иначе?

Далее надо будет пройти аутентификацию по коду с странице с браузера.

Настройка синхронизации

Для начала перейдем на вкладку «Настройки AD«.

  1. Указываем логин администратора домена;
  2. Указываем пароль от администратора домена;
  3. Указываем наш домен;
  4. Указываем хост;

Далее переходим на вкладку «Настройки синхронизации»

  1. Указываем область поиска;
  2. Указываем LDAP-фильтр (вот здесь очень хорошая статья на тему фильтров);
  3. Исключаем RDN, которые нам не нужны;
    Из документации:  Например, если вы хотите исключить из результатов поиска учетные записи из подразделения Service, в поле RDN не содержит введите .*ou=Service.* 
  4. Отключаем синхронизацию заблокированных пользователей;
  5. Чтобы засунуть определенную OU в нужный отдел внутри Я.Почты, надо указать ID подразделения (я нашел единственный способ, как его найти, описал его ниже в траблшут, если кто-то нашел проще, то прощу — скажите ?);

Переходим на вкладку «Статус синхронизации» и нажимаем запустить синхронизацию.

Конечно, у меня создалась одна учётная запись, так, как в других пустой атрибут email. Но для теста пойдет.

Осталось настроить расписание. Переходим на вкладку «Расписание синхронизации» и задаём удобное для себя. Я поставил на каждый час в течение рабочего дня. Хотя смысла я особо в этом не нашел.

Траблшут

https://yandex.ru/support/connect/directory-sync/directory-sync.html документация

Как найти ID подразделения?

Переходим в управление порталом https://connect.yandex.ru/portal/admin/
Ставим курсор на нужный отдел (подразделение), кликаем и смотрим в адресную строчку:
https://connect.yandex.ru/portal/admin/departments/3
Вот эта цифра в конце и обозначает ID нашего подразделение.

Если пользователю требуется несколько Email

Нередка такая ситуация. Допустим, имеется человек: Гультяев Сергей  с созданной почтой s.gultyaev@bite-byte.ru. Он в компании работает в отделе бухгалтерии.  И, конечно, Гультяева Сергея может и не быть в компании, а бухгалтер есть всегда. Ну или просто хочется ящик покороче или который легко передать по телефону.
Поэтому хочется, чтобы был ящик buh@bite-byte.ru. Есть несколько путей решения этой проблемы:

  1. Сделать ручками отдельный ящик buh@bite-byte.ru и внутри настроить пересылку писем на нужную именную фамилию. Но у Яндекса в почте нет инструментов администрирования для настроек пересылки или делегации ящика и придется руками входить в ящик buh, настраивать переадресацию, а внутри s.gultyaev надо подтверждать пересылку;
  2. Настроить сбор писем с ящика buh внутри ящика bite-byte. Опять же, всё руками;

Свежие комментарии

Подписка

Лучшие статьи

Рубрики

Популярное

2 active directory 649 views

Active Directory

Поддержка Active Directory (AD) Что такое Active Directory (AD) Active Directory (AD) – это службы каталогов Microsoft® для ОС Windows Server. Сначала
active directory
Previous Story

Active Directory

Next Story

SQL

Latest from Blog

Поиск и замена URL в MYSQL

Используйте сценарии MySQL для поиска и замены URL-адресов в базе данных Другой способ поиска и замены старых URL-адресов в базе данных – использование сценариев MySQL. Этот метод очень полезен, если у вас

POSTGRESQL 16 + CЕРВЕР 1С X64 И 1С 8.3.24

Для начала, в какой среде будем работать: Наша задача: Предполагается, что Debian на который мы установим как PostgreSQL так и Сервер 1С установлен (Установка по умолчанию). Для начала проверим «локаль»: Как видим

HADOOP

Hабор инструментов для разработки программ и обеспечения среды для их запуска в распределенной среде. Позволяет создавать большие кластеры и упрощает процесс управления ими. Является одним из элементов конвейеров обработки больших данных. Разработан на Java фондом Apache

Обновление mySQL с версии 5.7 до 8.0

Сами процедуры могут немного различаться в зависимости от операционной системы, поэтому приведенные ниже шаги ориентированы на общую схему и могут потребовать некоторых адаптаций. Создание резервной копии данных в MySQL можно выполнить с

11 советов по настройке файла wp-config.php

Скорость: Отключите сохраненные версии… Сейчас! Функция сохранения версий записей включена по умолчанию, но может привести к значительному “раздуванию” базы данных. Сохраненные версии существуют для того, чтобы вы могли откатиться к предыдущей версии записи,
Go toTop

Don't Miss

fsmo

Передача/захват ролей FSMO на другой контроллер домена Active Directory

Для чего нужны FSMO роли в домене Active Directory? Кратко
active directory

Active Directory

Поддержка Active Directory (AD) Что такое Active Directory (AD) Active