Même si Zimbra 9 est sorti, je garde ma production en version 8 afin de ne pas souffrir de bug inhérents aux versions majeurs.

Mais jusqu’à peu, je n’avais pas encore pu changer de version d’OS car Zimbra ne supportais pas CentOS 8 (sorti le 07/05/2019), et c’est chose faite depuis le patch 11 (sorti le 02/07/2020). Il aura fallu attendre un peu moins d’un an avant de pouvoir effectuer la mise à jour…

A partir de la, j’ai pu monter une nouvelle VM et appliquer la méthodologie de migration « old school » par rsync. Ça m’a permis de constater que je traine cette plateforme Zimbra depuis un sacré moment car le dossier zmstat contient des statistiques remontant jusqu’au 16/01/2012 (Zimbra 8 allait sortir).

Comme il y a un sacré gap entre les versions, j’ai du adapter la procédure

1. Mise a jour du serveur CentOS 6 ainsi que Zimbra dans son dernier patch disponible

yum -y update

Une fois que c’est fait et que la machine est redémarré, on peux commencer la procédure de copie des fichiers

2. On arrête le service Zimbra afin d’éviter toute écriture

su - zimbra
zmcontrol stop

3. puis en root on commence la copie

rsync -e ssh -axvzKHS /opt/zimbra/ $NEW_ZIMBRA_IP:/tmp/zimbra

4. Entre temps, on peux lancer sur le nouveau serveur l’installation uniquement des packages de Zimbra. Il s’agit d’une installation classique, je ne vais donc pas m’étendre sur le sujet. Il faut bien veiller à sélectionner les mêmes paquets installés sur le serveur source et avoir le même nom que le serveur original.

./install.sh -s
...

5. Une fois l’installation terminé, on peux bouger (pas supprimer c’est important pour la suite) le dossier d’installation puis le remplacer par la copie du serveur source. Histoire d’être sur d’avoir les bonnes permissions sur les fichiers fraichement copié, on réapplique les bonnes permissions

mv /opt/zimbra /opt/zimbra_clean
mv /tmp/zimbra /opt/
/opt/zimbra/libexec/zmfixperms --verbose --extended

6. Dans la procédure, il faut relancer l’installation mais elle ne va pas se dérouler comme prévu car Zimbra tente d’exécuter des scripts perl destiné à une version 6 de CentOS. Il faut donc écraser le dossier existant avec le dossier d’installation initial :

mv /opt/zimbra/common/lib/perl5/ /opt/zimbra/common/lib/perl5_bak
mv /opt/zimbra_clean/common/lib/perl5 /opt/zimbra/common/lib/

Et maintenant on peux reprendre la procédure d’installation et démarrer notre Zimbra sur un CentOS 8 propre. Enjoy.

PS : Si vous utilisez ZeXtras, ce qui est mon cas, il faut le réinstaller.

Histoire de bien démarrer l’année ; bonne année en passant 🙂 . J’ai pris un peu de temps afin d’ajouter la dernière documentation SOAP de Zimbra au format Docset.

Pour ceux qui ne connaissent pas, Docset est un format de documentation utilisé par les logiciel kapeli et zealdocs.
Ces logiciels permettent une lecture hors ligne de ces documentations et autres snippets. Pratique quand on se déplace régulièrement.
De nombreuse intégrations existes. On retrouve des connecteurs avec les IDE les plus populaires ; ATOM, PyCharm, etc. Ceux-ci permettant une recherche de la documentation d’une fonction directement depuis l’IDE.

Je ne sais pas quand la version 8.8 de la documentation sera disponible, mais je l’ajouterai quand elle sera publique.

Pour ceux qui utilisent Dash la documentation est déjà disponible dans la section « User Contribution », pour les autres l’intégration est expliqué dans le Readme du repostiory github.

Cela faisait longtemps une éternité que je n’avais pas écrit un billet.
Je profite d’avoir enfin un peu de temps pour le faire.

J’était tombé sur l’article de Jorge permettant de créer des comptes de démonstration sur Zimbra en utilisant un script.
Hormis le fait que Zimbra propose déjà cette option par défaut :

zmprov createBulkAccounts(cabulk) {domain} {namemask} {number of accounts to create}

le fait de passer par un fichier intermédiaire et de devoir modifier le script pour l’adapter rend la solution, a mon sens, pénible.
Lire la suite de

La nouvelle version de Zimbra viens de sortir mais sa documentation coté API a quelque peu tardé à pointer le bout de son nez.
Il y quelques temps de cela, j’ai pris en charge de porter la documentation au format docset pour Dash et Zeal.

Vous pouvez donc à partir de maintenant, retrouver les documentations SOAP et Zimlet pour la 8.7 directement dans la section « User Contributed » dans Dash :
Dash-1

Et suivre le how-to du projet github pour Zeal.
D’ailleurs ne disposant pas de Windows/Linux avec GUI, si une âme charitable pouvais tester Zeal et me confirmer que cela fonctionne ça serait sympa.

English version.

Cette semaine je suis tombé sur un cas intéressant d’une mise à jour de Zimbra 7 vers Zimbra 8 qui, une fois la mise à jour effectuée, ne permettait plus d’accéder a l’interface utilisateur et administrateur même si tous les services était au vert au niveau CLI.

Commence alors l’analyse des logs et malheureusement ceux-ci ne fournissait pas d’informations pertinentes.
Lors d’une connexion, voici ce qui apparaissait dans /opt/zimbra/log/mailbox.log :

error while proxying request to target server: HTTP/1.1 404 Not Found.

Il n’y avait que dans le /opt/zimbra/log/zmmailboxd.out que quelque chose attira mon attention :

2016-06-16 06:04:22.754:WARN/service:unavailable
2016-06-16 06:04:23.754:WARN/service:unavailable
javax.servlet.UnavailableException: Other filter is using the same name: com.zimbra.cs.network.license.service.ImapLicenseFilter

A priori une autre librairie se charge et prend la place de /service ce qui a pour effet planter n’importe quel service ayant besoin de /service.
Et pour ceux qui connaissent Zimbra, l’intégralité du logiciel s’appuie sur cet URL 🙁

Évidemment google était à sec et la seule personne qui a eu le même problème n’a jamais eu de réponse.

Mais en En regardant de plus près les logs de démarrage, on peut voir que java charge une librairie inhabituelle :

2016-06-16 06:03:28,103 INFO  [main] [] extensions - extension com.zimbra.iminterop.ZimbraInteropExtension found in /opt/zimbra/lib/ext/zimbraiminterop/zimbraiminterop.jar

Il s’agit de la librairie de feu serveur XMPP intégré à Zimbra, hors cette brique a été retiré de Zimbra en version 8 mais pour quelconque raison, ici elle est toujours présente.

on supprime donc cette librairie :

rm /opt/zimbra/lib/ext/zimbraiminterop/zimbraiminterop.jar

puis on redémarre les services.

Après ça, j’ai bien mérité une bonne bière !

Préambule

Il est possible dans Zimbra de signer/encrypter ses messages grâce a la Zimlet disponible dans le version Network. Une autre Zimlet utilisant PGP est disponible mais je ne vais pas utiliser celle-ci pour la suite de cet article.

Dans mon cas j’aimerai signer et surtout encrypter mes mails a destination des personnes de mon entreprise, sans avoir a récupérer la clef publique de tous les utilisateurs. L’idée ici est donc d’utiliser l’annuaire pour stocker les clefs publiques de mes utilisateurs.

Cela peut être fait de deux façon, soit en passant par un annuaire externe qui contient les utilisateurs et leurs certificats (on imagine très bien un Active Directory par exemple), ou bien en injectant directement dans Zimbra la clef publique.

Je vais expliquer la deuxième option, car je suis en attente de mon matériel pour faire un lab digne de ce nom et n’ai que très peu de mémoire sur mon portable pour faire tourner convenablement un OpenLDAP/AD plus Zimbra.

Scénario

Le scénario est le suivant :

Users :

  • User1@demo.local
  • User2@demo.local

Zimbra version 8.5 (fonctionne aussi en 8.0)

Generation du certificat

Le certificat doit etre au format DER comme expliqué dans ce bug de Zimbra.

On va donc générer le certificat ainsi qu’une clef privée par utilisateur. Dans votre cas il est préférable de vous appuyer la clef privée de votre PKI d’entreprise plutôt que de créer une clef par utilisateur.

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout user1.key -out user1.crt
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout user2.key -out user2.crt

export de la clef au format DER :

openssl x509 -in user1.crt -outform DER -out user1.der
openssl x509 -in user2.crt -outform DER -out user2.der

Et enfin export de la clef au format PKCS12 pour import dans le navigateur de l’utilisateur

openssl pkcs12 -export -out user1.p12 -in user1.crt -inkey user1.key
openssl pkcs12 -export -out user2.p12 -in user2.crt -inkey user2.key

Transferer-les sur votre serveur Zimbra avec votre outil preferé puis importez les dans chaque compte avec la commande suivante :

su - zimbra
zmprov ma user1@demo.local userCertificate /tmp/user1.der
zmprov ma user2@demo.local userCertificate /tmp/user2.der

Enfin,on regénère la GAL pour que le changement soit effectif de suite.

su - zimbra
zmgsautil forceSync -a galsync.@demo.local -n InternalGAL (valeur par default à adapter à votre environement)

Import du certificat dans le navigateur (ici Firefox)

Maintenant que coté serveur on a les certificats dans l’annuaire, il faut maintenant que l’utilisateur importe son certificat dans le navigateur. Pour Firefox il faut faire comme suit :

  1. Dans les preferences de Firefox cliquer sur Advanced -> Certificates -> View certificates
  2. Puis on clic sur import
  3. et enfin on choisi son certificat.

Zimbra-SMIME-1

On pourrais croire que c’est fini mais non. La Zimlet s’appuyant sur Java, il faut aussi intégrer le certificat dans le keystore de Java.

Import du certificat dans le Keystore Java

On lance donc le panneau de commande Java puis :

  1. On clic sur security -> Manage certificate
  2. Puis import et on importe le certificat

Zimbra-SMIME-2

A partir de cet instant, on peu envoyer des messages signés a des destinataires inconnu et aussi envoyer des mails cryptés aux utilisateurs de la plateforme Zimbra (ici un screenshot de l’annuaire global) :

Zimbra-SMIME-3

Et la l’envoi du mail crypté :

Zimbra-SMIME-4

Easy !

PS : N’oubliez pas d’activer la zimlet smime sinon rien de tout cela fonctionne…