I en av våre tidligere artikler om hvordan du kan "bli venner" mellom Zimbra og MS Active Directory, som brukes av de fleste russiske bedrifter til å administrere brukerkontoer. I den foreslo vi at Zimbra-brukere bruker den enkleste og sikreste måten å lage postbokser i Zimbra basert på data fra AD kalt LAZY Mode. Denne driftsmodusen lar deg automatisk opprette en ny Zimbra-bruker med et brukernavn og passord fra AD med det samme du logger deg på Zimbra-webklienten for første gang. Men takket være diskusjonen som utspilte seg i kommentarene, ble det klart at ikke alle administratorer er egnet for denne metoden for automatisk konfigurering av Zimbra-brukere fra AD. Derfor vil vi nå snakke om en alternativ måte å automatisere opprettelsen av brukerkontoer basert på data fra AD kalt EAGER-modus.
LAZY og EAGER-modus er forskjellige når det gjelder tilnærming til å opprette nye kontoer. Hvis i tilfelle av LAZY systemet venter på at brukeren skal logge inn på Zimbra-webklienten for å opprette en ny bruker, vil systemet i tilfelle av EAGER periodisk spørre serveren med AD for utseendet til nye brukere, og, hvis svaret er bekreftende, oppretter den uavhengig en ny konto basert på data levert av Active Directory. En tilsynelatende ubetydelig forskjell kan gjøre bruken av LAZY-modus fullstendig uakseptabel for en rekke IT-ledere.
Et slikt tilfelle kan være et direkte forbud mot å bruke Zimbra-webklienten. Årsaken til dette kan være sparing av serverdatakraft (når du bruker en webklient, kan en server med Zimbra tilby høykvalitetstjenester for 2500 brukere, og ved bruk av stasjonære og mobile klienter opptil 5-6 tusen brukere), eller en bedrift sikkerhetspolicy som direkte forbyr bruk av nettet - en klient for å jobbe med post. Fraværet av en nettklient gjør det umulig å bruke LAZY-modus, som bare fungerer i den, noe som betyr at IT-ledere i slike virksomheter ikke har noe annet valg enn å bruke EAGER-modus.
Først av alt må vi koble AD som en ekstern LDAP til Zimbra. For å gjøre dette, gå til administrasjonskonsollen, som ligger på mail.company.ru:7071/zimbraAdmin/, og velg deretter elementet i venstre sidefelt Konfigurer, og deretter underavsnittet Domener. Oppført domener Nå må vi velge den vi skal bruke sammen med AD, og ved å høyreklikke på det valgte domenet, velge elementet "Konfigurer autentisering". Etter dette vil en ekstern LDAP-konfigurasjonsdialog vises på skjermen, der vi vil legge inn alle nødvendige data for å integrere Zimbra med AD.
Etter å ha lagt inn alle nødvendige data, bør du opprette en konfigurasjonsfil, for eksempel trykk på ~/Documents/autoprov.cfg, der vi vil legge inn en rekke kommandoer som må angis for å aktivere automatisk konfigurasjon av kontoer fra AD i EAGER-modus. I motsetning til LAZY Mode, hvor oppsettsprosessen er ekstremt enkel og alle innstillinger kan legges inn som kommandoer i CLI, er det i tilfelle av EAGER Mode bedre å spille det trygt og lagre alle innstillinger i en egen fil. Dette vil gjøre det lettere å gjøre endringer på dem hvis noe plutselig går galt.
Så etter å ha opprettet filen ~/Documents/autoprov.cfg, bør du legge inn følgende linjer i den, etter at du tidligere har tilpasset dem til infrastrukturen din:
md company.ru zimbraAutoProvAccountNameMap "samAccountName"
md company.ru +zimbraAutoProvAttrMap description=description
md company.ru +zimbraAutoProvAttrMap displayName=displayName
md company.ru +zimbraAutoProvAttrMap givenName=givenName
md company.ru +zimbraAutoProvAttrMap cn=cn
md company.ru +zimbraAutoProvAttrMap sn=sn
md company.ru zimbraAutoProvAuthMech LDAP
md company.ru zimbraAutoProvBatchSize 40
md company.ru zimbraAutoProvLdapAdminBindDn "CN=Administrator,CN=Users,DC=company,DC=ru"
md company.ru zimbraAutoProvLdapAdminBindPassword *********
md company.ru zimbraAutoProvLdapBindDn "Administrator@company.ru"
md company.ru zimbraAutoProvLdapSearchBase "CN=Users,dc=company,dc=ru"
md company.ru zimbraAutoProvLdapSearchFilter "(cn=%u)"
md company.ru zimbraAutoProvLdapURL "ldap://192.168.0.1:389"
md company.ru zimbraAutoProvMode EAGER
md company.ru zimbraAutoProvNotificationBody "Ваша учетная запись была создана автоматически. Адрес вашей электронной почты ${ACCOUNT_ADDRESS}."
md company.ru zimbraAutoProvNotificationFromAddress Administrator@company.ru
md company.ru zimbraAutoProvNotificationSubject "Новая учетная запись была создана автоматически"
ms mail.company.ru zimbraAutoProvPollingInterval "1m"
ms mail.company.ru +zimbraAutoProvScheduledDomains "company.ru"Takket være disse innstillingene tvinger vi Zimbra-serveren til å kontakte AD hvert minutt og motta informasjon om utseendet til nye brukere i databasen, og hvis de oppdages, opprette en konto for dem og sende en velkomstmelding.
Etter at alle endringer i filen er lagret, må du bruke innstillingene som er spesifisert i den ved å bruke kommandoen zmprov < ~/Documents/autoprov.cfg. Alle endringer som gjøres vil virke umiddelbart; det skal ikke være behov for å starte serveren på nytt.
Hvis automatisk konfigurering av kontoer fra AD i EAGER-modus fungerer, i filen /opt/zimbra/log/mailbox.log Fremdriften for automatisk konfigurasjon av kontoen vil vises i følgende skjema:
[AutoProvision] [] autoprov - Auto provisioning accounts on domain company.ru
[AutoProvision] [] autoprov - 1 external LDAP entries returned as search result
[AutoProvision] [] autoprov - auto creating account in EAGER mode: example@company.ru, dn="CN=example,OU=zimbrausers,DC=company,DC=ru"Hvis automatisk konfigurasjon av kontoer ikke fungerer, er problemet mest sannsynlig på AD-serversiden. I dette tilfellet må du se på feilkoden som oppstår. Vi presenterer de vanligste av dem:
525 - Bruker ikke funnet
52e - Ugyldig legitimasjon
530 - Ingen tillatelse til å gå inn på dette tidspunktet
531 - Du har ikke tillatelse til å logge på fra denne datamaskinen
532 — Passordet er utløpt
533 - Kontoen er suspendert
534 - Brukeren har ikke tilstrekkelige rettigheter til å logge på denne datamaskinen
701 - Kontoen har utløpt
773 - Brukeren må tilbakestille passordet
775 — Kontoens gyldighet er midlertidig begrenset
8350 - ugyldig distinguished Name-format
Kilde: www.habr.com
