ในบทความก่อนหน้าของเรา เกี่ยวกับวิธีที่คุณสามารถ "ผูกมิตร" ระหว่าง Zimbra และ MS Active Directory ซึ่งองค์กรรัสเซียส่วนใหญ่ใช้เพื่อจัดการบัญชีผู้ใช้ ในนั้น เราแนะนำให้ผู้ใช้ Zimbra ใช้วิธีที่ง่ายและปลอดภัยที่สุดในการสร้างกล่องจดหมายใน Zimbra โดยอิงตามข้อมูลจาก AD ที่เรียกว่าโหมด LAZY โหมดการทำงานนี้ช่วยให้คุณสร้างผู้ใช้ Zimbra ใหม่โดยอัตโนมัติด้วยชื่อผู้ใช้และรหัสผ่านจาก AD ทันทีที่คุณเข้าสู่ระบบเว็บไคลเอ็นต์ของ Zimbra เป็นครั้งแรก อย่างไรก็ตาม ต้องขอบคุณการอภิปรายที่เปิดเผยในความคิดเห็น ทำให้เห็นได้ชัดว่าผู้ดูแลระบบบางคนไม่เหมาะกับวิธีการกำหนดค่าผู้ใช้ Zimbra จาก AD โดยอัตโนมัติ ดังนั้นตอนนี้เราจะพูดถึงวิธีอื่นในการสร้างบัญชีผู้ใช้โดยอัตโนมัติตามข้อมูลจาก AD ที่เรียกว่าโหมด EAGER
โหมด LAZY และ EAGER แตกต่างกันในแนวทางการสร้างบัญชีใหม่ หากในกรณีของ LAZY ระบบรอให้ผู้ใช้เข้าสู่ระบบเว็บไคลเอ็นต์ของ Zimbra เพื่อสร้างผู้ใช้ใหม่ ในกรณีของ EAGER ระบบจะสำรวจเซิร์ฟเวอร์ด้วย AD เป็นระยะๆ เพื่อดูลักษณะที่ปรากฏของผู้ใช้ใหม่ และ หากคำตอบคือการยืนยัน คำตอบนั้นจะสร้างบัญชีใหม่โดยอิสระตามข้อมูลที่ได้รับจาก Active Directory ความแตกต่างที่ดูเหมือนไม่มีนัยสำคัญอาจทำให้การใช้โหมด LAZY ไม่สามารถยอมรับได้อย่างสมบูรณ์สำหรับผู้จัดการฝ่ายไอทีจำนวนหนึ่ง
กรณีดังกล่าวประการหนึ่งอาจเป็นการห้ามใช้เว็บไคลเอ็นต์ของ Zimbra โดยตรง เหตุผลนี้อาจเป็นการประหยัดพลังงานการประมวลผลของเซิร์ฟเวอร์ (เมื่อใช้เว็บไคลเอ็นต์ เซิร์ฟเวอร์ที่มี Zimbra สามารถให้บริการคุณภาพสูงสำหรับผู้ใช้ 2500 ราย และเมื่อใช้ไคลเอ็นต์เดสก์ท็อปและมือถือมากถึง 5-6 ราย) หรือองค์กร นโยบายความปลอดภัยที่ห้ามการใช้เว็บโดยตรง - ไคลเอนต์สำหรับการทำงานกับเมล การไม่มีเว็บไคลเอ็นต์ทำให้ไม่สามารถใช้โหมด LAZY ซึ่งใช้งานได้เฉพาะในนั้นเท่านั้น ซึ่งหมายความว่าผู้จัดการฝ่ายไอทีขององค์กรดังกล่าวไม่มีทางเลือกอื่นนอกจากใช้โหมด EAGER
ก่อนอื่น เราจะต้องเชื่อมต่อ AD เป็น LDAP ภายนอกกับ Zimbra โดยไปที่คอนโซลการดูแลระบบซึ่งอยู่ที่ mail.company.ru:7071/zimbraAdmin/จากนั้นเลือกรายการในแถบด้านข้างซ้าย กำหนดค่าและจากนั้นย่อหน้าย่อย โดเมน. จดทะเบียน โดเมน ตอนนี้เราต้องเลือกตัวที่เราจะใช้ร่วมกับ AD แล้วคลิกขวาที่โดเมนที่เลือก จากนั้นเลือกรายการนั้น "กำหนดค่าการรับรองความถูกต้อง"- หลังจากนี้ กล่องโต้ตอบการกำหนดค่า LDAP ภายนอกจะปรากฏขึ้นบนหน้าจอ ซึ่งเราจะป้อนข้อมูลที่จำเป็นทั้งหมดเพื่อรวม Zimbra เข้ากับ AD
หลังจากป้อนข้อมูลที่จำเป็นทั้งหมดแล้ว คุณควรสร้างไฟล์การกำหนดค่า เป็นต้น สัมผัส ~/Documents/autoprov.cfgซึ่งเราจะป้อนชุดคำสั่งที่ต้องป้อนเพื่อเปิดใช้งานการกำหนดค่าบัญชีอัตโนมัติจาก AD ในโหมด EAGER ต่างจากโหมด LAZY ที่ขั้นตอนการตั้งค่าง่ายมากและสามารถป้อนการตั้งค่าทั้งหมดเป็นคำสั่งใน CLI ได้ ในกรณีของโหมด EAGER ควรเล่นอย่างปลอดภัยและเก็บการตั้งค่าทั้งหมดไว้ในไฟล์แยกต่างหาก ซึ่งจะทำให้ง่ายต่อการเปลี่ยนแปลงหากมีอะไรผิดพลาดกะทันหัน
ดังนั้นหลังจากสร้างไฟล์ ~/Documents/autoprov.cfgคุณควรป้อนบรรทัดต่อไปนี้ โดยต้องปรับให้เข้ากับโครงสร้างพื้นฐานของคุณก่อนหน้านี้:
md company.ru zimbraAutoProvAccountNameMap "samAccountName"
md company.ru +zimbraAutoProvAttrMap description=description
md company.ru +zimbraAutoProvAttrMap displayName=displayName
md company.ru +zimbraAutoProvAttrMap givenName=givenName
md company.ru +zimbraAutoProvAttrMap cn=cn
md company.ru +zimbraAutoProvAttrMap sn=sn
md company.ru zimbraAutoProvAuthMech LDAP
md company.ru zimbraAutoProvBatchSize 40
md company.ru zimbraAutoProvLdapAdminBindDn "CN=Administrator,CN=Users,DC=company,DC=ru"
md company.ru zimbraAutoProvLdapAdminBindPassword *********
md company.ru zimbraAutoProvLdapBindDn "Administrator@company.ru"
md company.ru zimbraAutoProvLdapSearchBase "CN=Users,dc=company,dc=ru"
md company.ru zimbraAutoProvLdapSearchFilter "(cn=%u)"
md company.ru zimbraAutoProvLdapURL "ldap://192.168.0.1:389"
md company.ru zimbraAutoProvMode EAGER
md company.ru zimbraAutoProvNotificationBody "Ваша учетная запись была создана автоматически. Адрес вашей электронной почты ${ACCOUNT_ADDRESS}."
md company.ru zimbraAutoProvNotificationFromAddress Administrator@company.ru
md company.ru zimbraAutoProvNotificationSubject "Новая учетная запись была создана автоматически"
ms mail.company.ru zimbraAutoProvPollingInterval "1m"
ms mail.company.ru +zimbraAutoProvScheduledDomains "company.ru"ด้วยการตั้งค่าเหล่านี้ เราจึงบังคับให้เซิร์ฟเวอร์ Zimbra ติดต่อ AD ทุกนาทีและรับข้อมูลเกี่ยวกับลักษณะที่ปรากฏของผู้ใช้ใหม่ในฐานข้อมูล และหากตรวจพบ ให้สร้างบัญชีให้พวกเขาและส่งข้อความต้อนรับ
หลังจากบันทึกการเปลี่ยนแปลงทั้งหมดในไฟล์แล้ว คุณจะต้องใช้การตั้งค่าที่ระบุในไฟล์โดยใช้คำสั่ง zmprov < ~/Documents/autoprov.cfg- การเปลี่ยนแปลงทั้งหมดที่ทำจะมีผลทันที ไม่จำเป็นต้องรีสตาร์ทเซิร์ฟเวอร์
หากการกำหนดค่าบัญชีอัตโนมัติจาก AD ในโหมด EAGER ใช้งานได้ในไฟล์ /opt/zimbra/log/mailbox.log ความคืบหน้าของการกำหนดค่าบัญชีอัตโนมัติจะแสดงในรูปแบบต่อไปนี้:
[AutoProvision] [] autoprov - Auto provisioning accounts on domain company.ru
[AutoProvision] [] autoprov - 1 external LDAP entries returned as search result
[AutoProvision] [] autoprov - auto creating account in EAGER mode: example@company.ru, dn="CN=example,OU=zimbrausers,DC=company,DC=ru"หากการกำหนดค่าบัญชีอัตโนมัติไม่ทำงาน แสดงว่าปัญหาน่าจะอยู่ที่ฝั่งเซิร์ฟเวอร์ AD ในกรณีนี้คุณต้องดูรหัสข้อผิดพลาดที่เกิดขึ้น เรานำเสนอสิ่งที่พบบ่อยที่สุด:
525 - ไม่พบผู้ใช้
52e - ข้อมูลรับรองไม่ถูกต้อง
530 - ขณะนี้ยังไม่ได้รับอนุญาตให้เข้าไป
531 - คุณไม่ได้รับอนุญาตให้เข้าสู่ระบบจากคอมพิวเตอร์เครื่องนี้
532 — รหัสผ่านหมดอายุแล้ว
533 - บัญชีถูกระงับ
534 - ผู้ใช้ไม่มีสิทธิ์เพียงพอที่จะเข้าสู่ระบบคอมพิวเตอร์เครื่องนี้
701 - บัญชีหมดอายุแล้ว
773 - ผู้ใช้ต้องรีเซ็ตรหัสผ่าน
775 — ความถูกต้องของบัญชีถูกจำกัดชั่วคราว
8350 - รูปแบบ Distinguished Name ไม่ถูกต้อง
ที่มา: will.com
