Automātiska konta izveide no AD programmā Zimbra Collaboration Suite

Vienā no mūsu iepriekšējiem rakstiem mēs teicām par to, kā jūs varat “sadraudzēties” starp Zimbra un MS Active Directory, ko vairums Krievijas uzņēmumu izmanto lietotāju kontu pārvaldībai. Tajā mēs ierosinājām Zimbra lietotājiem izmantot vienkāršāko un drošāko veidu, kā Zimbra izveidot pastkastes, pamatojoties uz datiem no AD, ko sauc par LAZY Mode. Šis darbības režīms ļauj automātiski izveidot jaunu Zimbra lietotāju ar lietotājvārdu un paroli no AD tieši tajā brīdī, kad pirmo reizi piesakāties Zimbra tīmekļa klientā. Tomēr, pateicoties diskusijai, kas izvērsās komentāros, kļuva skaidrs, ka ne visi administratori ir piemēroti šai Zimbra lietotāju automātiskās konfigurēšanas metodei no AD. Tāpēc tagad mēs runāsim par alternatīvu veidu, kā automatizēt lietotāju kontu izveidi, pamatojoties uz datiem no AD, ko sauc par EAGER Mode.

LAZY un EAGER Mode atšķiras ar savu pieeju jaunu kontu izveidei. Ja LAZY gadījumā sistēma gaida, kad lietotājs piesakās Zimbra tīmekļa klientā, lai izveidotu jaunu lietotāju, tad EAGER gadījumā sistēma periodiski aptauj serveri ar AD par jaunu lietotāju parādīšanos, un, ja atbilde ir apstiprinoša, tā neatkarīgi izveido jaunu kontu, pamatojoties uz Active Directory sniegtajiem datiem. Šķietami nenozīmīga atšķirība var padarīt LAZY Mode lietošanu pilnīgi nepieņemamu vairākiem IT vadītājiem.

Viens no šādiem gadījumiem varētu būt tiešs Zimbra tīmekļa klienta lietošanas aizliegums. Iemesls tam var būt servera skaitļošanas jaudas taupīšana (izmantojot tīmekļa klientu, serveris ar Zimbra var nodrošināt augstas kvalitātes pakalpojumu 2500 lietotājiem, bet, izmantojot galddatoru un mobilos klientus līdz 5-6 tūkstošiem lietotāju), vai uzņēmums drošības politika, kas tieši aizliedz izmantot tīmekli – klientu darbam ar pastu. Tīmekļa klienta neesamības dēļ nav iespējams izmantot LAZY režīmu, kas darbojas tikai tajā, kas nozīmē, ka šādu uzņēmumu IT vadītājiem nav citas izvēles, kā izmantot EAGER režīmu.

Pirmkārt, mums būs jāpievieno AD kā ārējais LDAP ar Zimbra. Lai to izdarītu, dodieties uz administrācijas konsoli, kas atrodas plkst mail.company.ru:7071/zimbraAdmin/, pēc tam atlasiet vienumu kreisajā sānjoslā Konfigurēt, un pēc tam apakšpunktu Domēni. Sarakstā domēni Tagad mums jāizvēlas tas, ko izmantosim kopā ar AD, un, ar peles labo pogu noklikšķinot uz atlasītā domēna, atlasiet vienumu "Konfigurēt autentifikāciju". Pēc tam ekrānā parādīsies ārējs LDAP konfigurācijas dialoglodziņš, kurā mēs ievadīsim visus nepieciešamos datus, lai integrētu Zimbra ar AD.

Pēc visu nepieciešamo datu ievadīšanas jums vajadzētu izveidot, piemēram, konfigurācijas failu pieskarieties pie ~/Documents/autoprov.cfg, kurā mēs ievadīsim virkni komandu, kas jāievada, lai aktivizētu kontu automātisko konfigurāciju no AD EAGER režīmā. Atšķirībā no LAZY Mode, kur iestatīšanas process ir ārkārtīgi vienkāršs un visus iestatījumus var ievadīt kā komandas CLI, EAGER Mode gadījumā labāk to atskaņot un visus iestatījumus saglabāt atsevišķā failā. Tas atvieglos tajos izmaiņu veikšanu, ja pēkšņi kaut kas noiet greizi.

Tātad pēc faila izveides ~/Documents/autoprov.cfg, jums tajā jāievada šādas rindas, iepriekš pielāgojot tās savai infrastruktūrai:

md company.ru zimbraAutoProvAccountNameMap "samAccountName"
md company.ru +zimbraAutoProvAttrMap description=description
md company.ru +zimbraAutoProvAttrMap displayName=displayName
md company.ru +zimbraAutoProvAttrMap givenName=givenName
md company.ru +zimbraAutoProvAttrMap cn=cn
md company.ru +zimbraAutoProvAttrMap sn=sn
md company.ru zimbraAutoProvAuthMech LDAP
md company.ru zimbraAutoProvBatchSize 40
md company.ru zimbraAutoProvLdapAdminBindDn "CN=Administrator,CN=Users,DC=company,DC=ru"
md company.ru zimbraAutoProvLdapAdminBindPassword *********
md company.ru zimbraAutoProvLdapBindDn "Administrator@company.ru"
md company.ru zimbraAutoProvLdapSearchBase "CN=Users,dc=company,dc=ru"
md company.ru zimbraAutoProvLdapSearchFilter "(cn=%u)"
md company.ru zimbraAutoProvLdapURL "ldap://192.168.0.1:389"
md company.ru zimbraAutoProvMode EAGER
md company.ru zimbraAutoProvNotificationBody "Ваша учетная запись была создана автоматически. Адрес вашей электронной почты ${ACCOUNT_ADDRESS}."
md company.ru zimbraAutoProvNotificationFromAddress Administrator@company.ru
md company.ru zimbraAutoProvNotificationSubject "Новая учетная запись была создана автоматически"
ms mail.company.ru zimbraAutoProvPollingInterval "1m"
ms mail.company.ru +zimbraAutoProvScheduledDomains "company.ru"

Pateicoties šiem iestatījumiem, mēs piespiežam Zimbra serveri katru minūti sazināties ar AD un saņemt informāciju par jaunu lietotāju parādīšanos datu bāzē, un, ja tie tiek atklāti, izveidot viņiem kontu un nosūtīt sveiciena ziņojumu.

Kad visas izmaiņas failā ir saglabātas, jums būs jāpiemēro tajā norādītie iestatījumi, izmantojot komandu zmprov < ~/Documents/autoprov.cfg. Visas veiktās izmaiņas darbosies nekavējoties; serveris nav jārestartē.

Ja darbojas automātiskā kontu konfigurēšana no AD EAGER režīmā, failā /opt/zimbra/log/mailbox.log Konta automātiskās konfigurācijas norise tiks parādīta šādā formā:

[AutoProvision] [] autoprov - Auto provisioning accounts on domain company.ru
[AutoProvision] [] autoprov - 1 external LDAP entries returned as search result
[AutoProvision] [] autoprov - auto creating account in EAGER mode: example@company.ru, dn="CN=example,OU=zimbrausers,DC=company,DC=ru"

Ja kontu automātiskā konfigurācija nedarbojas, visticamāk, problēma ir AD servera pusē. Šajā gadījumā jums ir jāaplūko parādītais kļūdas kods. Mēs piedāvājam visizplatītākos no tiem:

525 — lietotājs nav atrasts
52e — nederīgi akreditācijas dati
530 — pašlaik nav atļaujas ieiet
531 — jums nav atļaujas pieteikties no šī datora
532 — paroles derīguma termiņš ir beidzies
533 — konts ir apturēts
534 — lietotājam nav pietiekamu tiesību, lai pieteiktos šajā datorā
701 — kontam ir beidzies derīguma termiņš
773 — lietotājam ir jāatiestata parole
775 — konta derīguma termiņš ir īslaicīgi ierobežots
8350 — nederīgs atšķirīgā vārda formāts

Avots: www.habr.com