Zimbra Collaboration Suite의 AD에서 계정 자동 생성

이전 기사 중 하나에서 우리는 말했다 대부분의 러시아 기업에서 사용자 계정을 관리하는 데 사용되는 Zimbra 및 MS Active Directory를 "친구 사귀기" 방법에 대해 설명합니다. 여기에서 우리는 Zimbra 사용자가 LAZY 모드라는 AD 데이터를 기반으로 Zimbra에서 사서함을 만드는 가장 간단하고 안전한 방법을 활용할 것을 제안했습니다. 이 작동 모드를 사용하면 Zimbra 웹 클라이언트에 처음 로그인할 때 바로 AD의 사용자 이름과 비밀번호를 사용하여 새 Zimbra 사용자를 자동으로 생성할 수 있습니다. 그러나 댓글에서 펼쳐진 토론 덕분에 모든 관리자가 AD에서 Zimbra 사용자를 자동 구성하는 이 방법에 적합하지 않다는 것이 분명해졌습니다. 따라서 이제 EAGER 모드라는 AD의 데이터를 기반으로 사용자 계정 생성을 자동화하는 다른 방법에 대해 이야기하겠습니다.

LAZY와 EAGER 모드는 새 계정을 만드는 방식이 다릅니다. LAZY의 경우 시스템이 사용자가 새로운 사용자를 생성하기 위해 Zimbra 웹 클라이언트에 들어갈 때까지 기다리는 경우, EAGER의 경우 시스템은 주기적으로 새 사용자를 위해 AD로 서버를 폴링하고 응답이 예인 경우 Active Directory에서 제공한 데이터를 기반으로 자체 계정에 새 계정을 만듭니다. 사소해 보이는 차이로 인해 많은 IT 관리자가 LAZY 모드를 사용하는 것이 완전히 용납되지 않을 수 있습니다.

이러한 경우 중 하나는 Zimbra 웹 클라이언트 사용에 대한 직접적인 금지일 수 있습니다. 그 이유는 서버 컴퓨팅 절전(웹 클라이언트를 사용하는 경우 Zimbra가 있는 서버는 2500명의 사용자에게 양질의 서비스를 제공할 수 있고 데스크톱 및 모바일 클라이언트를 사용하는 경우 최대 5~6명의 사용자에게 양질의 서비스를 제공할 수 있음) 또는 엔터프라이즈 보안 때문일 수 있습니다. 메일 작업에 웹 클라이언트 사용을 직접 금지하는 정책입니다. 웹클라이언트가 없으면 그 안에서만 작동하는 LAZY 모드를 사용할 수 없게 되므로 그러한 기업의 IT 관리자는 EAGER 모드를 사용할 수밖에 없습니다.

우선 AD를 외부 LDAP로 Zimbra에 연결해야 합니다. 이렇게 하려면 다음 위치에 있는 관리 콘솔로 이동하십시오. mail.company.ru:7071/zimbraAdmin/을 누른 다음 왼쪽 사이드바에서 항목을 선택합니다. 구성, 그리고 하위 단락 도메인. 상장 도메인 이제 AD와 함께 사용할 항목을 선택해야 합니다. 선택한 도메인을 마우스 오른쪽 버튼으로 클릭하고 해당 항목을 선택하세요. "인증 구성". 그런 다음 외부 LDAP 구성 대화 상자가 화면에 나타나 Zimbra를 AD와 통합하는 데 필요한 모든 데이터를 입력합니다.

필요한 모든 데이터를 입력한 후 예를 들어 구성 파일을 만들어야 합니다. ~/문서/autoprover.cfg를 터치합니다., EAGER 모드에서 AD의 계정 자동 구성을 활성화하기 위해 입력해야 하는 일련의 명령을 입력합니다. 설정 프로세스가 매우 간단하고 모든 설정을 CLI에서 명령으로 입력할 수 있는 LAZY 모드와 달리 EAGER 모드의 경우 안전하게 플레이하고 모든 설정을 별도의 파일에 저장하는 것이 좋습니다. 이렇게 하면 갑자기 문제가 발생할 경우 쉽게 변경할 수 있습니다.

그래서 파일 생성 후 ~/문서/autoprover.cfg, 이전에 인프라에 맞게 다음 줄을 입력해야 합니다.

md company.ru zimbraAutoProvAccountNameMap "samAccountName"
md company.ru +zimbraAutoProvAttrMap description=description
md company.ru +zimbraAutoProvAttrMap displayName=displayName
md company.ru +zimbraAutoProvAttrMap givenName=givenName
md company.ru +zimbraAutoProvAttrMap cn=cn
md company.ru +zimbraAutoProvAttrMap sn=sn
md company.ru zimbraAutoProvAuthMech LDAP
md company.ru zimbraAutoProvBatchSize 40
md company.ru zimbraAutoProvLdapAdminBindDn "CN=Administrator,CN=Users,DC=company,DC=ru"
md company.ru zimbraAutoProvLdapAdminBindPassword *********
md company.ru zimbraAutoProvLdapBindDn "Administrator@company.ru"
md company.ru zimbraAutoProvLdapSearchBase "CN=Users,dc=company,dc=ru"
md company.ru zimbraAutoProvLdapSearchFilter "(cn=%u)"
md company.ru zimbraAutoProvLdapURL "ldap://192.168.0.1:389"
md company.ru zimbraAutoProvMode EAGER
md company.ru zimbraAutoProvNotificationBody "Ваша учетная запись была создана автоматически. Адрес вашей электронной почты ${ACCOUNT_ADDRESS}."
md company.ru zimbraAutoProvNotificationFromAddress Administrator@company.ru
md company.ru zimbraAutoProvNotificationSubject "Новая учетная запись была создана автоматически"
ms mail.company.ru zimbraAutoProvPollingInterval "1m"
ms mail.company.ru +zimbraAutoProvScheduledDomains "company.ru"

이러한 설정 덕분에 우리는 Zimbra 서버가 매분 AD에 접속하고 데이터베이스에서 새로운 사용자의 모습에 대한 정보를 수신하도록 강제하고, 발견되면 계정을 만들고 환영 메시지를 보냅니다.

파일의 모든 변경 사항을 저장한 후 명령을 사용하여 파일에 지정된 설정을 적용해야 합니다. zmprov < ~/문서/autoprov.cfg. 모든 변경 사항은 즉시 적용되므로 서버를 다시 시작할 필요가 없습니다.

AD에서 EAGER 모드로의 계정 자동 구성이 작동하는 경우 파일에서 /opt/zimbra/log/mailbox.log 계정 자동 구성의 진행 상황은 다음 형식으로 표시됩니다.

[AutoProvision] [] autoprov - Auto provisioning accounts on domain company.ru
[AutoProvision] [] autoprov - 1 external LDAP entries returned as search result
[AutoProvision] [] autoprov - auto creating account in EAGER mode: example@company.ru, dn="CN=example,OU=zimbrausers,DC=company,DC=ru"

계정 자동 구성이 작동하지 않으면 문제가 AD 서버 측에 있을 가능성이 큽니다. 이 경우 발생하는 오류 코드를 살펴봐야 합니다. 가장 일반적인 것을 제시합니다.

525 - 사용자를 찾을 수 없음
52e - 잘못된 자격 증명
530 - 지금은 입장할 수 없습니다.
531 - 이 컴퓨터에서 로그인할 수 있는 권한이 없습니다.
532 - 비밀번호 만료
533 - 계정 중지됨
534 - 사용자에게 이 컴퓨터에서 로그온할 수 있는 충분한 권한이 없습니다.
701 - 계정 만료
773 - 사용자는 암호를 재설정해야 합니다.
775 - 계정이 일시적으로 제한됨
8350 - 잘못된 고유 이름 형식

출처 : habr.com