Trong một trong những bài viết trước của chúng tôi về cách có thể “kết bạn” giữa Zimbra và MS Active Directory, phần mềm được hầu hết các doanh nghiệp Nga sử dụng để quản lý tài khoản người dùng. Trong đó, chúng tôi đề xuất người dùng Zimbra nên sử dụng cách dễ dàng và an toàn nhất để tạo hộp thư trong Zimbra dựa trên dữ liệu từ AD có tên là Chế độ LAZY. Chế độ hoạt động này cho phép bạn tự động tạo một người dùng Zimbra mới với tên người dùng và mật khẩu từ AD ngay khi bạn đăng nhập vào ứng dụng khách web Zimbra lần đầu tiên. Tuy nhiên, nhờ cuộc thảo luận diễn ra trong phần bình luận, rõ ràng là không phải tất cả quản trị viên đều phù hợp với phương pháp tự động định cấu hình người dùng Zimbra từ AD này. Do đó, bây giờ chúng ta sẽ nói về một cách khác để tự động hóa việc tạo tài khoản người dùng dựa trên dữ liệu từ AD được gọi là Chế độ EAGER.
Chế độ LAZY và EAGER khác nhau về cách tiếp cận tạo tài khoản mới. Nếu trong trường hợp LAZY, hệ thống đợi người dùng đăng nhập vào ứng dụng web Zimbra để tạo người dùng mới, thì trong trường hợp EAGER, hệ thống sẽ thăm dò định kỳ máy chủ bằng AD để tìm sự xuất hiện của người dùng mới và, nếu câu trả lời là khẳng định, nó sẽ tự động tạo một tài khoản mới dựa trên dữ liệu do Active Directory cung cấp. Một sự khác biệt tưởng chừng như không đáng kể có thể khiến việc sử dụng Chế độ LAZY hoàn toàn không được chấp nhận đối với một số nhà quản lý CNTT.
Một trường hợp như vậy có thể là lệnh cấm trực tiếp sử dụng ứng dụng khách web Zimbra. Nguyên nhân có thể là do tiết kiệm năng lượng tính toán của máy chủ (khi sử dụng máy chủ web, máy chủ với Zimbra có thể cung cấp dịch vụ chất lượng cao cho 2500 người dùng và khi sử dụng máy tính để bàn và máy khách di động lên tới 5-6 nghìn người dùng) hoặc doanh nghiệp. chính sách bảo mật cấm trực tiếp việc sử dụng web - một ứng dụng khách để làm việc với thư. Việc không có ứng dụng khách web khiến không thể sử dụng Chế độ LAZY, chế độ này chỉ hoạt động trong đó, điều đó có nghĩa là người quản lý CNTT của các doanh nghiệp đó không có lựa chọn nào khác ngoài việc sử dụng Chế độ EAGER.
Trước hết, chúng ta sẽ cần kết nối AD dưới dạng LDAP bên ngoài với Zimbra. Để thực hiện việc này, hãy đi tới bảng điều khiển quản trị, nằm ở mail.company.ru:7071/zimbraAdmin/, sau đó chọn mục ở thanh bên trái Thiết lập, và sau đó là đoạn văn Tên miền. Liệt kê các miền Bây giờ chúng ta cần chọn miền mà chúng ta sẽ sử dụng kết hợp với AD và, bằng cách nhấp chuột phải vào miền đã chọn, chọn mục đó. "Cấu hình xác thực". Sau đó, hộp thoại cấu hình LDAP bên ngoài sẽ xuất hiện trên màn hình, trong đó chúng ta sẽ nhập tất cả dữ liệu cần thiết để tích hợp Zimbra với AD.
Sau khi nhập tất cả dữ liệu cần thiết, bạn nên tạo một tệp cấu hình, ví dụ chạm vào ~/Documents/autoprov.cfg, trong đó chúng ta sẽ nhập một loạt lệnh phải nhập để kích hoạt tự động cấu hình tài khoản từ AD ở Chế độ EAGER. Không giống như Chế độ LAZY, trong đó quá trình thiết lập cực kỳ đơn giản và tất cả cài đặt có thể được nhập dưới dạng lệnh trong CLI, trong trường hợp Chế độ EAGER, tốt hơn hết bạn nên sử dụng an toàn và lưu trữ tất cả cài đặt trong một tệp riêng biệt. Điều này sẽ giúp việc thay đổi chúng trở nên dễ dàng hơn nếu có sự cố bất ngờ xảy ra.
Vì vậy sau khi tạo file ~/Documents/autoprov.cfg, bạn nên nhập các dòng sau vào đó, trước đó đã điều chỉnh chúng cho phù hợp với cơ sở hạ tầng của bạn:
md company.ru zimbraAutoProvAccountNameMap "samAccountName"
md company.ru +zimbraAutoProvAttrMap description=description
md company.ru +zimbraAutoProvAttrMap displayName=displayName
md company.ru +zimbraAutoProvAttrMap givenName=givenName
md company.ru +zimbraAutoProvAttrMap cn=cn
md company.ru +zimbraAutoProvAttrMap sn=sn
md company.ru zimbraAutoProvAuthMech LDAP
md company.ru zimbraAutoProvBatchSize 40
md company.ru zimbraAutoProvLdapAdminBindDn "CN=Administrator,CN=Users,DC=company,DC=ru"
md company.ru zimbraAutoProvLdapAdminBindPassword *********
md company.ru zimbraAutoProvLdapBindDn "Administrator@company.ru"
md company.ru zimbraAutoProvLdapSearchBase "CN=Users,dc=company,dc=ru"
md company.ru zimbraAutoProvLdapSearchFilter "(cn=%u)"
md company.ru zimbraAutoProvLdapURL "ldap://192.168.0.1:389"
md company.ru zimbraAutoProvMode EAGER
md company.ru zimbraAutoProvNotificationBody "Ваша учетная запись была создана автоматически. Адрес вашей электронной почты ${ACCOUNT_ADDRESS}."
md company.ru zimbraAutoProvNotificationFromAddress Administrator@company.ru
md company.ru zimbraAutoProvNotificationSubject "Новая учетная запись была создана автоматически"
ms mail.company.ru zimbraAutoProvPollingInterval "1m"
ms mail.company.ru +zimbraAutoProvScheduledDomains "company.ru"Nhờ những cài đặt này, chúng tôi buộc máy chủ Zimbra liên hệ với AD mỗi phút và nhận thông tin về sự xuất hiện của người dùng mới trong cơ sở dữ liệu và nếu phát hiện thấy họ, hãy tạo tài khoản cho họ và gửi tin nhắn chào mừng.
Sau khi tất cả các thay đổi trong tệp đã được lưu, bạn sẽ cần áp dụng các cài đặt được chỉ định trong đó bằng lệnh zmprov < ~/Documents/autoprov.cfg. Tất cả các thay đổi được thực hiện sẽ có hiệu lực ngay lập tức; không cần phải khởi động lại máy chủ.
Nếu tính năng tự động định cấu hình tài khoản từ AD ở Chế độ EAGER hoạt động, trong tệp /opt/zimbra/log/mailbox.log Tiến trình tự động cấu hình tài khoản sẽ được hiển thị dưới dạng sau:
[AutoProvision] [] autoprov - Auto provisioning accounts on domain company.ru
[AutoProvision] [] autoprov - 1 external LDAP entries returned as search result
[AutoProvision] [] autoprov - auto creating account in EAGER mode: example@company.ru, dn="CN=example,OU=zimbrausers,DC=company,DC=ru"Nếu tính năng tự động định cấu hình tài khoản không hoạt động thì rất có thể vấn đề nằm ở phía máy chủ AD. Trong trường hợp này, bạn cần xem mã lỗi xảy ra. Chúng tôi trình bày phổ biến nhất trong số họ:
525 - Không tìm thấy người dùng
52e - Thông tin đăng nhập không hợp lệ
530 - Không được phép vào lúc này
531 - Bạn không có quyền đăng nhập từ máy tính này
532 — Mật khẩu đã hết hạn
533 - Tài khoản đã bị đình chỉ
534 - Người dùng không có đủ quyền để đăng nhập vào máy tính này
701 - Tài khoản đã hết hạn
773 - Người dùng phải đặt lại mật khẩu
775 — Hiệu lực của tài khoản tạm thời bị giới hạn
8350 - định dạng Tên phân biệt không hợp lệ
Nguồn: www.habr.com
