Настройка SSO авторизации в Zimbra

Гость, 23/06/2011 - 10:00

Здравствуйте!

Пытаюсь настроить SSO авторизацию в Zimbra по инструкции с официального сайта (http://files.zimbra.com/website/docs/7.0/Zimbra%20OS%20Admin%20Guide%207...) и что-то не получается

Описание процесса:

Домен Active Dyrectory: PEN.LOCAL

Имя контроллера домена Active Dyrectory: DC.PEN.LOCAL

Почтовый домен Zimbra: GW.PEN.RU

Имя хоста Zimbra: ZIMBRA.PEN.RU

Порядок моих действий:

1. в  AD создал пользователя (Full name: zimbra, User Logon name: HTTPS/zimbra.pen.ru, User logon name (pre-windows2000): zimbra)

2. сделал setspn –a HTTPS/zimbra.pen.ru zimbra

3. сделал keytab (jetty.keytab) файл и положил его в /opt/zimbra/jetty/etc/

ktpass -out C:\Temp\spnego\jetty.keytab -princ HTTPS/zimbra.pen.ru@PEN.LOCAL -mapUser zimbra -mapOp set -pass password123 -crypto RC4-HMAC-NT -pType KRB5_NT_PRINCIPAL
 
4. В консоли сервера Zimbra выполнил команды:
zmprov mcf zimbraSpnegoAuthEnabled TRUE
zmprov mcf zimbraSpnegoAuthErrorURL '/zimbra/?ignoreLoginURL=1'
zmprov mcf zimbraSpnegoAuthRealm PEN.LOCAL
 
zmprov ms gw.pen.ru zimbraSpnegoAuthTargetName HTTPS/zimbra.pen.ru
zmprov ms gw.pen.ru zimbraSpnegoAuthPrincipal HTTPS/zimbra.pen.ru@PEN.LOCAL
 
zmprov md gw.pen.ru zimbraAuthKerberos5Realm DC.PEN.LOCAL
zmprov md gw.pen.ru +zimbraVirtualHostname zimbra.pen.ru
 
Zmprov md gw.pen.ru zimbraWebClientLoginURL '../../service/spnego'
 
zmprov md gw.pen.ru +zimbraWebClientLoginURLAllowedUA '.*MSIE.*Windows.*'
 
Zmprov md gw.pen.ru zimbraWebClientLogoutURL '../?sso=1'
 
zmprov md gw.pen.ru +zimbraWebClientLogoutURLAllowedUA '.*MSIE.*Windows.*'
 
 
В internet Explorer добавил в надёжные узлы сервер zimbra. Зашёл по адресу https://zimbra.pen.ru выдалось стандартное приглашение Zimbr'ы ввода логина и пароля.
 
Подскажите что я делаю не так?

Форумы »

Комментарии

Vladsn
20/07/2015 - 19:21
Кто-нибудь нашел решение?
skylevels аватар
skylevels
21/07/2015 - 17:24
Нашел статью https://wiki.zimbra.com/wiki/Configuring_SPNEGO_Single_Sign-On
Теперь у себя тоже хочу запилить, но наверное на следующей неделе, не раньше.
Vladsn
21/07/2015 - 18:13
Статью тоже читал, даже по ней пробовал настраивать. Но ничего не смог
skylevels аватар
skylevels
04/08/2015 - 19:01
У меня с наскоку тоже ничего не получилось.
Думаю тут из-за того, что у нас с Вами AD в одной зоне, а почтовый сервер в другой
(у меня почта на example.ru а MS домен example.local)
и пользователи почты заведены как user@example.ru, в них конечно прописано поле внешней проверки.

например Иванов имеет учетную запись в домене ivanov.ivan@examlpe.local и пользуется почтой ivanov@example.ru

Скорее всего инструкция не предпологает такого расклада, ее нужно как-то адаптировать.

Что конкретно стандартного приглашения, у меня в IE не получилось сдвинуться, а вот в FF прописал переменные
network.negotiate-auth.delegation-uris и network.negotiate-auth.trusted-uris
и что-то зашевелилось, я по крайней мере стал получать сообщение о неправильном входе
(в инструкции ошибка: zimbraSpnegoAuthErrorURL надо определять как '/?ignoreLoginURL=1' а не '/zimbra/?ignoreLoginURL=1'

К сожалению времени на эту проблему не могу уделить, если кто что-нибудь придумает, пишите!
Добавить комментарий