Решил попробовать Яндекс почту с привязкой к active directory. Вот как это было.
Содержание
Подготовка AD-пользователей
Для начала стоит сказать, что синхронизация работает только в случае, если в атрибутах пользователя заполнены атрибуты, которые отмечены звёздочкой:
| Атрибут учетной записи Active Directory | Поле аккаунта в Яндекс.Коннекте |
|---|---|
| gn (givenName) | *Имя |
| sn (surname) | *Фамилия |
| title | Должность |
| sAMAccountName | *Логин |
| *Почта |
Почта формируется по такой формуле: логин от доменной учётки (sAMAccountName)@domain.ru
Отдельное внимание хочу уделить атрибуту mail. Это должна быть почта пользователя к которой у него есть доступ, скорее всего, это будет личная. После синхронизации AD с Я.Почтой, на неё приходит оповещение о создание электронного ящика и временный пароль, который при первом входе меняется. Это не всегда удобно, поэтому можно иметь под рукой какой-то ящик для этих целей, чтобы оповещения приходили нам и дальше либо передать их пользователю, либо настроить почтовые программы и etc…
Пример оповещения:
Если пользователь блокируется в AD, то внутри Яндекс.360 он тоже заблокируется.
Получаем доступ
Для начала надо заполнить форму.
Спустя минут 10-15 мне пришло письмо с инструкциями и ссылкой на Яндекс.Диск
То, что мы получаем внутри диска:
Установка
Устанавливаем на сервер рекомендуемый JRE.
После установки запускаем инсталлятор с Я.Диска, в зависимости от разрядности сервера.
При установке обязательно регистрируем ключи в реестр.
После удачной установки заходим в интерфейс программы.
Есть ярлыка не появилось, то можно через ALT+R и в тело
|
1 |
"C:\Program Files\Eclipse Adoptium\<span style="color: #ff0000;">jre-11.0.13.8-hotspot</span>\bin\javaw.exe" -cp "C:\Program Files\Yandex\ADConnector\control\lib\bytecode\3rdparty\*;C:\Program Files\Yandex\ADConnector\control\lib\bytecode\vendor\*" ru.yandex.connector.gui.Main |
// только нужно указать правильную версию jre
Проходим аутификацию.
Открывается браузер. Разрешаем всё, что просит. Как иначе?
Далее надо будет пройти аутентификацию по коду с странице с браузера.
Настройка синхронизации
Для начала перейдем на вкладку «Настройки AD«.
- Указываем логин администратора домена;
- Указываем пароль от администратора домена;
- Указываем наш домен;
- Указываем хост;
Далее переходим на вкладку «Настройки синхронизации»
- Указываем область поиска;
- Указываем LDAP-фильтр (вот здесь очень хорошая статья на тему фильтров);
- Исключаем RDN, которые нам не нужны;
Из документации: Например, если вы хотите исключить из результатов поиска учетные записи из подразделения Service, в поле RDN не содержит введите .*ou=Service.* - Отключаем синхронизацию заблокированных пользователей;
- Чтобы засунуть определенную OU в нужный отдел внутри Я.Почты, надо указать ID подразделения (я нашел единственный способ, как его найти, описал его ниже в траблшут, если кто-то нашел проще, то прощу — скажите ?);
Переходим на вкладку «Статус синхронизации» и нажимаем запустить синхронизацию.
Конечно, у меня создалась одна учётная запись, так, как в других пустой атрибут email. Но для теста пойдет.
Осталось настроить расписание. Переходим на вкладку «Расписание синхронизации» и задаём удобное для себя. Я поставил на каждый час в течение рабочего дня. Хотя смысла я особо в этом не нашел.
Траблшут
https://yandex.ru/support/connect/directory-sync/directory-sync.html документация
Как найти ID подразделения?
Переходим в управление порталом https://connect.yandex.ru/portal/admin/
Ставим курсор на нужный отдел (подразделение), кликаем и смотрим в адресную строчку:
https://connect.yandex.ru/portal/admin/departments/3
Вот эта цифра в конце и обозначает ID нашего подразделение.
Если пользователю требуется несколько Email
Нередка такая ситуация. Допустим, имеется человек: Гультяев Сергей с созданной почтой s.gultyaev@bite-byte.ru. Он в компании работает в отделе бухгалтерии. И, конечно, Гультяева Сергея может и не быть в компании, а бухгалтер есть всегда. Ну или просто хочется ящик покороче или который легко передать по телефону.
Поэтому хочется, чтобы был ящик buh@bite-byte.ru. Есть несколько путей решения этой проблемы:
- Сделать ручками отдельный ящик buh@bite-byte.ru и внутри настроить пересылку писем на нужную именную фамилию. Но у Яндекса в почте нет инструментов администрирования для настроек пересылки или делегации ящика и придется руками входить в ящик buh, настраивать переадресацию, а внутри s.gultyaev надо подтверждать пересылку;
- Настроить сбор писем с ящика buh внутри ящика bite-byte. Опять же, всё руками;
Добрый день. Маленькое дополнение по последней проблеме с ящиками и пересылками (не знаю насколько актуально). Можно сделать почту подразделения или группы (там в процессе на Яндекс 360 меняется терминология местами) и тогда написанное на этот адрес письмо придёт всем, кто в этом подразделении находится.
Добрый день, Павел!
Да так можно сделать, удобная фича, когда надо целый отдел запихнуть.
Есть только один минус.
С этого ящика нельзя будет отправлять.
Можно отправить с другого адреса (именно адреса группы), в outlook это легко, в параметрах нового письма прижать От, и в web интерфейсе можно но работает через одно место. Делается так Написать вверху справа Копия От кого, появляются допполя, от кого стираете пишете адрес группы, после ввода яндекс обратно меняет на ваш адрес но фактически отправляет от адреса группы, при 1 тапе показывает оба адреса, при повторной необходимости нужно снова вводить адрес группы никаких списков не предлагает. Поэтому все пользуемся оутглюком
Ну все равно это вариант объезда на кривой козе :)
Поделитесь опытом как вы Outlook с Яндексом подружили?От в outlook действительно работает) минус одна проблема.
Как вы контакты синхронизируете? Как встречи назначаете?
Мы sso настроили, теперь в яндекс наши пользователи заходят по фен шую. И синхранизацию изменений в AD с яндексом прикрутили, тоже адекватно работает.
Добрый день, Руслан!
Не совсем понял Вашего вопроса.
Кстати еще, одному пользователю можно добавить еще 1 альяс, но, этот альяс другому пользователю не добавить
Как это сделать?
Вот другой вопрос. Есть ли решение по авторизации в Яндекс.Почте через AD?
Нет, как ответили в ТП и пока что не планируется.
А что будет, если есть уже организация, в ней есть пользователи, с учетными данными яндекса, почтой. И я попытаюсь посинхронить пользователей из Домена, с такими же ФИО и такими же адресами почтовых ящиков?
Ну админы в яндексе увидят такое
Ну я почекал, на тестовой OU. Такие юзеры просто скипаются. Управлять ими из AD не получится. Сервисы Яндекса никак на изменения в AD таких юзеров не реагируют.
Такого поворота я не ожидал.
Может, допилят дальше.