Winmail 整合 AD 域认证及账号同步

    Winmail 系统中的邮箱用户可以与 Windows AD 域用户进行整合,收发邮件的认证采用 AD 密码进行认证,提高系统的安全性,降低系统维护的复杂性。 白金版支持自动同步 AD 中账户到 Winmail 系统中。还支持第三方 LDAP、Radius 认证。 对于整合认证的账号 Winmail 系统中将不能再设置密码,如果要修改密码,请修改 AD 中用户密码。
以下文档中环境说明:
使用 Windows 2008 Server AD 域林为 magicwinmail.com,NETBIOS名为 magicwinmail
AD服务器 IP:192.168.120.195
AD域名下有示例用户:李伟登陆名是 liwei。
Winmail 服务器IP:192.168.120.119
Winmail 服务器中域名:magicwinmail.com
需 求:
    把 AD 域林 magicwinmail.com 下的用户(示例用户 liwei) 同步到 Winmail 域名管理中的 magicwinmail.com 域下,并且用户密码直接使用AD密码,不需要另外设置,可以正常收发邮件。
    示例用户liwei在AD域中的情况
    
整合AD用户到Winmail服务器有两种方法:

1. Winmail使用LDAP方式整合配置(不要求加入AD域)  推荐此方式
    使用 LDAP 协议方式连接,Winmail 服务器加入AD域或者不加入AD域都可以直接配置导入用户。通过此方式可以让 Winmail 和 AD 更灵活的结合使用,而不用关心 AD 域环境和 Winmail 服务器之间的关系和权限,使用 LDAP 的协议也可以实现 AD 和 Winmail 在不同物理网络时的整合。此方式可以同步AD中更多的用户信息,比如单位、办公室、描述等。建议使用此种方式配置。

2. Winmail加入 AD 域配置认证及账号同步
    把 Winmail 服务器加入到AD域中,可以方便AD对服务器的管理,对于已经全面使用 AD 来管理的企事业单位,这样的整合可以让 Winmail 系统溶合到现有的 AD 中,而不用担心管理问题。此方式同步时,同步到的AD用户信息少,如果AD较老且不要求信息完整,只要同步用户名密码可以考虑此方式。

特别说明:
* Winmail 6.2 及以后版本在使用AD自动同步【白金版功能】时,AD中用户信息的修改后,邮箱中对应用户信息会同步更改,AD 用户被禁用后邮箱用户也自动禁用,删除操作不会同步。如果需要自动删除长期不用的邮箱请在 Winmail 的管理工具》计划任务中配置相关的计划任务。
* Winmail版本 6.2及以上支持SPA验证方式,老版本不建议使用SPA验证方式。
* Outlook 在使用 SPA 验证时,不同的客户端配置不同。
  * 加入AD的机器使用 Outlook Express 和 Outlook 2003 时,不会再要求输入密码,可以直接通过验证。
  * 未加入AD的机器使用 SPA 验证、Office Outlook 2007及以上版本使用此验证时,会再要求输入用户名和密码,输入用户liwei和对应的AD密码即可。
  * Office Outlook 2010需要升级补丁SP2以上。