メールサーバを新しくする実験 【Zimbraを設定する その２】

【事前情報】

• 管理画面URL: https://***:7071/zimbraAdmin/
• Webクライアント: https://***/

【外部LDAPサーバとの連携】
管理画面へログイン。
設定 → ドメイン → 対象のドメイン → 認証
へ移動。

認証機構が内部であることを確認。

メニューより認証を設定を選択。


設定その１

• 認証機構：外部LDAP
• LDAPサーバ名： ldap://*** : 389
• SSL/StartTLS は任意
• LDAPフィルタ：uid=%u
• LDAP検索ベース：ou=People,dc=examble,dc=com など
• [次へ]

設定その２

• 何も変更しない
• [次へ]

設定その３

• 任意の情報で接続テスト
• [テスト]

【自己証明書を使っている場合】
Zimbraは自己証明書を嫌うらしい。
LDAPサーバ側でエクスポート → Zimbra側でインポート
でOK

[OpenDS側]

$ keytool --list -keystore /opt/OpenDS/config/keystore

キーストアのパスワードを入力してください:

***************** 警告 警告 警告 *****************
* キーストアに保存された情報の完全性は検証されて *
* いません! 完全性を検証するには、キーストアの *
* パスワードを入力する必要があります。 *
***************** 警告 警告 警告 *****************

キーストアのタイプ: JKS
キーストアのプロバイダ: SUN

キーストアには 1 エントリが含まれます。

server-cert, 2011/01/14, PrivateKeyEntry,
証明書のフィンガープリント (MD5):

$ keytool -export -alias server-cert -file ./ods.txt -keystore /opt/OpenDS/config/keystore
キーストアのパスワードを入力してください:

***************** 警告 警告 警告 *****************
* キーストアに保存された情報の完全性は検証されて *
* いません! 完全性を検証するには、キーストアの *
* パスワードを入力する必要があります。 *
***************** 警告 警告 警告 *****************

証明書がファイル <./ods.txt> に保存されました。

ファイルをどうにかこうにかZimbra側へコピー

[Zimbra側]

$ sudo /opt/zimbra/java/bin/keytool -import -alias OpenDS -keystore /opt/zimbra/java/jre/lib/security/cacerts -file ./src/ods.txt
キーストアのパスワードを入力してください:
所有者: CN=dns.***, O=OpenDS Self-Signed Certificate
発行者: CN=dns.***, O=OpenDS Self-Signed Certificate
シリアル番号: 4d2fc8d0
有効期間の開始日: Fri Jan 14 12:53:52 JST 2011 終了日: Sun Jan 13 12:53:52 JST 2013
証明書のフィンガープリント:
MD5:
SHA1:
署名アルゴリズム名: SHA1withRSA
バージョン: 3
この証明書を信頼しますか? [no]: yes
証明書がキーストアに追加されました。

その後、Zimbraを再起動


【再度テスト】
再度、LDAPの接続テストを行う。
うまく行けば、OpenDS<->Zimbra連携の成功。
認証を外部のLDAPサーバにお任せ出来るようになる。


【その後】
この時点で通信の暗号化や送信時の認証はほとんど完了しているので非常にらくちん