Dalam salah satu artikel kami sebelum ini tentang cara anda boleh "berkawan" antara Zimbra dan MS Active Directory, yang digunakan oleh kebanyakan perusahaan Rusia untuk mengurus akaun pengguna. Di dalamnya, kami mencadangkan agar pengguna Zimbra menggunakan cara paling mudah dan selamat untuk membuat peti mel dalam Zimbra berdasarkan data daripada AD yang dipanggil Mod MALAS. Mod operasi ini membolehkan anda mencipta pengguna Zimbra baharu secara automatik dengan nama pengguna dan kata laluan daripada AD sebaik sahaja anda log masuk ke klien web Zimbra buat kali pertama. Walau bagaimanapun, terima kasih kepada perbincangan yang dibentangkan dalam ulasan, menjadi jelas bahawa tidak semua pentadbir sesuai untuk kaedah konfigurasi automatik pengguna Zimbra daripada AD ini. Oleh itu, sekarang kita akan bercakap tentang cara alternatif untuk mengautomasikan penciptaan akaun pengguna berdasarkan data daripada AD yang dipanggil Mod EAGER.
Mod LAZY dan EAGER berbeza dalam pendekatan mereka untuk mencipta akaun baharu. Jika dalam kes LAZY sistem menunggu pengguna untuk log masuk ke klien web Zimbra untuk mencipta pengguna baharu, maka dalam kes EAGER sistem secara berkala meninjau pelayan dengan AD untuk kemunculan pengguna baharu, dan, jika jawapan adalah afirmatif, ia secara bebas mencipta satu akaun baharu berdasarkan data yang disediakan oleh Active Directory. Perbezaan yang kelihatan tidak ketara mungkin menjadikan penggunaan Mod MALAS sama sekali tidak boleh diterima oleh sebilangan pengurus IT.
Satu kes sedemikian boleh menjadi larangan langsung menggunakan klien web Zimbra. Sebab untuk ini mungkin menjimatkan kuasa pengkomputeran pelayan (apabila menggunakan klien web, pelayan dengan Zimbra boleh menyediakan perkhidmatan berkualiti tinggi untuk 2500 pengguna, dan apabila menggunakan klien desktop dan mudah alih sehingga 5-6 ribu pengguna), atau perusahaan dasar keselamatan yang secara langsung melarang penggunaan web - pelanggan untuk bekerja dengan mel. Ketiadaan pelanggan web menjadikannya mustahil untuk menggunakan Mod LAZY, yang hanya berfungsi di dalamnya, yang bermaksud bahawa pengurus IT perusahaan sedemikian tidak mempunyai pilihan selain menggunakan Mod EAGER.
Pertama sekali, kita perlu menyambungkan AD sebagai LDAP luaran kepada Zimbra. Untuk melakukan ini, pergi ke konsol pentadbiran, yang terletak di mail.company.ru:7071/zimbraAdmin/, kemudian pilih item dalam bar sisi kiri Konfigurasi, dan kemudian subperenggan Domain. tersenarai domain Sekarang kita perlu memilih yang akan kita gunakan bersama dengan AD dan, dengan mengklik kanan pada domain yang dipilih, pilih item tersebut "Konfigurasikan Pengesahan". Selepas ini, dialog konfigurasi LDAP luaran akan muncul pada skrin, di mana kami akan memasukkan semua data yang diperlukan untuk menyepadukan Zimbra dengan AD.
Selepas memasukkan semua data yang diperlukan, anda harus membuat fail konfigurasi, sebagai contoh sentuh ~/Documents/autoprov.cfg, di mana kami akan memasukkan satu siri perintah yang mesti dimasukkan untuk mengaktifkan konfigurasi automatik akaun daripada AD dalam Mod EAGER. Tidak seperti Mod MALAS, di mana proses persediaan adalah sangat mudah dan semua tetapan boleh dimasukkan sebagai arahan dalam CLI, dalam kes Mod EAGER adalah lebih baik untuk memainkannya dengan selamat dan menyimpan semua tetapan dalam fail yang berasingan. Ini akan memudahkan anda membuat perubahan kepada mereka jika sesuatu berlaku secara tiba-tiba.
Jadi selepas mencipta fail ~/Documents/autoprov.cfg, anda harus memasukkan baris berikut ke dalamnya, setelah menyesuaikannya dengan infrastruktur anda sebelum ini:
md company.ru zimbraAutoProvAccountNameMap "samAccountName"
md company.ru +zimbraAutoProvAttrMap description=description
md company.ru +zimbraAutoProvAttrMap displayName=displayName
md company.ru +zimbraAutoProvAttrMap givenName=givenName
md company.ru +zimbraAutoProvAttrMap cn=cn
md company.ru +zimbraAutoProvAttrMap sn=sn
md company.ru zimbraAutoProvAuthMech LDAP
md company.ru zimbraAutoProvBatchSize 40
md company.ru zimbraAutoProvLdapAdminBindDn "CN=Administrator,CN=Users,DC=company,DC=ru"
md company.ru zimbraAutoProvLdapAdminBindPassword *********
md company.ru zimbraAutoProvLdapBindDn "Administrator@company.ru"
md company.ru zimbraAutoProvLdapSearchBase "CN=Users,dc=company,dc=ru"
md company.ru zimbraAutoProvLdapSearchFilter "(cn=%u)"
md company.ru zimbraAutoProvLdapURL "ldap://192.168.0.1:389"
md company.ru zimbraAutoProvMode EAGER
md company.ru zimbraAutoProvNotificationBody "Ваша учетная запись была создана автоматически. Адрес вашей электронной почты ${ACCOUNT_ADDRESS}."
md company.ru zimbraAutoProvNotificationFromAddress Administrator@company.ru
md company.ru zimbraAutoProvNotificationSubject "Новая учетная запись была создана автоматически"
ms mail.company.ru zimbraAutoProvPollingInterval "1m"
ms mail.company.ru +zimbraAutoProvScheduledDomains "company.ru"Terima kasih kepada tetapan ini, kami memaksa pelayan Zimbra untuk menghubungi AD setiap minit dan menerima maklumat tentang penampilan pengguna baharu dalam pangkalan data, dan jika mereka dikesan, buat akaun untuk mereka dan hantar mesej alu-aluan.
Selepas semua perubahan dalam fail telah disimpan, anda perlu menggunakan tetapan yang dinyatakan di dalamnya menggunakan arahan zmprov < ~/Documents/autoprov.cfg. Semua perubahan yang dibuat akan berfungsi serta-merta; tidak perlu memulakan semula pelayan.
Jika konfigurasi automatik akaun daripada AD dalam Mod EAGER berfungsi, dalam fail /opt/zimbra/log/mailbox.log Kemajuan konfigurasi auto akaun akan dipaparkan dalam bentuk berikut:
[AutoProvision] [] autoprov - Auto provisioning accounts on domain company.ru
[AutoProvision] [] autoprov - 1 external LDAP entries returned as search result
[AutoProvision] [] autoprov - auto creating account in EAGER mode: example@company.ru, dn="CN=example,OU=zimbrausers,DC=company,DC=ru"Jika konfigurasi akaun automatik tidak berfungsi, maka kemungkinan besar masalahnya adalah pada bahagian pelayan AD. Dalam kes ini, anda perlu melihat kod ralat yang berlaku. Kami membentangkan yang paling biasa daripada mereka:
525 - Pengguna tidak ditemui
52e - Bukti kelayakan tidak sah
530 - Tiada kebenaran untuk masuk pada masa ini
531 - Anda tidak mempunyai kebenaran untuk log masuk dari komputer ini
532 — Kata laluan telah tamat tempoh
533 - Akaun telah digantung
534 - Pengguna tidak mempunyai hak yang mencukupi untuk log masuk ke komputer ini
701 - Akaun telah tamat tempoh
773 - Pengguna mesti menetapkan semula kata laluan
775 — Kesahan akaun dihadkan buat sementara waktu
8350 - format Nama Terbilang tidak sah
Sumber: www.habr.com
