Es/4.1/OpenChange (Reemplazo Nativo de Microsoft(R) Exchange Server)
Introducción a la tecnología OpenChange
Zentyal integra OpenChange, el único reemplazo nativo para las tecnologías y protocolos presentes en Microsoft® Exchange Server. Gracias a OpenChange, los clientes de Microsoft Outlook® pueden continuar operando sin ninguna interrupción.
OpenChange consigue esta compatibilidad nativa gracias a que implementa los mismos protocolos que los clientes de correo electrónico y trabajo en grupo: MAPI (1) y, opcionalmente, ActiveSync®. Estos protocolos gestionan no sólo el correo electrónico, sino también calendarios, listas de contactos y tareas.
Además de ser un servidor de protocolo MAPI, OpenChange actúa de puente entre MAPI y los protocolos estándar de correo y calendario (IMAP, SMTP, CalDAV, etc), manteniendo ambas plataformas sincronizadas. Un mensaje en la carpeta de entrada de Microsoft Outlook® también será visible si accedemos a la misma cuenta a través de un cliente como Mozilla™ Thunderbird, usando el protocolo IMAP, si lo borramos, el mensaje desaparecerá en ambos despliegues. De forma similar, una entrada de calendario creada desde Mozilla™ Lightning usando el protocolo CalDAV, será visible y modificable desde nuestro cliente Microsoft Outlook®.
El propio componente OpenChange se ejecuta como un plug-in contenido dentro de la arquitectura de Samba4, usando sus protocolos de autenticación y la "Global Address List", que contiene los datos de contacto de la propia organización.
Como hemos mencionado anteriormente, un cliente Microsoft Outlook® puede comunicarse nativamente con este componente, no es necesario volver a unir al dominio, reconfigurar, o instalar software externo.
Además de los accesos internos, podemos ver en el diagrama que se muestra abajo que nuestros clientes Microsoft Outlook® pueden conectar desde cualquier punto de Internet gracias al componente MAPI Proxy (Outlook® Anywhere) que encapsula el protocolo usando HTTP/RPC.
Zentyal ofrece también una plataforma de Webmail integrada con OpenChange. Mediante esta plataforma, podemos ofrecer a nuestros usuarios una pasarela HTTP/HTTPS para gestionar todas las características de correo y groupware mencionadas.
Vista general de la Arquitectura
El siguiente diagrama muestra una vista general de la relación que tiene OpenChange con los otros componentes de Zentyal, asi como sus interacciones y los protocolos usados.
Al final del diagrama se muestran varias conexiones que acceden a nuestro correo electrónico y a la infraestructura de groupware. Empezando por las conexiones con los clientes de Microsoft Outlook®, pasando por las conexiones con clientes internos y externos, terminando con las conexiones para la interfaz webmail y los dispositivos móviles.
Los clientes de Microsoft Outlook® localizados en las redes internas esta configurados típicamente con el protocolo MAPI; mientras que aquellos conectados desde la red externa deben usar la tecnología Microsoft® Outlook Anywhere.
La infrastructura desplegada para procesar estas conexiones se entiende con mas claridad considerando todo el sistema como un sistema de capas. La primera capa estaría situada al nivel del Apache y el HA Proxy, las conexiones en esta capa se dirigirán al componente apropiado de la capa que se encuentra debajo, sirviendo como proxies frontales. En la segunda capa se pueden encontrar OpenChange y Samba que aceptarán conexiones para proveer los datos y permitir una autenticación apropiada. La tercera capa se encarga de los datos, que incluye correos electrónicos, eventos, contactos y las tareas que son almacenadas y administradas en la base de datos MySQL y en las carpetas IMAP. Para usar los protocolos IMAP y SMTP (enviar y almacenar correos electrónicos) también puedes encontrar PostFix y Dovecot.
Consulta MAPI interna (línea discontínua naranja y línea discontínua gris)
En este caso el cliente se puede comunicar nativamente con OpenChange usando el protocolo MAPI/RPC. OpenChange se encargará de consultar los otros componentes para la respuesta.
Microsoft® Outlook Anywhere (línea contínua naranja y línea contínua gris)
El protocolo MAPI/RPC previamente mencionado se encapsula dentro de una sesión HTTP(S), así llegará a la primera capa donde finalmente Apache, usando el RPCproxy WSGI, lo encapsulara y realizará las llamadas MAPI al componente OpenChange.
Acceso del Navegador y ActiveSync® móvil (línea verde)
Las peticiones por Webmail son HTTP puras realizadas por el cliente web, mientras que ActiveSync® esta basado en XML dentro de HTTP. En ambos casos, la primera capa terminará con Apache usando un 'proxy_pass' al demonio 'sogod'.
Servicios EWS (líneas discontínua y contínua grises)
Estas peticiones usan SOAP/XML sobre HTTP. Tal y como muestra el diagrama, pueden ser realizadas desde clientes externos e internos. Las peticiones alcanzarán la primera capa , que se encarga de su enrutamiento hacia el OCSManager. El OCSManager hará las consultas apropiadas para devolver la información de Autodiscover y las operaciones EWS después de consultar Samba y OpenChange.
Configurando un servidor de OpenChange®
Hay algunos pasos que dar antes de ejecutar la provision de OpenChange. Si accedemos a Correo ‣ OpenChange se mostrarán algunos paneles de información mostrando los pasos necesarios para seguir con la configuración inicial. El wizard de instalación hará la mayoría de los pasos automáticamente si has incluido el módulo de Mail and Groupware.
- Habilitar el módulo de OpenChange en Estado de los Módulos.
- Crear un dominio de correo virtual. Para crearlo ir a Correo ‣ Dominios virtuales de correo. Ese dominio será usado para provisionar Samba y Openchange.
- También necesitarás un certificado. Para crearlo ir a Autoridad de certificación ‣ General, sin olvidar rellenar todos los campos.
Una vez que has comprobado todos los puntos anteriores, puedes elegir el nombre de la Organización. Tienes un checkbox disponible en el caso que quieras proveer a todos los usuarios existentes de tu directorio con una cuenta de OpenChange. Cuando hagas clic en Puesta en marcha, aparecerá un proceso de guardado de cambios.
Una vez completada la puesta en marcha (o si todo ha sido auto-configurado por los wizards de instalación), verás la siguiente interfaz:
Esta interfaz puede tardar unos segundos en cargarse porque necesita consultar varios componentes de Zentyal para proveer toda la información de las capacidades de los dominios de correo virtual.
En la parte superior de la interfaz hay un panel donde se puede ver el nombre de la organización y un botón para desconfigurar y destruir toda la información de directorio junto con las cuentas de usuario relacionadas con OpenChange. Sólo necesitarás ésta opción si quieres cambiar el nombre de la organización.
El panel en el medio es el mas complejo, en él se pueden ver el estado detallado de cada una de los dominios virtuales de correo que has configurado desde Correo ‣ Dominios virtuales de correo. Vayamos por partes:
Dominio DNS gestionado por Zentyal
Tanto si el módulo DNS de Zentyal está actuando de autoridad de certificación del dominio como si no lo está, si estas configurando tu dominio en un external DNS esta opción no te hará falta. Ambos tudominio.nombre y autodiscover.tudominio.nombre necesitan ser resueltos por el cliente. Si esta comprobación está en verde, significa que Zentyal ya esta resolviendo estos nombres.
Certificado en orden
Los clientes de Microsoft Outlook® van a necesitar un certificado que tenga los mismos common names de los hosts especificados en el DNS. Usando el botón de expedir certificado, puedes crear automáticamente los certificados apropiados para este dominio. Si la casilla está en verde entonces ya tienes el certificado en lugar y podras revocarlo con el botón.
Registro DNS AutoDiscover
Tanto si el autodiscover.tudominio.nombre está presente en el dominio de Zetyal como si no lo está, este nombre de host y su certificado asociado son necesarios para autoconfigurar los clientes de Microsoft Outlook®.
Outlook Anywhere® (no SSL)
La pasarela MAPI/RPC detallada en la vista general de la arquitectura, necesita procesar el tráfico de Outlook Anywhere®. Versión No SSL.
Outlook Anywhere® (SSL)
La pasarela MAPI/RPC detallada en la vista general de la arquitectura, necesita procesar el tráfico de Outlook Anywhere®. Versión SSL.
Webmail
La aplicación de webmail tiene un link donde puede ser accedida. Tendrá el formato http(s)://<tu_IP_o_dominio>/webmail.
En el caso del ejemplo anterior:
- zentyal-domain.lan esta administrado por Zentyal.
- autodiscover.zentyal-domain.lan también esta presente en el DNS.
- Tengo un certificado apropiado para ambos nombres.
- Puedo acceder mi cuenta usando Outlook Anywhere®, solo con SSL.
- Puedo acceder mi webmail usando la URL: https://zentyal-domain.lan/webmail.
Haciendo clic en el botón editar situado a la derecha, puedes habilitar o deshabilitar cualquiera de esas capacidades para el dominio virtual de correo.
Finalmente, en el panel de la parte inferior puedes comprobar cual es el nombre de la Autoridad de Certificación actual y también puedes descargarla desde el botón. Hay que tener en cuenta que para confiar en cualquier servicio seguro de Zentyal, incluidos los servicios de correo, el cliente necesita confiar primero en la Autoridad de Certificación asociada. Esto es especialmente importante para el Outlook Anywhere®.
Para acceder a la cuenta de correo usando Microsoft Outlook®, un usario necesita tener las capacidades de Openchangehabilitadas en su cuenta. Se puede comprobar en Usuarios y equipos ‣ Gestionar, haciendo clic en el usuario y desplegando los plugins de correo en la parte inferior derecha.
Siempre puedes configurar si los usuarios tendrán Openchange habilitado por defecto desde la plantilla de usuario, en Usuarios y equipos ‣ Plantilla de Usuario.
Configurando el cliente de Microsoft Outlook®
Existen básicamente tres escenarios de configuración diferentes:
- El cliente está dentro de la red de la organización y unido al dominio
- El cliente está dentro de la red de la organización pero no unido al dominio
- El cliente quiere usar Microsoft Outlook® desde una red externa (Outlook® Anywhere)
Si se habilita el servicio de autodiscover facilitará mucho el proceso para el usuario, porque todos los parametros se configurarán por defecto.
El primer caso es bastante sencillo de configurar, dado que las credenciales del usuario ya se han almacenado al iniciar sesión. Asumiendo que has iniciado sesión con el mismo usaurio de dominio que quieres usar para el correo , tan solo tienes que hacer clic en el wizard.
Las credenciales se detectan automáticamente.
Es posible que aparezca una advertencia de servicio de certificado si no has importado el certificado CA de Zentyal en el cliente, en este caso es seguro continuar sin problemas.
Las credenciales se detectan automáticamente, y el cliente de correo estará listo para su uso.
Si el cliente está ubicado dentro de la red de la empresa pero no se ha unido al dominio, la única diferencia será que tendremos que introducir nuestros credenciales de usuario.
Si quieres usar Outlook® Anywhere, normalmente cuando se accede desde una red externa, se requiere importar el certificado CA de Zentyal.
Hay que almacenar el certificado CA en el cliente, se puede usar la interfaz de OpenChange para descargarlo.
Haz clic en Instalar Certificado y ubícalo en el almacenamiento de Entidades emisoras raíz de confianza.
Una vez importado el certificado CA de Zentyal, deberías poder crear tu cuenta si el servicio de autodiscover está habilitado en tu dominio virtual y el Cortafuegos está permitiendo el acceso a los puertos 443 y 80. Recuerda que el cliente debería poder resolver tanto tudominio.nombre como autodiscover.tudominio.nombre en la dirección IP correcta.
Exportar/Importar cuentas de Microsoft Outlook®
Si deseamos migrar nuestros datos de correo y groupware hacia Zentyal, podemos hacerlo utilizando ficheros PST (2).
Aunque es posible migrar tanto correos como calendarios y contactos exportando a un fichero PST, se recomienda migrar en primer lugar el correo entre servidores, usando una herramienta como IMAPCopy y exportar/importar via PST únicamente los calendarios y contactos asociados con el usuario.
Configuración de ausencias (Out of Office) desde el cliente de Microsoft Outlook®
Uno de los filtros más habituales que desean configurar los usuarios es la respuesta automática en caso de no encontrarse disponibles para responder el correo electrónico durante varios días, de forma que nuestros interlocutores sean conscientes de que no van a recibir una respuesta en breve.
Desde nuestro cliente de Microsoft Outlook®, podemos acceder al asistente para configurar Out Of Office
Podrás configurar las siguientes opciones.
Desde esta interfaz se puede configurar el periodo de tiempo y el mensaje con el que se responderá al emisor. Es importante tener en cuenta las limitaciones actuales que se detallan al final de este documento.
Soporte ActiveSync®
El protocolo ActiveSync® es ampliamente utilizado para sincronizar dispositivos móviles.
Existe un paquete de software que prove esta funcionalidad en conjunción con OpenChange® (sogo-ActiveSync®). Se recomienda instalarlo desde la línea de comandos con:
sudo apt-get install sogo-activesync
Tras haberlo instalado, podrás activar o desactivar la opción de ActiveSync® desde la interfaz de OpenChange®.
hay diferentes dispositivos compatibles con varias funcionalidades de ActiveSync® (3)
Cliente de Webmail OpenChange®
Además de los accesos con el cliente nativo, puede resultar de gran utilidad contar con una plataforma basada en web desde donde poder acceder a todos nuestros correos electrónicos, calendarios y libretas de direcciones. De esta manera, nuestros usuarios podrán acceder a su correo e información de grupos desde cualquier lugar usando simplemente un navegador web.
Una vez hayamos activado el módulo, podemos acceder a nuestra plataforma web usando la URL http(s)://<server_IP_orFQDN>/webmail/
Primero se mostrará la interfaz del correo.
Usando el menu desplegable de la parte superior de la interfaz, podemos acceder a la interfaz de calendarios:
Así como las libretas de contactos, desde donde podemos consultar la lista global (GAL, Global Address List), que contiene todos los usuarios registrados en nuestro dominio, nuestras listas personales de contactos y crear listas de distribución para el correo electrónico
Limitaciones conocidas
Es importante indicar que el conjunto de funcionalidades presentes en el cliente de Microsoft Outlook® es considerable, en este documento estamos evaluando el conjunto típico de funcionalidad que un usuario medio requerirá para completar sus tareas diarias.
La siguiente lista de funcionalidades no están disponibles en este momento para las versiones de Microsoft Outlook® más comunes (2003, 2007, 2010):
- Sólo los usuarios contenidos en la OU 'Users' pueden tener cuenta de correo OpenChange
- Enviar un email con otro email embedido
- Usar caracteres especiales en los nombres de los destinatarios (como áéíóúñÑ)
- Enviar un contacto embebido en un correo usando el formato de Microsoft Outlook® (el formato vCard está funcionando)
- Asignar una tarea a un contacto
- La funcionalidad 'Out of Office' solo está disponible para Microsoft Outlook®
2007 y 2010
- Si se activa 'Out of Office' solo se tiene en cuenta la fecha, las horas son ignoradas
- No se pueden configurar diferentes mensajes de ausente de la oficina, tan solo uno para todos los recipientes
- No se pueden utilizar los carácteres '.' o '/' para los nombres de los directorios de correo
- No se puede utilizar el carácter espacio ' ' en los nombres de usuario del directorio, no funcionará correctamente con OpenChange.
- No hay actualizado de correos automático, el usuario necesita enviar/recivir manualmente o configurar un mecanismo de encuestas.
- No hay soporte para carpetas públicas
Ejemplos prácticos
Ejemplo práctico A
En este ejemplo vamos a configurar una cuenta OpenChange desde cero partiendo de un servidor Zentyal con OpenChange instalado (los módulos dependientes se instalarán automáticamente) y los módulos activados. Necesitaremos un dominio virtual de correo.
Y poner en marcha OpenChange para todos los usuarios.
Necesitaremos una autoridad de certificación. El módulo de OpenChange la emitirá automáticamente desde el botón de emitir certificado
Para terminar de configurar OpenChange habilitaremos los certificados para el servicio de Correo.
Tenemos OpenChange preparado, ahora comprobaremos desde un cliente Windows® que está funcionando correctamente. Vamos a 'Usuarios y Equipos--> Gestionar' y creamos un usuario.
Configuramos la cuenta en Microsoft Outlook® desde el cliente.
Si la configuración es correcta veremos la siguiente pantalla.
Pasamos la alerta de seguridad.
Hacemos una prueba para ver que la cuenta funciona correctamente.
Ejemplo práctico B
En este ejemplo usaremos el servicio webmail de Zentyal con la cuenta creada anteriormente en el ejemplo A. Webmail se puede acceder desde http(s)://<IP_or_FQDN>/webmail/
Activa el servicio de webmail, accede a él con la cuenta creada y envíate un correo a ti mismo.
