ZCS 开源版管理员指南.docx

1、ZCS 开源版管理员指南ZCS 开源版管理员指南Linux&Email 2011-02-10 16:35:57 阅读34 评论0 字号：大中小 订阅 本文转载于“Zimbra 中文社区” (c) 2009 版本：1.0ZCS 开源版管理员指南2“Zimbra 中文社区” (c) 2009 目录.3目标读者.3可参考的文档.3被推荐的第三方组件的支持. .3支持与联系信息.4第二章产品概览.5核心功能.5Zimbra 组件.6系统架构.7Zimbra 软件包.8典型的多服务器安装样例.10第三章邮箱服务器（Zimbra Mailbox Server）.12进站邮件的路由.12磁盘结构.12邮件存

2、储.12数据存储.13索引存储.13日志.14第四章目录服务.15目录服务概览.15LDAP 层次. 16Zimbra 模式定义.16账户验证.17内部验证机制.17外部LDAP 或活动目录验证机制. 17定制验证- zimbraCustomAuth.18Kerberos5 验证机制.19ZCS 对象. 19公司目录/全局地址列表（GAL，Global Address List）. 22刷新LDAP 缓存. 23第一章介绍ZCS 是一个功能丰富的消息和协作解决方案，包括对电子邮件、通讯录、日历、任务、文档创作等。目标读者本指南是面向那些负责安装、维护、支持ZCS 部署的系统管理员的。本指南的读

3、者应该具有如下一些知识和技巧：? 熟悉相关联的技术和标准，如RHEL 操作系统、SUSE 操作系统以及开源的一些基本概念? 电子邮件系统管理的实际经验可参考的文档下列文件可供参考：被推荐的第三方组件的支持只要有可能，Zimbra 公司会使用已经存在的行业标准和开源实现，特别是在备份管理、用户认证、系统平台、数据库管理等方面。但是，Zimbra 只能支持一些特定的实现，这些实现包名称说明Installation Guide安装指南针对单服务器及多服务器安装的指南，包括对系统需求及服务器配置的描述。Administrator Guide管理员指南本文档。提供了易于理解的产品概览、架构、服务器功能、

4、管理任务、配置选项和监控工具的信息。Release Note发布说明描述当前发布版本的新特性、升级步骤等。括在ZCS 的架构概览文档中。本文档也许偶尔会引用一些其它的工具，但必须声明这些并不表示Zimbra 会完全支持。支持与联系信息略第二章产品概览本章内容将描述Zimbra 应用程序的架构、集成点和信息流。ZCS 被设计成为一个端到端的可伸缩的、高可信的邮件解决方案。这个消息架构基于行业内熟知的开源技术和标准而构建，由一个服务器应用和客户端界面构成。架构包括如下一些优点：? 开源组件的集成。Linux, Jetty, Postfix, MySQL, OpenLDAP? 使用行业内的标准、开放

5、协议。SMTP、LMTP、SOAP、XML、IMA、POP 等。? 时髦的技术设计。Java、JavaScript 瘦客户端、DHTML? 水平的伸缩性。由于每个邮箱服务器都包括它自己的数据存储、消息存储、邮箱账号，所以你在扩充系统时可以豪不担心。要支持更多的账号，只需添加更多的服务器。RHEL的集群套件、SYMANTEC 的Veritas Cluster Server 等可以使用。? 基于浏览器的客户端。Zimbra Web Client 使用户可以通过浏览器享受所有ZCS 的功能。? 管理控制台。管理控制台用于管理账号和服务器。核心功能ZCS 是一个创新的消息和协作应用系统，提供了如下一些

6、解决方案：? 电子邮件? 群组日历? 通讯录? 任务管理? 基于Web 的文档管理和创作ZCS 的核心功能包括：? 邮件投递和存储? 邮件的索引? 邮箱服务器的日志? IMAP 和POP 支持? 目录服务? 防垃圾邮件保护? 防病毒保护管理员可以通过基于浏览器的管理控制台方便地管理域名、服务器、账号，包括：? 管理服务类型（COS，Class of Service)? 添加账号和域名? 针对每个账号或服务类型设置一些限制? 创建和编辑分发列表? 导入Microsoft Exchange 用户账号? 为一个域名设置虚拟主机? 管理服务器? 查看和管理服务器的状态? 控制使用情况Zimbra 提供

7、两个基于浏览器的客户端（ZWC，Zimbra Web Client），即采用Ajax 技术的高级ZWC 和使用标准HTML 技术的标准ZWC。ZWC 的特征包括：? 编写、阅读、回复、转发以及其它一些标准的电子邮件操作? 按照对话查看邮件? 给邮件加上标签? 执行高级搜索? 保存搜索结果? 使用日历安排日程? 共享日历、邮件夹、通讯录? 创建通讯录并共享? 设置邮箱的使用喜好，包括定义邮件过滤选项? 使用ZCS 文档来创建、组织和共享Web 文档? 使用任务功能来创建待办事项列表，并管理任务Zimbra组件Zimbra 架构中包括对使用标准协议的开源项目的整合。包括在Zimbra 中的第三方的

8、软件如下表列示，并且会在安装过程中被安装。所有的这些组件都已经经过测试和配置，可以和Zimbra 工作得很好。名称描述Jetty Zimbra 的软件运行时需要的Web 服务器系统架构下图显示了ZCS 的架构设计，包括捆绑的开源软件及其它推荐使用的第三方软件。Postfix 一个开源的邮件传输代理（MTA）OpenLDAP 一个开源的目录服务软件，提供用户的验证服务MySQL 数据库软件Lucene 开源的全文检索和搜索引擎ClamAV 防病毒软件SpamAssassin 反垃圾邮件过滤器Amavisd-new 在MTA 和内容过滤器之间提供接口James/Sieve 用于建立电子邮件的过滤规

9、则Zimbra软件包ZCS 包括如下应用程序包：? Zimbra Core包括核心的类库、实用工具、监控工具和基本的配置文件? Zimbra LDAPZCS 使用开源的OpenLDAP 作为目录服务，实现用户身份验证功能。每个账号都有一个唯一的邮箱ID 作为账号的主要身份编号。ZCS 中使用的OpenLDAP 已经经过定制。? ZimbraMTAPostfix 是一个开源的MTA 程序，通过SMTP 协议接收邮件，并通过LMTP 协议将邮件传递到合适的Zimbra 邮箱服务器中。Zimbra MTA 包中还包括防病毒软件和反垃圾邮件软件。? Zimbra Store（邮箱服务器）包括了邮箱服务

10、器需要的各个组件，包括Jetty，一个开源的Servlet 容器。在ZCS 中，邮箱服务器被称作mailboxd。每个账号只能在一个邮箱服务器中存在；每个账号都会对应一个邮箱，其中包括所有的邮件和附件。邮箱服务器中包括如下组件：? 数据存储是一个MySQL 数据库，内部的邮箱ID 与用户账号相关联。数据存储将邮箱ID 与用户的OpenDLAP 账号进行映射。数据存储包括每个用户的标签定义、邮件夹、日程安排、联系人，同时也包括每封邮件的状态、所在邮件夹等。? 消息存储消息存储是用来存放邮件及附件的。消息以MIME 格式存放。有多个收件人的邮件，在消息存储中只存放一份。? 索引存储索引和搜索技术由

11、Lucene 提供。索引文件基于单个邮箱。每个服务器都有单独的数据存储、邮件存储和索引存储。当新邮件到达时，服务器会安排一个新的线程来对邮件做索引。? Zimbr-SNMP非必须安装。如果你决定使用它来做监控，建议在每种服务器（邮箱服务器、LDAP、MTA）上都安装。Zimbra 使用swatch 查看syslog 输出生成SNMP 信号。? Zimbra Logger可选择性地安装于一台邮箱服务器上。这个组件用于syslog 的聚合和报表。如果未安装，则无法在管理控制台中看到服务器的统计信息。? Zimbra Spell可选择性安装。它是一个开源的拼写检查工具，用在ZWC 中。如果此包安装了

12、，Zimbra-apache也会被安装。? Zimbra Proxy可选择性安装。使用代理服务器可以将同一个域名的邮箱分散到不同的服务器上。? ZimbraMemcachedMemcached 是一个与代理相关的包，当代理包被安装时，它也会被安装。运行代理服务器的必须使用Memcached，多台代理可使用同一台Memcached 服务器。典型的多服务器安装样例实际的配置取决于多种因素，如邮箱的数量、容量限制规则、性能需求、已有的网络结构、IT的策略、安装方法论、垃圾邮件过滤需求等等。下图显示了一个典型的配置（包括进站的流量和用户连接）。上图描述：1.进站的互联网邮件到达防火墙和负载均衡设备，然

13、后到达边界MTA 作垃圾邮件过滤。2.经过过滤的邮件到达第二个负载均衡设备。3.一个来自外部的用户连接也到达第二个负载均衡设备。4.进站的互联网邮件到达任何一个MTA 并进行防病毒和反垃圾邮件过滤。5.MTA 从LDAP 复制服务器上取到收件人的信息。6.在得到收件人的信息后，MTA 服务器将邮件发送到指定的邮箱服务器中。7.内部最终用户的连接直接到后台服务器。8.Zimbra 服务器的备份可被处理到一个挂载的硬盘上。第三章邮箱服务器（Zimbra Mailbox Server）邮箱服务器是一个专用服务器，管理所有的邮箱内容，包括邮件、联系人、日程安排、文档、附件等。邮件接收自MTA 服务器，

14、经过所有创建的过滤器后到达邮箱服务器。邮件会被索引。每个邮箱服务器只能看到它自己管理的存储卷。邮箱服务器无法知晓、读取或写入到其它邮箱服务器。在单服务器环境中，所有的服务都在一台服务器中，在安装过程中磁盘被划分为多个分区以满足服务的需要。进站邮件的路由MTA 服务器通过SMTP 协议接收邮件并把每封邮件通过LMTP 协议投递到合适的邮箱服务器中。每当邮件到达时，ZCS 服务器会启动一个新的线程来完成索引。磁盘结构邮箱服务器包括如下卷：? 消息存储，位于/opt/zimbra/store? 数据存储，位于/opt/zimbra/db 下的MySQL 数据库? 索引存储，位于/opt/zimbra

15、/index? 日志文件，位于/opt/zimbra/log邮件存储邮件存储是用来存放邮件的，包括邮件的正文和附件。邮件以MIME 格式存放。邮件存储位于每台服务器的/opt/zimbra/store 目录下，每个邮箱都有一个以ZCS 内部ID 命名的专用目录。备注：邮箱内部ID 是服务器唯一的，不是系统唯一的。单副本存放单副本存放技术允许有多个收件人的邮箱在系统中只存放一份。在UNIX 系统中，每个用户的邮箱目录都包括一个到真实文件的硬连接(hard link)。数据存储ZCS 的数据存储是一个MySQL 数据库，包含了与邮件相关的元信息，如标签、会话、或在文件系统中的指针。每个账号（邮箱）

16、只存在于一台服务器上。每台服务器有它自己独立的数据存储，包括它所管理的所有邮箱。数据存储包括：? 邮箱账号的映射。在ZCS 中，主要的标识是邮箱的内部ID，无论是用户名还是账号。邮箱内部ID 在一台服务器中是唯一的。数据存储将邮箱内部ID 映射到用户的OpenLDAP账号。? 每个用户的标签定义、邮件夹、联系人、日程安排、任务、邮件过滤器等? 关于每封邮件的信息，包括是否被阅读、与哪个标签相关联等。索引存储索引和搜索技术由Apache Lucene 提供。邮件在进入系统的时候被自动索引。每个邮箱都有一个对应的索引文件。管理员或用户无法管理或配置索引进程。图3：分词索引过程索引过程如下：1.MT

17、A 将进站的邮件投递到邮箱服务器中2.邮箱服务器分析邮件，包括邮件头、正文及所有可读的附件如PDF 或DOC，进行分词索引。3.邮箱服务器将分词索引传递给Lucene 来创建索引文件备注：分词索引是一种按单词进行索引的方法。一些常见的形式，如电话号码、电邮地址、域名等分词如上图所示。日志ZCS 部署由很多个第三方的组件构成。每个组件都可能产生它自己的日志。一些ZCS 日志信息会生成SNMP Trap，你可以用SNMP 监控工具来捕获。详见监控ZCS 服务器。第四章目录服务Zimbra 目录服务是一个运行着包括Zimbra 的模式定义（Schema）的OpenLDAP 版本。本章将描述目录服务如

18、何被用于用户认证和账号配置及管理。备注：Zimbra 支持与微软活动目录的集成。请与Zimbra 的支持人员联系以获得针对某个特定目录的实现场景。LDAP 服务器在安装ZCS 的被指定。每台服务器都有一个属于它自己的条目，其中包含与操作有关的参数属性。另外，还有一个全局的配置对象，当其它服务器未设置相关属性的时候会使用它的默认值。这些属性当中的一部分可以通过管理控制台进行修改，其余的可以通过命令行工具来修改。目录服务概览LDAP 目录服务通常用来存放得到网络使用许可的用户或设备信息。在Zimbra 的LDAP 使用OpenLDAP 来存放数据。图4 显示了Zimbra 系统中的目录服务与其它服

19、务通讯的流量。MTA 和邮箱服务器从目录服务中读取、写入数据。边界的MTA 不与目录服务连接，它使用DNS 服务器中的MX 记录来决定向何处投递邮件。位于每个LDAP 核心的一个使用模式定义进行组织的数据库。模式定义确定了存放在数据库中的对象类型以及它们的属性类型。每个LDAP 目录条目由一系列的属性构成，具有一个全局唯一的辨别名（DN）。一个条目所允许的属性是由这个条目所关联的对象类所决定的。对象类决定了一个条目所引用的对象类型和存储的数据。条目的对象类决定了条目的结构，也就是一个结构性对象，它是无法被改变的。LDAP层次LDAP 目录以层次化的树形结构进行组织。在ZCS 系统中，这个树形结

20、构基于互联网域名进行组织。LDAP 条目通常包括诸如用户账号、组织或服务器等。图5 显示了ZCS 的LDAP 层次化结构。每个条目都与特定的对象类关联。请参见ZCS 的LDAP 模式定义，来了解ZCS 使用的完整的辅助对象类。Zimbra模式定义每个LDAP 实现都一个模式定义来定义它的域名结构、账号属性及其它的数据结构。ZCS 包括了一个经过定制的LDAP 模式定义，它扩展了OpenLDAP 自带的能用模式定义。ZCS 服务器、管理控制台、命令行工具以及其它管理工具都依赖于这些模式定义。ZCS 模式定义中建立的属性和对象类都以“zimbra”为前缀，如对象类zimbraMailRecipie

21、nt有一个名zimbraAttachmentsBlocked 的属性。ZCS 的模式定义被认为是一个基线的模式定义。随ZCS 一直分发的OpenLDAP 安装工具会自动安装如下几个模式定义：? core.schema? cosine.schema? inetorgperson.schema? zimbra.schema注意：你不能修改ZCS 自带的模式定义。账户验证本节描述了账户验证的机制，包括：? 内部? 外部LDAP? 外部活动目录内部验证方法假设OpenLDAP 目录服务器上运行着ZCS 模式定义。外部LDAP 和外部活动目录尝试连接指定的LDAP 服务器，使用提供的用户名和密码。这个方

22、法可以用在这样的一个电子邮件环境中：活动目录用于验证、ZCS-LDAP 用于其它所有的与ZCS 相关活动。这样的话，要求用户信息同时存在于OpenLDAP 和活动目录中。验证方法的设置是基于域名的，由zimbraAuthMech 属性决定。如果这个属性未被设置，默认使用内部验证。内部验证机制用OpenLDAP 存放账户信息时，userPassword 属性的值以SSHA 算法进行摘要。这个信息并不用于连接目录服务器，而是用来比较目录服务器中的信息。外部LDAP或活动目录验证机制与内部验证机制不同，外部验证方法使用提供的用户名和密码连接远程的目录服务器。如果连接成功，则表示密码有效，连接也会被关

23、闭。两个额外的域相关的属性用来确定使用外部验证的细节： zimbraAuthLdapURL 和zimbraAuthLdapBindDn。zimbraAuthLdapURL属性和SSL该属性包含外部目录服务器或活动目录服务器的URL，格式如下：ldap:/ldapserver:port/其中ldapserver 是外部目录服务器的IP 地址或主机名，port 是端口号码。你也可以使用全指定主机名来代替端口号码，如：ldap:/server1:389ldap:/如果使用SSL 连接，则应用ldaps 代替ldap，且SSL 证书必须被配置为可信证书。zimbraAuthLdapBindDn 属性该

24、属性是一个格式化的字符串，用于指定连接活动目录服务器的用户名。定制验证- zimbraCustomAuth除了内部验证和外部验证外，你还可以使得定制验证机制。定制验证机制使你可以使用其它类型的身份库。当AuthRequest 请求发起的时候，ZCS 会为根据当前域名来执行后台的验证。如果使用外部验证机制，ZCS 会调用注册的定制验证处理器来验证用户信息。要设置定制验证机制，需要为域名配置定制验证机制并注册定制验证处理器。为域名配置定制验证机制为一个域名配置定制验证机制，需要设置该域名的LDAP 属性zimbraAuthMech 的值为custom:注册的定制验证机制处理名。比如：zmprov

25、modifydomain domain|id zimbraAuthMech custom:sample.其中“sample”为一个已经注册的定制验证处理器的名称。注册定制验证处理器要注册一个定制验证处理器，需要在扩展类的init 方法中调用ZimbraCustomAuth.register 方法。类名：com.zimbra.cs.account.ldap.zimbraCustomAuth方法：public synchronized static void register String hndlName,zimbraCustomAuth handler备注：定义? hndlName 是在ZCS

26、 的验证体系中注册的验证处理器名称。? Handler 是一个被调用来进行验证处理的对象。这个对象必须是ZimbraCustomAuth 的子类。例子：public class SampleExtensionCustomAuth implements ZimbraExtension public void init() throws ServiceException ZimbraCustomAuth.register(sample, new SampleCustomAuth();.定制验证是如何工作的当接受到一个AuthRequest 请求时，如果当前域名被配置为使用定制验证机制，ZCS 验证框架会调用ZimbraCustomAuth 实例中的相应方法。用户账户对象（包括用户名、密码）被作为ZimbraCustomAuth.authenticate()的参数进行验证。用户账户对象的所有属性都可以提取。Kerberos5验证机制Kerboros5 验证机制通过外部的Kerberos 服务器来