Portál AbcLinuxu, 6. května 2025 16:37
Před pár měsíci se firma, kde pracuji, rozdělila na dvě nové, nezávislé společnosti. Připadl mi úkol osamostatnit naše interní systémy a vytvořit novou infrastrukturu pro budoucí rozvoj. Čekal mě tedy úkol vybrat vhodnou linuxovou náhradu za Active Directory, MS Exchange, file server, network monitoring a pár dalších služeb.
Původní firma Computer Brokers (www.cb.co.nz) byla hodně zaměřená na Microsoft, takže na všechno od pošty přes sdílení souborů, databáze až po vzdálený přístup byly použity technologie na platformě MS Windows. Naše nová společnost zvaná Enterprise IT (www.enterpriseit.co.nz) se naopak tam, kde to má smysl, snaží prosazovat ne-MS řešení, obvykle založená na Linuxu nebo Solarisu, takže je nemyslitelné používat na našich vlastních serverech Windows.
První v řadě bylo rozdělení mailových systémů. Hlavním požadavkem byla „groupwarovost“ řešení, tedy e-mail integrovaný s kalendářem, možnost plánovat schůzky, sdílet data a kontakty a spousta dalších více či méně užitečných funkcí, které uživatelům ve spolupráci s Outlookem poskytuje MS Exchange. Nejsme fanatici, takže bereme na vědomí, že Microsoft existuje, a na desktopech budeme Windows podporovat. Stejně jako Mac OS X a pochopitelně Linux. A nejsme ani fundamentalisti, takže netrváme striktně na Open Source produktu. Zaplatit licenci za funkční komerční řešení obvykle vychází výrazně levněji než obětovat spoustu člověkoměsíců až člověkoroků na uplácávání jakž-takž použitelného systému, který nakonec nikdo jiný než původní autor ani nebude schopen udržovat.
Po pár dnech pročítání ohlasů na ten či onen produkt jsem vybral na otestování dva finalisty: Zimbra (www.zimbra.com) a Scalix (www.scalix.com). Oba jsem nainstaloval, chvilku si s každým hrál a jelikož první dojem ze Zimbry byl lepší, prozkoumal jsem ji podrobněji. Po několika týdnech jsem byl přesvědčen, že Zimbra umí všechno co potřebuji, pár testovacích uživatelů ji přijalo veskrze kladně a ke Scalixu už jsem se nevrátil. Takže ani nevím, o co jsem přišel :-).
Zimbra se vyskytuje v několika verzích (http://www.zimbra.com/products/product_editions.html), z nichž má smysl uvažovat o zdarma dostupné Open Source Edition nebo placené Network Edition. Instalační balík Network Edition 5.0.5 pro RHEL 5 x86-64 má cca 330 MB a můžete si k němu vyžádat 60denní evaluation licenci. Upozorňuji, že je velice vhodné mít na Zimbru vyhrazený celý server, třeba i virtuální. Nakonec totiž v režii Zimbry může běžet celkem velká spousta služeb od SMTP a IMAP přes LDAP a HTTP až po věci jako XMPP server pro Jabber klienty, takže na existujícím systému by pravděpodobně došlo ke kolizím portů a služeb. Lepší je tedy vytvořit si ve VMware nový server, dát mu 2 GB RAM a plácnout na něj základní CentOS. Instalace Zimbry pak je poměrně přímočará.
Můj první pokus sice zkrachoval na skutečnosti, že jsem měl CentOS a ne RHEL, ale Zimbra mi poradila, co mám udělat, aby byla spokojená. Nápověda u některých otázek pak nebyla zcela jasná a párkrát jsem váhal, jak odpovědět – chce to po mně jméno domény, nebo jméno serveru? Nebo snad alias, který už mám v DNS připraven? Nakonec se ale dílo zadařilo, instalace proběhla a Zimbra se rozběhla.
Jak už jsem naznačil, Zimbra obsahuje LDAP server, konkrétně OpenLDAP, pro uložení prakticky všech svých nastavení, od seznamu uživatelů a mailových filtrů, přes licenci a SSL certifikáty, až třeba po konfiguraci SMTP serveru, jejíž kousek v LDAP databázi vypadá takto:
zimbraMtaRestriction: reject_non_fqdn_sender zimbraMtaRestriction: reject_unknown_sender_domain
Z těchto dvou řádek není těžké uhodnout, že kdesi v útrobách Zimbry se skrývá i Postfix. Mimo něj v seznamu procesů narazíte ještě na dvě instance MySQL, Apache, Amavis, něco málo Perlu a spoustu Javy.
Verze Network Edition podporuje rozložení celého systému na několik serverů, můžete tedy mít vyhrazený server pro příjem pošty („MTA Server“), jiný pro webmail a IMAP (tzv. „mailbox server“ neboli „Zimbra Store“), další pro LDAP atd. Škálovatelnost dokonce jde ještě dál a většina těchto systémů může mít více instancí, takže v jednom mailovém systému můžete mít třeba několik odesílacích a přijímacích SMTP serverů a několik replik LDAP databáze.
Kromě toho, že Zimbra k životu potřebuje interní OpenLDAP pro ukládání svých nastavení, umí také využít externí MS ActiveDirectory nebo Novell eDirectory pro autentizaci uživatelů.
Musím říct že většinu výše uvedených vlastností jsem nevyužil. Naše firma má jen něco přes 30 lidí a na to cluster nepotřebuji. Taktéž se spokojím se zimbřím LDAPem a nebudu zavádět autentizaci proti externím adresářům. Ba co víc, Zimbru, jak si ještě ukážeme, nakonec přetvořím v autoritativní zdroj uživatelských účtů pro celou firmu.
Výchozí webové rozhraní, jak uživatelská tak administrační část, je založeno na Web 2.0 technologiích, tedy zejména na tolik omílaném AJAXu, JavaScriptu a CSS. Jak jinak v dnešní době, že? Výhodou je, že „to vypadá fakt pěkně“, ovládá se intuitivně, funguje bez problémů ve Firefoxu i v MS Internet Exploreru a navíc je poměrně šetrné k přenosovému pásmu. Nevýhodou je větší zatížení systému na straně klienta, což je znát zejména na laptopu při práci na baterky, kdy je webmail poměrně líný a větráček se přesto točí o 106.
Alternativně je možné přepnout z Web 2.0 do klasické „staromódní“ verze, kde každé kliknutí znamená načtení celé nové stránky. Nároky na výkon a schopnosti klienta jsou v tomto případě mizivé, nároky na přenos dat naopak vysoké, takže u pomalejších připojení, což jsou v našich končinách prakticky všechna, je rychlost opět neslavná. Každopádně z hlediska dostupnosti pro co nejvíc klientů hodnotím přítomnost „Standard version“ velmi kladně.
Jak „Standard“, tak „Advanced“ verze nabízejí v zásadě stejné funkce:
Mail, tedy poštovní úřad. Čtení, posílání, vyhledávání, třídění do složek. Zajímavostí je funkce „konverzace“, s jejíž pomocí lze v jednom pohledu zobrazit všechny maily logicky patřící do jednoho vlákna, ať už jsou uloženy v jakékoliv složce. Jedna zpráva může být v Inboxu, další v Sent a poslední třeba v Archive a stejně se ukážou pěkně pod sebou. Na druhou stranu ale neexistuje řazení podle vláken, takže třeba mailing listy se v Zimbře čtou dost blbě. Ve firemním prostředí, kde výrazně převažuje styl odpovědí „top posting“, to ale není příliš na závadu.
Address book, tedy adresář. Je možné mít několik nezávislých adresářů, jeden například pro adresy soukromé, další sdílený pro celou firmu a pak třeba jeden synchronizovaný z Thunderbirdu. K tomu všemu ještě existuje takzvaný GAL, tedy Global Address List, který obsahuje informace o uživatelích vedených v zimbřím LDAPu.
Calendar je kalendář. Opět můžete mít jeden soukromý, jeden uvolněný pro sdílení a uvidíte i sdílené kalendáře kolegů, které si k sobě namapujete. Kalendář je pochopitelně integrovaný s mailem, takže přijaté pozvánky můžete akceptovat nebo odmítnout a podle toho se zobrazí v přehledu dne. Události z každého kalendáře mohou mít jinou barvu, takže nakonec můžete dopadnout třeba takhle:
Za zmínku stojí záložka IM, která otevře okno „kecálka“ založeného na Jabberu. Bohužel v kecálkovi integrovaném ve webovém rozhraní je možné si psát jen s ostatními uživateli daného serveru. Nepřišel jsem na způsob, jak si Jabberovat třeba s někým na GMailu. Na Zimbru si však můžete přes XMPP protokol připojit jakýkoliv externí Jabber klient, například Kopete nebo Pidgin, takže nejste omezeni lehkou nemotorností webového kecátka.
Dalšími funkcemi je ukládání a případně sdílení souborů v záložce Briefcase, sdílení dokumentů ve stylu Wiki v záložce Documents a udržování úkolníčku – Tasks.
Webové rozhraní je velice intuitivní a použitelné a člověk má většinu často používaných akcí hned po ruce na jedno kliknutí. Objekty mají kontextová menu a kliknutí pravým myšítkem na zprávě mi nabídne nejen obvyklé možnosti jako Reply nebo Forward, ale i pokročilé akce jako vytvoření filtrovacího pravidla. Pokud náhodou kliknu přímo nad jménem odesílatele, bude mi navíc nabídnut Chat a editace kontaktu v adresáři. Stejně tak po kliknutí nad událostí v kalendáři mám možnost ji odmítnout, přijmout nebo editovat a při kliknutí nad jménem složky si mohu vybrat jestli ji chci třeba přejmenovat, sdílet nebo rovnou vyhodit veškerý obsah.
Přes všechno tohle ergonomické pohodlí má většina užitečných akcí přiřazenu i klávesovou zkratku. V seznamu mailů se mohu pohybovat šipkou, pomocí klávesy „Delete“ mazat nesmysly a pomocí „!“ označovat spamy pro učení spam filteru. Ani kvůli psaní nového mailu nemusím nikam myšovat, postačí mi zmáčknout „c“ (compose). Přepnutí na kalendář mi pak zajistí kombinace „gc“ (go to calendar) a zpátky do mailu se dostanu přes „gm“.
Povídání o uživatelském rozhraní by nebylo kompletní, kdybychom vynechali kapesní klienty. Zejména jde o různé mobily a PDA. V podstatě existují čtyři způsoby, jak se na cestách dostat ke svým mailům.
WAP je ten nejjednodušší způsob. Prostě do browseru svého mobilu naťukáte mobilní URL mailového serveru, třeba http://mail.domena.top/zimbra/m/ a dostanete se na velice úsporné leč funkční webové-wapové rozhraní. Tento způsob je asi nejnáročnější na přenesená data, zejména při komunikaci přes šifrované HTTPS, takže se při intenzivním používání může pěkně prodražit.
ZimbraME je javová aplikace dostupná ve verzích pro několik modelů „lepších“ telefonů. Musím říct, že její ovládání je docela těžkopádné a než se člověk dokliká k psaní nového mailu, tak nejspíš zapomene, co vlastně chtěl psát. Na druhou stranu je to teprve Beta, takže třeba se do finální verze použitelnost zlepší.
BlackBerry connector je asi nejlepší volba, pokud provozujete vlastní BES (BlackBerry Enterprise Server) nebo BPS (BlackBerry Professional Server) a v kapse máte BlackBerry nebo některý chytrý telefon s BB klientem. Telefon bude mít přístup ke všem vašim kontaktům a bude si synchronizovat kalendář, poštu i úkolníček. Navíc BlackBerry UI je docela propracované z hlediska použitelnosti, takže mobilní mailování je komfortní. Bohužel BES/BPS běží jen na Windows Serveru a navíc se musí platit licence nejen za ty Windows, ale i za každý připojený BlackBerry telefon a pak i měsíční a datové poplatky operátorovi. Takže BB vyjde hodně draho.
ActiveSync protokol - Nejvýhodnější volbou se nakonec ukázalo používání Mail for Exchange klienta, který je v základní výbavě mé Nokia E61. Zimbra Network Edition se totiž pro klienty umí tvářit jako MS Exchange server a MfE se Zimbrou bez problémů spolupracuje, synchronizuje poštu, kontakty a kalendář. Navíc na hlavní obrazovce telefonu ukazuje přehled nových mailů a nadcházejících událostí v kalendáři, takže komfort je srovnatelný s BlackBerry a provoz je přitom výrazně levnější.
Webové administrační rozhraní, opět plné Webu 2.0, je přístupné na portu 7071. Zimbra rozlišuje dvě úrovně administrátorských oprávnění:
Domain admin může vytvářet a mazat účty, nastavovat jim hesla a tak obecně pracovat pro blaho uživatelů.
Global admin může všechno. Nastavovat parametry serveru, monitorovat zatížení, přidávat a odebírat služby („Dneska se mi znelíbil POP3? Klik klik hotovo, POP3 už není!“) a dokonce i číst poštu ostatních uživatelů.
V čem však spočívá opravdová síla Zimbry je administrace z příkazové řádky, tedy CLI. Nejen že je možné spouštět, zastavovat a nastavovat služby, to by zas takový zázrak nebyl. Ono je navíc možné prohlížet, vytvářet a rušit účty, nastavovat sdílení složkám, kalendářům a všemožným jiným objektům nebo třeba připojovat (map/mount) sdílené složky jednoho uživatele někomu jinému. Tento výčet zdaleka není konečný. Prakticky všechno, co může dělat domain-admin nebo global-admin přes webové rozhraní, lze zařídit i z shellu. Pro naprostou většinu úkolů si navíc vystačíme jen se dvěma programy: zmprov pro akce týkající se konfigurace a uživatelů a zmmailbox pro akce s uživatelskými daty, maily, atd. Že ještě pořád nechápete, proč jsem z CLI tak unesen? Proč radši nemyšuji? Přece proto, že s pomocí zmprov a zmmailbox mohu psát skripty!
Jednoduchý příklad – účet catch.all má sdílený Address book, který slouží jako úložiště kontaktů užitečných pro celou firmu. Například tam patří adresy a telefonní čísla obchodních partnerů. Každý zaměstnanec by ho měl mít připojen ve svém profilu, jinak by v jej pochopitelně nemohl používat. Nepřišel jsem na způsob, jak tuhle jednoduchou akci provést přes web. Nasdílet adresář je jednoduché, připojit jednomu uživateli taky, připojit pěti dalším ještě jakž-takž, ale kdybych měl opakovat to samé pro 30 účtů nebo i mnohem víc v nějaké větší organizaci, tak bych brzo oddělal myš.
S pomocí skriptu ale jde o otázku pěti minut. Příkazem zmprov getAllAccounts získám seznam všech účtů na serveru a ve smyčce pro každý z nich udělám:
zmmailbox -m $USER createMountpoint "Shared Contacts" \ catch.all "Shared Contacts"
Jednoduché, efektivní, rychlé. Další věc, kterou jsem v CLI řešil, byly mailové aliasy. Naše firma má dvě domény: enterpriseit.co.nz a e-it.co.nz a každý uživatel by měl být dostupný pod oběma bez rozdílu. Zimbra sice umožňuje zřídit domain-alias, ale dočetl jsem se o různých problémech, takže Zimbrou doporučované řešení je přiřadit každému uživateli druhou adresu individuálně. Ale jak to udělat? Samozřejmě triviálním skriptem, který pro každý účet z domény enterpriseit.co.nz získaný od zmprov getAllAccounts zavolá zmprov addAccountAlias s aliasem e-it.co.nz.
Invenci se meze nekladou – pomocí zmprov a zmmailbox můžete modifikovat uživatelské signatury, nastavovat quoty, měnit hesla, filtrovací pravidla nebo třeba označit některou konkrétní zprávu v libovolném mailboxu jako přečtenou nebo nepřečtenou. Seznam akcí těchto dvou příkazů je dlouhý a vybere si každý.
Před mnoha a mnoha odstavci jsem zmínil, že zimbří LDAP používám i jako databázi uživatelských účtů pro ostatní naše systémy, takže si uživatelé musí pamatovat jen jedno jméno a heslo. To pak použijí pro VPN, pro připojení na WiFi AP, pro přístup na intranet nebo pro login na remote desktop server. Všechny tyto služby uživatele autentizují proti Zimbře. Aby to fungovalo, musí LDAP obsahovat údaje o uživatelově UID a GID, pro některé služby pak i homeDirectory a loginShell. Ve výchozím nastavení zimbřího LDAPu tyto atributy bohužel podporovány nejsou. Je proto potřeba zabrousit do hlubin konfiguračních souborů a přidat do OpenLDAPího slapd.conf jeden řádek:
include "/opt/zimbra/openldap/etc/openldap/schema/nis.schema"
Soubor nis.schema obsahuje definici posixAccount class a tato třída pak atributy uidNumber, gidNumber a spol.
Následně si do administračního rozhraní nainstalujeme plugin „Posix Accounts“ a máme prakticky hotovo. Všichni noví uživatelé, které od nyní vytvoříme budou mít nastavené posix atributy, všem existujícím je však budeme muset ručně nastavit. Jak jinak než z příkazové řádky:
zmprov modifyAccount michal.ludvig +objectClass \ posixAccount uidNumber … gidNumber …
Celý postup, včetně nastavení potřebných pro Sambu, je detailně popsán v Zimbra Wiki.
Pak už stačí jen ostatním serverům a službám říct, že mají používat LDAP pro autentizaci uživatelů a jako LDAP server uvést Zimbru. To je celé.
Pokud si chcete Zimbru na živo vyzkoušet, zavítejte na Zimbra Hosted Demo (http://www.zimbra.com/products/hosted_demo.php), dostanete tam na dva týdny uživatelský účet, včetně funkční mailové adresy, takže můžete směle experimentovat.
Pokud budete k Zimbře přistupovat z Thunderbirdu tak jako já, může se vám hodit plugin Zindus (http://zindus.com) pro synchronizaci Address booku mezi Zimbrou a TB.
Jestli jste zvyklí na MS Outlook, bude vás zajímat Zimbra Connector, který naučí Outlook hovořit nativním protokolem Zimbry, uživatelé jablíček zase vezmou za vděk Zimbra Apple Desktop Connectorem. Zkrátka nepřijdou ani uživatelé Apple iPhone. (http://www.zimbra.com/products/desktop_compatibility.html).
Pokud vám naopak nejlépe vyhovuje rozhraní Zimbry, ale radši byste ho měli jako samostatnou aplikaci a ne jen jako jednu záložku v prohlížeči, koukněte se na Zimbra Desktop (http://www.zimbra.com/products/desktop.html). Je to javová aplikace dostupná jak ve verzi pro Linux, tak pro Windows a Mac OS.
Vlastnosti, které jsem zde popsal, zdaleka nezahrnují všechny schopnosti Zimbry. Nezmínil jsem se o „Zimletech“, což jsou v pluginy rozšiřující schopnosti Zimbry o všemožné možné i nemožné vlastnosti, vynechal jsem propracovaný Backup systém a nezmínil jsem ani nástroje pro import dat z Outlooku a Exchange. Ale snad jsem vás navnadil dostatečně na to, abyste Zimbru při příštím upgradu mailového serveru vzali v úvahu.
"Zimbra" a Zimbra logo jsou ochranné známky Zimbra, Inc.
26.6.2008 01:01
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko
27.6.2008 02:28
TomCat | skóre: 11
| blog: Proti proudu
| Praha-západ
30.6.2008 22:12
OndraZX | skóre: 27
| blog: OndraZX
| Frydek-Mistek
mail "Pokus" to:jenda@abc.cz body:ahoj odeslu rychle e-mail zpravu. Takovych vychytavek je hodne - nejlepe je si prohlednout demo a hlavne Zimbra Assistant
S cestinou je problem, soucasny cesky preklad pro nase potreby prelozil spravce slovenskeho prekladu. Bohuzel nemam cas ani reportovat pripadne chyby, natoz se snazit opravit problemy ceskeho prostredi (napr. ve vyse zminovanem prikazovem radku - jinak cestina funguje bez problemu). Preklad je neaktualizovany - byl bych velmi rad, kdyby se toho nekdo ujmul.
Diky za tip Zindus - vyzkousim
Otazka: jestli jsem to pochopil spravne pouzivate Network Standard Edition - jekym zpusobem jste ji koupili - primo u Zimbry? nebo pres nejakeho distributora?
)
Dobry den,
pisete zde o tom, ze pouzivate Zimbru pres Thunderbird - jak se Vam to povedlo nastavit? Ani podle navodu se mi to nepovedlo rozbehat.
Diky za odpoved.
Martin J.
Co konkretne nefunguje? IMAP? SMTP? Zindus? Mate vsechny potrebne porty povolene na firewallu? Mare ty sluzby povolene v Zimbre?
Thunderbird chce neustale zadat heslo, protoze je dle nej chybne. Priznam se nevim, jak je v Zimbre povolit / pripadne jestli mam vubec opravneni k tomu je povolit,
Heslo na IMAP? Je v nastaveni TB zaskrtnuto "TLS if available"? A neni nejaka chybova hlaska v logach Zimbry?
Tak problem je udajne v tom, ze mame free verzi zimbry, ktera pry klienty nepodporuje...
Z toho duvodu pry neni zadna sance to kamkoliv dostat.. :'(
Free verze Zimbry nepodporuje treba MS ActiveSync a par dalsich proprietarnich protokolu. IMAP vsak urcite podporuje. Chyba bude nekde jinde...
Zimbra na vyzkoušení Zdarma zde: http://zikum.cz/hosting/groupware-hosting.html
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.