Яндекс почта + AD

Решил попробовать Яндекс почту с привязкой к active directory. Вот как это было.

 Компания Яндекс объявила, что с апреля 23 года сервис станет окончательно платным. 

Подготовка AD-пользователей

Для начала стоит сказать, что синхронизация работает только в случае, если в атрибутах пользователя заполнены атрибуты, которые отмечены звёздочкой:

Атрибут учетной записи Active Directory Поле аккаунта в Яндекс.Коннекте
gn (givenName) *Имя
sn (surname) *Фамилия
title Должность
sAMAccountName *Логин
mail *Почта

Почта формируется по такой формуле: логин от доменной учётки (sAMAccountName)@domain.ru

Отдельное внимание хочу уделить атрибуту mail. Это должна быть почта пользователя к которой у него есть доступ, скорее всего, это будет личная. После синхронизации AD с Я.Почтой, на неё приходит оповещение о создание электронного ящика и временный пароль, который при первом входе меняется. Это не всегда удобно, поэтому можно иметь под рукой какой-то ящик для этих целей, чтобы оповещения приходили нам и дальше либо передать их пользователю, либо настроить почтовые программы и etc…

Пример оповещения:

Если пользователь блокируется в AD, то внутри Яндекс.360 он тоже заблокируется.

Получаем доступ

Для начала надо заполнить форму.

Спустя минут 10-15 мне пришло письмо с инструкциями и ссылкой на Яндекс.Диск

То, что мы получаем внутри диска:

Установка

Устанавливаем на сервер рекомендуемый JRE.

После установки запускаем инсталлятор с Я.Диска, в зависимости от разрядности сервера.

При установке обязательно регистрируем ключи в реестр.

После удачной установки заходим в интерфейс программы.

Есть ярлыка не появилось, то можно через ALT+R и в тело

// только нужно указать правильную версию jre

Проходим аутификацию.

Открывается браузер. Разрешаем всё, что просит. Как иначе?

Далее надо будет пройти аутентификацию по коду с странице с браузера.

Настройка синхронизации

Для начала перейдем на вкладку «Настройки AD«.

  1. Указываем логин администратора домена;
  2. Указываем пароль от администратора домена;
  3. Указываем наш домен;
  4. Указываем хост;

Далее переходим на вкладку «Настройки синхронизации»

  1. Указываем область поиска;
  2. Указываем LDAP-фильтр (вот здесь очень хорошая статья на тему фильтров);
  3. Исключаем RDN, которые нам не нужны;
    Из документации:  Например, если вы хотите исключить из результатов поиска учетные записи из подразделения Service, в поле RDN не содержит введите .*ou=Service.* 
  4. Отключаем синхронизацию заблокированных пользователей;
  5. Чтобы засунуть определенную OU в нужный отдел внутри Я.Почты, надо указать ID подразделения (я нашел единственный способ, как его найти, описал его ниже в траблшут, если кто-то нашел проще, то прощу — скажите ?);

Переходим на вкладку «Статус синхронизации» и нажимаем запустить синхронизацию.

Конечно, у меня создалась одна учётная запись, так, как в других пустой атрибут email. Но для теста пойдет.

Осталось настроить расписание. Переходим на вкладку «Расписание синхронизации» и задаём удобное для себя. Я поставил на каждый час в течение рабочего дня. Хотя смысла я особо в этом не нашел.

Траблшут

https://yandex.ru/support/connect/directory-sync/directory-sync.html документация

Как найти ID подразделения?

Переходим в управление порталом https://connect.yandex.ru/portal/admin/
Ставим курсор на нужный отдел (подразделение), кликаем и смотрим в адресную строчку:
https://connect.yandex.ru/portal/admin/departments/3
Вот эта цифра в конце и обозначает ID нашего подразделение.

Если пользователю требуется несколько Email

Нередка такая ситуация. Допустим, имеется человек: Гультяев Сергей  с созданной почтой s.gultyaev@bite-byte.ru. Он в компании работает в отделе бухгалтерии.  И, конечно, Гультяева Сергея может и не быть в компании, а бухгалтер есть всегда. Ну или просто хочется ящик покороче или который легко передать по телефону.
Поэтому хочется, чтобы был ящик buh@bite-byte.ru. Есть несколько путей решения этой проблемы:

  1. Сделать ручками отдельный ящик buh@bite-byte.ru и внутри настроить пересылку писем на нужную именную фамилию. Но у Яндекса в почте нет инструментов администрирования для настроек пересылки или делегации ящика и придется руками входить в ящик buh, настраивать переадресацию, а внутри s.gultyaev надо подтверждать пересылку;
  2. Настроить сбор писем с ящика buh внутри ящика bite-byte. Опять же, всё руками;

Если мой материал был полезен, то можете угостить меня кофе ☕️


Подписаться
Уведомить о
guest
14 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
Павел
Павел
2 лет назад

Добрый день. Маленькое дополнение по последней проблеме с ящиками и пересылками (не знаю насколько актуально). Можно сделать почту подразделения или группы (там в процессе на Яндекс 360 меняется терминология местами) и тогда написанное на этот адрес письмо придёт всем, кто в этом подразделении находится.

Сергей
Сергей
Ответить на  bite-byte
2 лет назад

Можно отправить с другого адреса (именно адреса группы), в outlook это легко, в параметрах нового письма прижать От, и в web интерфейсе можно но работает через одно место. Делается так Написать вверху справа Копия От кого, появляются допполя, от кого стираете пишете адрес группы, после ввода яндекс обратно меняет на ваш адрес но фактически отправляет от адреса группы, при 1 тапе показывает оба адреса, при повторной необходимости нужно снова вводить адрес группы никаких списков не предлагает. Поэтому все пользуемся оутглюком

Руслан
Руслан
Ответить на  Сергей
1 год назад

Поделитесь опытом как вы Outlook с Яндексом подружили?От в outlook действительно работает) минус одна проблема.
Как вы контакты синхронизируете? Как встречи назначаете?

Мы sso настроили, теперь в яндекс наши пользователи заходят по фен шую. И синхранизацию изменений в AD с яндексом прикрутили, тоже адекватно работает.

Сергей
Сергей
Ответить на  bite-byte
2 лет назад

Кстати еще, одному пользователю можно добавить еще 1 альяс, но, этот альяс другому пользователю не добавить

Руслан
Руслан
Ответить на  Сергей
1 год назад

Как это сделать?

Сергей
Сергей
2 лет назад

Вот другой вопрос. Есть ли решение по авторизации в Яндекс.Почте через AD?

Андрей
Андрей
2 лет назад

А что будет, если есть уже организация, в ней есть пользователи, с учетными данными яндекса, почтой. И я попытаюсь посинхронить пользователей из Домена, с такими же ФИО и такими же адресами почтовых ящиков?

Андрей
Андрей
Ответить на  bite-byte
2 лет назад

Ну я почекал, на тестовой OU. Такие юзеры просто скипаются. Управлять ими из AD не получится. Сервисы Яндекса никак на изменения в AD таких юзеров не реагируют.

Приглашение в телеграм! 💙


Приглашаю подписаться в Telegram
У меня там новости, маленькие рассказы и полезные ссылки.
Плюс так мы никогда не потеряемся!

👉 https://t.me/bitebyteru  👈

Он будет закрыт в 11 секунд