In einem unserer vorherigen Artikel darüber, wie Sie Zimbra und MS Active Directory, das in den meisten russischen Unternehmen zur Verwaltung von Benutzerkonten verwendet wird, „anfreunden“ können. Darin schlagen wir vor, dass Zimbra-Benutzer die einfachste und sicherste Möglichkeit zum Erstellen von Postfächern in Zimbra basierend auf Daten von AD nutzen, den sogenannten LAZY-Modus. Dieser Betriebsmodus ermöglicht es Ihnen, automatisch einen neuen Zimbra-Benutzer mit einem Benutzernamen und Passwort von AD direkt bei seiner ersten Anmeldung am Zimbra Web Client zu erstellen. Dank der Diskussion, die sich in den Kommentaren entfaltete, wurde jedoch deutlich, dass nicht alle Administratoren für diese Methode der Autokonfiguration von Zimbra-Benutzern aus AD geeignet sind. Daher werden wir nun über eine alternative Möglichkeit sprechen, die Erstellung von Benutzerkonten basierend auf Daten aus AD zu automatisieren, den EAGER-Modus.
Der LAZY- und der EAGER-Modus unterscheiden sich in ihren Ansätzen zum Erstellen neuer Konten. Wenn das System im Fall von LAZY darauf wartet, dass der Benutzer den Zimbra-Webclient betritt, um einen neuen Benutzer zu erstellen, fragt das System im Fall von EAGER regelmäßig den Server mit AD nach neuen Benutzern ab und erstellt im Falle einer positiven Antwort selbstständig ein neues Konto auf der Grundlage der von Active Directory bereitgestellten Daten. Ein scheinbar unbedeutender Unterschied kann die Verwendung des LAZY-Modus für viele IT-Manager völlig inakzeptabel machen.
Einer dieser Fälle könnte ein direktes Verbot der Nutzung des Zimbra-Webclients sein. Der Grund dafür können Einsparungen bei der Rechenleistung des Servers sein (bei Verwendung eines Web-Clients kann ein Server mit Zimbra qualitativ hochwertigen Service für 2500 Benutzer bereitstellen, bei Verwendung von Desktop- und mobilen Clients bis zu 5 bis 6 Benutzer) oder eine Unternehmenssicherheitsrichtlinie, die die Verwendung eines Web-Clients für die Arbeit mit E-Mails direkt verbietet. Das Fehlen eines Web-Clients führt dazu, dass der LAZY-Modus nicht verwendet werden kann, der nur darin funktioniert, was bedeutet, dass IT-Manager solcher Unternehmen keine andere Wahl haben, als den EAGER-Modus zu verwenden.
Zunächst müssen wir AD als externes LDAP mit Zimbra verbinden. Gehen Sie dazu zur Administrationskonsole, die sich unter befindet mail.company.ru:7071/zimbraAdmin/, und wählen Sie dann das Element in der linken Seitenleiste aus Einrichtungund dann Unterabsatz Domains. Gelistet domenov Nun müssen wir diejenige auswählen, die wir in Verbindung mit AD verwenden möchten, und durch Rechtsklick auf die ausgewählte Domäne das entsprechende Element auswählen. „Authentifizierung konfigurieren“. Danach erscheint auf dem Bildschirm der externe LDAP-Konfigurationsdialog, in dem wir alle notwendigen Daten für die Integration von Zimbra mit AD eingeben.
Nach Eingabe aller notwendigen Daten sollten Sie beispielsweise eine Konfigurationsdatei erstellen Berühren Sie ~/Documents/autoprover.cfg, in dem wir eine Reihe von Befehlen eingeben, die eingegeben werden müssen, um die automatische Konfiguration von Konten von AD im EAGER-Modus zu aktivieren. Im Gegensatz zum LAZY-Modus, bei dem der Einrichtungsprozess äußerst einfach ist und alle Einstellungen als Befehle in der CLI eingegeben werden können, ist es beim EAGER-Modus besser, auf Nummer sicher zu gehen und alle Einstellungen in einer separaten Datei zu speichern. Dies erleichtert es, Änderungen daran vorzunehmen, falls plötzlich etwas schief geht.
Also nach dem Erstellen der Datei ~/Documents/autoprover.cfg, sollten Sie darin folgende Zeilen eintragen, nachdem Sie diese zuvor an Ihre Infrastruktur angepasst haben:
md company.ru zimbraAutoProvAccountNameMap "samAccountName"
md company.ru +zimbraAutoProvAttrMap description=description
md company.ru +zimbraAutoProvAttrMap displayName=displayName
md company.ru +zimbraAutoProvAttrMap givenName=givenName
md company.ru +zimbraAutoProvAttrMap cn=cn
md company.ru +zimbraAutoProvAttrMap sn=sn
md company.ru zimbraAutoProvAuthMech LDAP
md company.ru zimbraAutoProvBatchSize 40
md company.ru zimbraAutoProvLdapAdminBindDn "CN=Administrator,CN=Users,DC=company,DC=ru"
md company.ru zimbraAutoProvLdapAdminBindPassword *********
md company.ru zimbraAutoProvLdapBindDn "Administrator@company.ru"
md company.ru zimbraAutoProvLdapSearchBase "CN=Users,dc=company,dc=ru"
md company.ru zimbraAutoProvLdapSearchFilter "(cn=%u)"
md company.ru zimbraAutoProvLdapURL "ldap://192.168.0.1:389"
md company.ru zimbraAutoProvMode EAGER
md company.ru zimbraAutoProvNotificationBody "Ваша учетная запись была создана автоматически. Адрес вашей электронной почты ${ACCOUNT_ADDRESS}."
md company.ru zimbraAutoProvNotificationFromAddress Administrator@company.ru
md company.ru zimbraAutoProvNotificationSubject "Новая учетная запись была создана автоматически"
ms mail.company.ru zimbraAutoProvPollingInterval "1m"
ms mail.company.ru +zimbraAutoProvScheduledDomains "company.ru"Dank dieser Einstellungen zwingen wir den Zimbra-Server, AD jede Minute zu kontaktieren und Informationen über das Erscheinen neuer Benutzer in der Datenbank zu erhalten. Wenn sie gefunden werden, erstellen wir ein Konto für sie und senden eine Willkommensnachricht.
Nachdem alle Änderungen in der Datei gespeichert wurden, müssen die darin angegebenen Einstellungen mit dem Befehl übernommen werden zmprov < ~/Documents/autoprov.cfg. Alle vorgenommenen Änderungen funktionieren sofort, ein Neustart des Servers sollte nicht erforderlich sein.
Für den Fall, dass die automatische Konfiguration von Konten vom AD- in den EAGER-Modus funktioniert, finden Sie in der Datei /opt/zimbra/log/mailbox.log Der Fortschritt der automatischen Kontokonfiguration wird in der folgenden Form angezeigt:
[AutoProvision] [] autoprov - Auto provisioning accounts on domain company.ru
[AutoProvision] [] autoprov - 1 external LDAP entries returned as search result
[AutoProvision] [] autoprov - auto creating account in EAGER mode: example@company.ru, dn="CN=example,OU=zimbrausers,DC=company,DC=ru"Wenn die automatische Konfiguration von Konten nicht funktioniert, liegt das Problem höchstwahrscheinlich auf der Seite des AD-Servers. In diesem Fall müssen Sie sich den auftretenden Fehlercode ansehen. Wir stellen die häufigsten davon vor:
525 – Benutzer nicht gefunden
52e – Ungültige Anmeldeinformationen
530 – Derzeit keine Zutrittserlaubnis
531 – Keine Berechtigung, sich von diesem Computer aus anzumelden
532 – Passwort abgelaufen
533 – Konto gesperrt
534 – Der Benutzer verfügt nicht über ausreichende Rechte, um sich von diesem Computer aus anzumelden
701 – Konto abgelaufen
773 – Der Benutzer muss das Passwort zurücksetzen
775 – Konto vorübergehend gesperrt
8350 – Ungültiges Distinguished Name-Format
Source: habr.com
