Заменяем сервер MS Exchange. Установка Horde Groupware

РАШИД АЧИЛОВ, поклонник FreeBSD с 14-ти летним опытом использования ее в совмещенных с Windows сетях и сторонник Open Source. Администратор сетей и средств защиты крупной торговой сети

Заменяем сервер MS Exchange
Установка Horde Groupware

Вместо сервера Microsoft Exchange устанавливаем набор бесплатных программ без потери какой-либо функциональности, при этом Groupware-компонент заменяем на Horde Groupware.

Программа, не имеющая аналогов

Именно так с давних пор именуют Microsoft Exchange как его сторонники, так и противники на различных интернет-форумах. Запрос к любой поисковой системе «замена exchange» (точная фраза), как правило, вызывает отображение не менее 500 ссылок. К сожалению, за всем этим энтузиазмом просматривается одна картина – заменять предлагают либо на Communigate Pro [1] (вещь хорошая, но тоже далеко не бесплатная), либо на Zimbra [2] (который настолько привязан к Linux, что инструкция по его сборке на FreeBSD читается как какое-то страшное колдовство [3]). Предлагаются также другие программы разной степени доработанности, собственные решения... Среди них – eGroupware [4], moreGroupware [5] и Horde Groupware Webmail Edition [6]. Правда, зачастую ко всем этим решениям следует приписка: «Извините, в этом случае у вас не будет работать то-то, а в этом то-то...».

Вкратце я напомню, что входит в состав Exchange-сервера и почему его считают не имеющим аналогов:

•  SMTP-сервер, обеспечивающий почтовый обмен с внешней средой;
• POP3/IMAP/MAPI-сервер, обеспечивающий почтовый обмен с внутренними клиентами;
• Groupware-сервер, обеспечивающий совместную работу с календарем, задачами и заметками, а также их синхронизацию с Microsoft Outlook;
• веб-сервер, предоставляющий доступ к почтовому ящику Exchange из веб-браузера (Outlook Web Access, OWA);
• интеграция в Active Directory, позволяющая брать информацию о почтовых адресах и контактную информацию непосредственно из AD.

Неудивительно, что во времена контрафактного программного обеспечения Microsoft Exchange был столь популярен – одна программа действительно решала все (ну или почти все) коммуникационные проблемы, в то время как для реализации подобного функционала на свободном программном обеспечении необходимо не менее 5 компонентов, поэтому рассматривать замену Exchange мы будем постепенно. На первом этапе функции OWA и groupware-сервера возьмет на себя какой-либо Open Source-проект. На втором этапе функции почтового сервера, а также предоставление доступа к общим папкам возьмут на себя соответственно sendmail и dovecot.

В качестве замены OWA и Groupware-сервера рассматривались уже упомянутые eGroupware, moreGroupware и Horde Applications Framework. Выбор остановился на Horde. Несмотря на то что eGroupware кажется перспективной разработкой и процесс её установки более прост для пользователя, не обладающего достаточной квалификацией, Horde построен более логично и реализован более понятно, что позволяет квалифицированному пользователю в короткий срок доработать его под имеющиеся требования. Ну и не в последнюю очередь потому что настраивается он исключительно в стиле UNIX-way – все параметры находятся в текстовых конфигурационных файлах и достаточно прозрачны, хоть и мало документированы.

Horde Groupware Webmail Edition (groupware-разработка Horde Applications Framework) содержит в себе три компонента Exchange – groupware-сервер (календарь, управление задачами и заметками), обеспечение доступа к почте через браузер и адресная книга с интеграцией в Active Directory.

Но решающим фактором как обычно становится цена. А иногда и не только цена...

С цветным дисплеем Nokia

Скажу честно – изначальная задача не несла в себе никаких элементов замены Exchange. Изначальная задача формировалась просто и скромно – предоставить доступ к корпоративной почте с мобильного компьютера (как их горделиво называет Nokia) модели Nokia N97. В экспериментах принимали участие также Nokia N95 8G и дешевенький коммуникатор Mitac MIO серии DigiWalker с Windows Mobile 5.x.

Вариант «мобильный VPN + Mail for Exchange» был забракован из-за отсутствия поддержки PPTP, из-за сложности и неочевидности настроек, из-за необходимости много времени затратить на эксперименты. Да и покупать аппаратный шлюз как-то не хотелось.

Единственный оставшийся вариант – вывести наружу OWA, запущенный на внутреннем сервере Exchange через нестандартный порт, усилив для безопасности протоколом SSL. Тогда еще никто не предполагал, что эта скромная задача окажется первой, что стала не по зубам Exchange.

Подробности настройки NAT я опущу. Скажу только, что OWA на порту, допустим 11222, заработал как надо, и на экране коммуникатора после обязательного запроса имени и пароля появилось содержимое почтового ящика.

Счастливые и довольные, мы набрали тот же самый адрес на Nokia N97. И долго с непонимающим видом смотрели на надпись «Internet: невозможно подключиться к защищенному соединению». При чем тут защищенное соединение, было совершенно непонятно, потому что не то что https не указывался – SSL еще и поднят не был!

После того как и Nokia N95 выдала точно такое же сообщение, была установлена пробная версия браузера Opera Mini. Opera оказалась более общительной, и тут нас осенило – диалог авторизации! Браузер не может выдать диалог авторизации, потому что авторизация в OWA выполняется не через форму, а используется системный диалог!

Ну и последним ударом по решению о доступе через OWA стал звонок в техническую поддержку Nokia, в которой разъяснили, что у нас ничего и не могло получиться из попытки зайти на OWA и для этого как раз и предназначен Mail for Exchange. Круг замкнулся. Я ничего не хочу сказать про отношения Nokia и Microsoft, но почему-то он замкнулся таким образом, что OWA остался с одной стороны круга, а мы со своей задачей – с другой.

Добро пожаловать в Портал

Что ж, Nokia показала себя далеко не с лучшей стороны, и немного повздыхав, мы модифицировали задачу до «каким-нибудь образом предоставить доступ извне к корпоративному почтовому ящику». Ну а где корпоративный почтовый ящик, там неизбежно возникают календарь, планировщик задач и встреч, заметки. Обратиться к Open Source groupware-проектам мне показалось вполне естественно.

Не буду подробно расписывать процесс тестирования проектов, которыми я попробовал воспользоваться. Скажу только, что у eGroupware есть определенный потенциал, если, конечно, разработчики поймут, что адресная книга в Groupware, особенно когда авторизация делается через Actve Directory, как правило, в ней же и хранится. Пока что я там не обнаружил никаких средств, позволяющих указать, где брать адреса и как их представлять – только собственная адресная книга. moreGroupware имел точно такой же недостаток и к тому же несколько более примитивный интерфейс, что и привело меня в конце концов к Horde Applications Framework Project.

Вообще говоря Horde содержит значительно больше, чем нам нужно. Здесь есть и менеджер фотоальбомов, и багтрекер, и файловый менеджер, и менеджер закладок... Поэтому я поискал Horde в портах, и, конечно же, нашел. Несколько неприятным сюрпризом было то, что порт назывался не horde, как того следовало бы ожидать по аналогии с многими другими (X11, KDE), а почему-то horde-meta:

# cd /usr/ports/www/horde-meta

# make

Как и положено хорошему мета-порту, порт horde содержит экран конфигурации, на котором можно выбрать модули, которые следует установить (cм. рис. 1).

Рисунок 1. Экран конфигурации порта horde-meta

Нам нужны далеко не все модули. Некоторые, конечно же, могут оказаться полезными, но понадобятся нам:

IMP – модуль почтового клиента, предоставляющего доступ к почтовым ящикам IMAP/POP3.

MIMP – мобильная версия IMP, оптимизированная для работы на телефонах и коммуникаторах. Предоставляет доступ только к почтовому ящику (то есть, если браузер распознается как мобильный – не будет ни глобальной адресной книги, ни календаря-планировщика. Впрочем, как правило в мобильных устройствах есть свой собственный).

Ingo – модуль фильтров для обработки почты и отсеивания нежелательной корреспонденции.

Kronolith – модуль календаря и планировщика дня.

Turba – модуль адресной книги.

Nag – модуль списка задач.

Mnemo – модуль управления заметками.

Отмечу, что в составе портала имеется сервер синхронизации мобильных устройств (смартфоны, коммуникаторы) и программы Microsoft Outlook с помощью протокола SyncML версии 1.1 или 1.2.

Сразу же несколько огорчает тот факт, что связной документации на horde практически нет, ни на английском, ни тем более на русском. Имеется только Wiki по адресу [7], где сделана не слишком удачная попытка сгруппировать все имеющиеся знания. Правда, файлы conf.php имеют собственные секции комментариев, некоторые вещи очевидны, про некоторые другие можно прочитать в списках рассылки. Ситуация обычная – для установки портала желательно быть программистом, имеющим опыт работы на PHP. Что ж, начали.

 

Перед началом установки horde порт устанавливает количество всевозможных PEAR-модулей, которое иным словом, кроме как «немыслимо огромное», не назовешь. Он их ставит и ставит, ставит и ставит, и все равно нет никакой гарантии, что при тестировании установки не потребуется что-то еще.

Решаем, что разместим портал на порту 18511 (Почему? 18511 -> 0x484F -> «HO» в текстовом виде), адрес портала во время тестирования был http://horde.shelton.net.

Установка, как правило, проходит без ошибок – им пока браться неоткуда. Устанавливается все в каталог /usr/local/www/horde. Настоятельно рекомендую до тех пор, пока не решили, что добились от установленного портала всего, что хотели, этот каталог не трогать, а копировать его по мере необходимости в другие каталоги. Например, я организовал виртуальный хост:

Listen 18511

<VirtualHost 192.168.1.1:18511>

    ServerName horde.shelton.net

    ServerAdmin webmaster@shelton.net

    DocumentRoot "/usr/local/www/vhosts/horde/"

    ErrorLog "/usr/local/www/log/horde/httpd"

    CustomLog "/usr/local/www/log/horde/access" common

    <IfModule php5_module>

        AddType application/x-httpd-php .php

        AddType application/x-httpd-php-source .phps

    </IfModule>

    Include etc/apache22/extra/httpd-languages.conf

    <IfModule mime_module>

        AddType application/x-tar .tgz

        AddEncoding x-compress .Z

        AddEncoding x-gzip .gz .tgz

        AddHandler cgi-script .cgi

    </IfModule>

    <Directory "/usr/local/www/vhosts/horde">

        AllowOverride None

        Order allow,deny

        Allow from all

    </Directory>

</VirtualHost>

Все пути к файлам будут указываться от приведенного выше значения параметра DocumentRoot.

Поскольку весь портал целиком и любой его модуль в частности настраиваются простым редактированием файлов conf.php, то никакой защиты от неверных настроек (когда ты в одном месте задал нужную настройку, а в другом позабыл) нет. Мне в процессе настройки приходилось не менее десятка раз восстанавливать промежуточные копии conf.php.

Начинаем выполнять то, что сказано в файле docs/INSTALL. Первым шагом нам рекомендуют создать БД, которую будет использовать портал:

cd ../scripts/sql

mysql -u root -p < create.mysql.sql

Предварительно просматриваем скрипт и увидев, что он создаст пользователя MySQL horde с паролем horde и БД horde, а также даст этому пользователю все права на БД, запускаем этот скрипт.

Скрипт отрабатывает без ошибок. Идем просматривать структуру созданной БД и...что такое? Откуда тут взялся Latin-1, когда предполагается вовсю использовать русский язык?

mysql> show create database 'horde';

horde CREATE DATABASE `horde` /*!40100 DEFAULT CHARACTER SET latin-1*/

В поисках ответа на этот вопрос идем на [6] и обнаруживаем, что наш порт, из которого мы ставили портал, устарел – уже существует более новая версия базового пакета портала horde-3.3.4. Новая версия вышла 1 мая 2009 года, но порт до сих пор почему-то ссылается на старую. Что ж, скачиваем вручную и распаковываем поверх в корневой каталог.

Можно еще скачать с главной страницы [6] архив Horde Groupware Webmail Edition и полностью заменить им старый каталог. Не забываем удалить созданную БД. А вот пользователя лучше оставить.

Отличия заметны сразу – теперь начальная установка управляется собственным скриптом (см. рис. 2)!

Рисунок 2. Экран настройки Horde Groupware Webmail Edition

Все пункты меню подписаны вполне самодостаточно. Предупреждаю сразу, не используйте драйвер СУБД mysql (mysqli) – по неясным причинам он вызывает зависание портала сразу после включения – портал загружает окно входа в систему и никак не может его загрузить, используйте обычный mysql-драйвер.

Задаем настройки БД (вот тут нам и пригодится пользователь, которого мы не удалили, почему-то скрипт этого не делает), создаем необходимые таблицы. Пояснений требует только пункт 3 – Configure administrator settings. Дело в том, что непонятно зачем разработчики портала сменили начальный метод авторизации – в версии 3.3.3 сразу после установки происходила автоматическая регистрация в системе под учетной записью Administrator, в версии же 3.3.4 зачем-то придумали авторизацию по почтовому серверу – docs/INSTALL рекомендует исправить файл imp/config/servers.php, указав в нем адрес сервера, если он установлен не на том же компьютере, что и портал. А в данном пункте требуется указать учетные записи, при входе под которыми будут предоставляться права администратора.

Мне это показалось до крайности неудобным – ведь еще ничего не настроено! – поэтому я предпочел вернуть обратно автоматическую авторизацию, по крайней мере на время. Для этого нужно в файле config/conf.php (основном конфигурационном файле horde) исправить следующие строки:

$conf['auth']['admins'] = array('Administrator');

$conf['auth']['driver'] = 'auto';

$conf['auth']['params'] = array('username' => 'Administrator');

Всё, действий в консоли больше предпринимать не придется, разве только какой-нибудь отсутствующий модуль доустановить.

Перед тем как начать настраивать портал, необходимо проверить как раз полноту установки всех требуемых модулей. Для этого заходим на страницу http://horde.shelton.net:18511/test.php и внимательно читаем все, что там написано. Сообщения, написанные желтым цветом, – это замечания, их нужно прочитать внимательно. Те, что не относятся к нашей системе (например, про отсутствие поддержки PostgreSQL), можно игнорировать, те же, что относятся, лучше исправить. Сообщения же, написанные красным цветом, – это ошибки, без исправления которых портал будет неработоспособен полностью или частично. Как правило, это сообщения об отсутствии какого-либо существенного компонента или о неверных настройках PHP.

После исправления всех ошибок и тех замечаний, которые необходимо было исправить, заходим на http://horde.shelton.net:18511 (см. рис. 3).

Рисунок 3. Главный экран портала непосредственно после установки

Автоматически нас регистрируют в системе как Administrator. Почтовый ящик сейчас закрыт – для входа в него требуется, чтобы данный пользователь существовал на почтовом сервере, которым пока еще является Exchange. Впрочем, почта нас и не интересует, нам нужны только настройки системы.

Раскрываем пункт Administration и выбираем Setup. Это основное место для настройки параметров модулей horde. Сейчас, когда настроены только некоторые основные параметры портала, напротив всех остальных пунктов стоит missing configuration, что означает, что файлы conf.php для данных модулей еще не созданы. Но сначала мы займемся настройками самого портала.

Заходим в настройки модуля horde. Нас встречает экран с таким количеством настроек, что только диву даешься – и это все нужно? Нет, конечно же, не все. Хотя не менее двух третей закладок придется посетить (см. рис. 4).

Рисунок 4. Настройки портала

Закладки настроек расположены примерно в том порядке, в котором их необходимо настраивать. Только закладку Authentication советую настраивать самой последней – как только метод авторизации меняется на что-либо другое, кроме auto, так тут же будет показан экран регистрации в системе. А процесс настроек – вещь длинная. После настройки каждой закладки рекомендую сохранять конфигурацию. Ниже я опишу некоторые настройки, которые изменял. Если какая-то закладка здесь отсутствует – значит в ней менять ничего не надо.

Закладка General

Здесь настраиваются разнообразные общие параметры:

[tmpdir] – можно настроить каталог для временных файлов, если /tmp чем-то не устраивает;

[server][port] – в этой настройке обязательно задавать номер порта, если horde работает не на стандартном порту веб-сервера;

[cookie][path] – эта настройка обязательно должна совпадать с путем, где установлен портал. Если портал является корнем виртуального хоста, она должна быть равна «/».

Закладка Database

Параметры на данной закладке зависят от выбранного типа СУБД. Для MySQL они, как правило, стандартны – имя БД, имя и пароль пользователя для подключения, адрес и порт для подключения. Еще раз напоминаю – выбирайте драйвер mysql, а не mysql(mysqli)!

Закладка Logging

Незаменима при отладке:

[log][enabled] – включить/выключить запись журнала;

[log][priority] – задает уровень детальности сообщений от критических ошибок до сообщений отладки;

[log][type] – задает, куда будут направлены сообщения. От вариантов выбора глаза разбегаются – тут присутствует все что угодно, от БД до окна на экране. Мне, правда, наиболее оптимальным показалось банально записывать в файл.

Остальные настройки закладки вполне очевидны, тем более, что каждая настройка снабжена комментарием, может, не слишком подробным, но исчерпывающим.

Закладка Preference System

Здесь расположены параметры настройки системы записи индивидуальных настроек пользователей. Если оставить все как есть, настройки сохраняться не будут. Впрочем, единственный параметр, который нужно изменить, – это [prefs][driver]. По умолчанию он установлен в PHP Session, его нужно обязательно изменить на SQL Database (ну или другое значение, представленное в списке).

Закладка Alarm System

[alarms][driver] – указать, как будут храниться аварийные оповещения. Вариантов, правда, всего два – не хранить совсем или хранить в БД.

Закладка DataTree System

DataTree – это некая древовидная структура данных, используемая порталом для хранения другой информации вместо, например, БД. Мне ее применение кажется сомнительным, но раз она есть – значит зачем-то нужна.

[datatree][driver] – задает, где будет храниться ее информация, точнее говоря, будет она храниться или нет, потому что вариантов, как и на предыдущей закладке, всего два.

Закладка Groups

[group][driver] – задает, где будут храниться группы, созданные в портале. Это именно внутренние группы портала, создаваемые через подпункт «Группы» в меню «Управление».

Закладка Permissions

[perms][driver] – задает, где будут храниться созданные в портале права доступа, настраиваемые через подпункт «Права» в меню «Управление». Права, которые необходимо минимально назначить для того, чтобы портал работал, будут описаны в следующей части статьи.

Закладка Shares

Здесь задаются настройки для обьектов, доступ к которым может регулироваться пользователями, например для календарей:

[share][any_group] – если отмечено, то пользователи могут предоставлять доступ к своим данным любому другому пользователю, в противном случае – только тем, кто входит с ними в одну группу;

[share][driver] – задает, где будут храниться данные о разделяемых ресурсах.

Закладка Lock System

[lock][driver] – задает использование системы блокировки обьектов.

Закладка Mailer

Задает параметры для отправки почты. Для отправки через сторонний сервер нужно задать [mailer][params][host]; [mailer][params][localhost] – имя домена для формирования адреса для отправки через Sendmail – [mailer][params][sendmail_path].

Закладка Virtual File Storage

Настраивается расположение виртуального хранилища файлов. Используется только если будет в дальнейшем устанавливаться Gollem – файловый менеджер.

[vfs][type] – задает драйвер VFS. В простейшем случае – хранить в файловой системе;

[vsf][params][vfsroot] – задает путь к корню VFS, в случае хранения в файловой системе.

Закладка HTTP Proxy

Задает набор достаточно очевидных настроек для выхода в Интернет в случае использования прокси-сервера.

Закладка MIME Detection

Единственная настройка задает путь к базе данных MIME magic. Для FreeBSD обычно это /usr/share/misc/magic.

Сохраняем конфигурацию портала. Да, мы еще не были на закладке Authentication. Не торопитесь туда. Если включить авторизацию, не создав конфигураций модулей, есть риск сразу же после перезагрузки увидеть вместо портала два окна с сообщениями об ошибках PHP, поскольку horde совершенно не проверяет создаваемую конфигурацию.

Заходим в каждый из модулей по очереди и нажимаем кнопку «Сохранить». Менять там ничего не надо, да и настроек немного – у каждого модуля по одной закладке, за исключением Imp, у которого на первой закладке можно при желании настроить пути к программам aspell и gpg.

Сохраняем последние изменения в настройке, делаем резервную копию файла config/conf.php и настраиваем авторизацию. Авторизация в horde может быть настроена огромным количеством путей, но нас интересует только один – авторизация посредством сервера Active Directory, поэтому будет описываться именно этот набор параметров.

Закладка Authentication

[auth][admins] – задает список учетных записей через запятую, у которых будут права администратора. Эти учетные записи должны существовать в Active Directory;

[auth][driver] – задает механизм авторизации. Для использования Active Directory следует выбрать LDAP authentication;

[auth][params][hostspec] – задает адрес сервера авторизации;

[auth][params][basedn] – задает корневое DN сервера, которое обычно равно его имени домена. Например, для домена shelton.net оно будет равно dc=shelton, dc=net;

[auth][params][binddn] – задает имя пользователя, от которого будет выполняться подключение к серверу LDAP. Поскольку Windows 2003 не поддерживает анонимного подключения, необходимо наличие некоторого пользователя, который не может пользоваться никакими ресурсами и подключаться от его имени. В качестве значения параметра нужно указать полное CN-имя. Например, для пользователя ldapread, находящегося в OU Other Users, значение параметра будет равно CN=ldapread,OU=Other Users,DC=shelton,DC=net;

[auth][params][password] – задает пароль пользователя для подключения к LDAP;

[auth][params][version] – проверьте, что стоит LDAP v3, иначе не будет работать;

[auth][params][scope] – задает область поиска, должно быть задано Subtree search;

[auth][params][ad] – задает, что сервер, который выполняет авторизацию, является сервером Active Directory;

[auth][params][uid] – задает имя атрибута, содержащего идентификатор пользователя. В этом поле необходимо задать «samaccountname»;

[auth][params][encryption] – задает тип шифрования пароля при его проверке. Указать plain или msad;

[auth][params][filter_type] – задает тип фильтра, используемый для отбора учетных записей при проверке авторизации. Выбрать A complete LDAP filter expresson;

[auth][params][filter] – задает фильтр для отбора учетных записей при проверке авторизации. Фильтр нужен для ускорения авторизации, чтобы не использовались учетные записи групп, системных объектов и т.д. Простейший фильтр выглядит так – «(&(sAMAccountName=*)(mail=*))», что означает «отобрать все объекты, у которых заданы поля sAMAccountName и mail.

***

Итак, портал установлен и уже способен проверить учетную запись и пароль по серверу Active Directory. Но проделана еще только малая часть работы, главное – доступ к почте и глобальной адресной книге, синхронизация с Outlook нас ждет впереди.

1. Сайт программы Communigate Pro – http://www.communigate.com.
2. Сайт программы Zimbra Collaboration Suite – http://www.zimbra.com.
3. Статья о том, как собрать Zimbra на FreeBSD – http://pcbsd.org/~dwhite/zimbra.
4. Сайт программы eGroupware – http://www.egroupware.ru.
5. Сайт программы moreGroupware – http://www.moregroupware.de.
6. Сайт Horde Applications Framework – http://www.horde.org.
7. Wiki по Horde Applications Framework – http://wiki.horde.org.