Crear automáticamente cuentas desde AD en Zimbra Collaboration Suite

En uno de nuestros artículos anteriores, hablamos sobre cómo puede "hacer amigos" con Zimbra y MS Active Directory, que es utilizado por la mayoría de las empresas rusas para administrar cuentas de usuario. En él, sugerimos que los usuarios de Zimbra utilicen la forma más simple y segura de crear buzones en Zimbra en función de los datos de AD llamados LAZY Mode. Este modo de operación le permite crear automáticamente un nuevo usuario de Zimbra con un nombre de usuario y contraseña de AD justo en el momento de su primer inicio de sesión en el cliente web de Zimbra. Sin embargo, gracias a la discusión que se desarrolló en los comentarios, quedó claro que no todos los administradores usarían este método de autoajuste de usuarios de Zimbra desde AD. Por lo tanto, ahora hablaremos de una forma alternativa de automatizar la creación de cuentas de usuario basadas en datos de AD llamada EAGER Mode.



Los modos LAZY y EAGER difieren en sus enfoques para crear nuevas cuentas. Si en el caso de LAZY, el sistema espera a que el usuario inicie sesión en el cliente web de Zimbra para crear un nuevo usuario, en el caso de c EAGER, el sistema sondea periódicamente el servidor con AD para nuevos usuarios y, en el caso de una respuesta afirmativa, crea uno nuevo por su cuenta cuenta basada en datos proporcionados por Active Directory. Una diferencia insignificante, a primera vista, puede hacer que el uso del modo LAZY sea completamente inaceptable para varios gerentes de TI.

Uno de estos casos podría ser una prohibición directa del uso del cliente web de Zimbra. La razón de esto puede ser una reducción en la potencia informática del servidor (cuando se usa un cliente web, un servidor con Zimbra puede proporcionar un servicio de alta calidad para 2500 usuarios, y cuando se usan clientes de escritorio y móviles de hasta 5-6 mil usuarios), o una política de seguridad empresarial que prohíbe directamente el uso de la web -cliente para trabajar con correo. La falta de un cliente web hace que sea imposible usar el modo LAZY, que solo funciona en él, lo que significa que los gerentes de TI de tales empresas no tienen más remedio que usar el modo EAGER.

En primer lugar, necesitamos conectar AD como un LDAP externo a Zimbra. Para hacer esto, vaya a la consola de administración, que se encuentra en mail.company.ru:7071/zimbraAdmin/ , y luego seleccione Configurar en el panel lateral izquierdo y luego el subelemento Dominios . En la lista de dominios ahora debe seleccionar el que usaremos junto con AD y, al hacer clic con el botón derecho en el dominio seleccionado, seleccione "Configurar autenticación" . Después de eso, aparecerá el cuadro de diálogo de configuración de LDAP externo en la pantalla, en el que ingresaremos todos los datos necesarios para integrar Zimbra con AD.

Después de ingresar todos los datos necesarios, debe crear un archivo de configuración, por ejemplo, toque ~ / Documents / autoprov.cfg , en el que ingresaremos una serie de comandos que deben ingresarse para activar la configuración automática de cuentas de AD en modo EAGER. A diferencia del modo LAZY, donde el proceso de configuración es extremadamente simple y todas las configuraciones se pueden ingresar como comandos en la CLI, en el caso del modo EAGER es mejor ir a lo seguro y almacenar todas las configuraciones en un archivo separado. Por lo tanto, será más fácil hacer cambios en ellos si algo sale mal de repente.

Entonces, después de crear el archivo ~ / Documents / autoprov.cfg , debe ingresar las siguientes líneas, luego de adaptarlas a su infraestructura:

md company.ru zimbraAutoProvAccountNameMap "samAccountName" md company.ru +zimbraAutoProvAttrMap description=description md company.ru +zimbraAutoProvAttrMap displayName=displayName md company.ru +zimbraAutoProvAttrMap givenName=givenName md company.ru +zimbraAutoProvAttrMap cn=cn md company.ru +zimbraAutoProvAttrMap sn=sn md company.ru zimbraAutoProvAuthMech LDAP md company.ru zimbraAutoProvBatchSize 40 md company.ru zimbraAutoProvLdapAdminBindDn "CN=Administrator,CN=Users,DC=company,DC=ru" md company.ru zimbraAutoProvLdapAdminBindPassword ********* md company.ru zimbraAutoProvLdapBindDn "Administrator@company.ru" md company.ru zimbraAutoProvLdapSearchBase "CN=Users,dc=company,dc=ru" md company.ru zimbraAutoProvLdapSearchFilter "(cn=%u)" md company.ru zimbraAutoProvLdapURL "ldap://192.168.0.1:389" md company.ru zimbraAutoProvMode EAGER md company.ru zimbraAutoProvNotificationBody "     .     ${ACCOUNT_ADDRESS}." md company.ru zimbraAutoProvNotificationFromAddress Administrator@company.ru md company.ru zimbraAutoProvNotificationSubject "     " ms mail.company.ru zimbraAutoProvPollingInterval "1m" ms mail.company.ru +zimbraAutoProvScheduledDomains "company.ru" 

Gracias a esta configuración, forzamos al servidor Zimbra a acceder a AD cada minuto y recibir información sobre la aparición de nuevos usuarios en la base de datos, y si se encuentran, cree una cuenta para ellos y envíe un mensaje de bienvenida.

Como señaló nuestro lector, al configurar, es muy importante prestar atención a los siguientes matices:

• Líneas del formulario "md company.ru": realice cambios en el dominio, que se encuentra dentro del servidor de correo. Puede haber varios dominios en un servidor de correo.
• Líneas del formulario "ms mail.company.ru": realice cambios en el servidor de correo.
• Dos métodos para configurar automáticamente cuentas desde AD pueden coexistir en un dominio. Es decir, puede ejecutar + zimbraAutoProvMode LAZY y + zimbraAutoProvMode EAGER uno tras otro. Debido a esto, puede aumentar el intervalo de acceso al servidor hasta una hora o más.

Después de guardar todos los cambios en el archivo, será necesario aplicar la configuración especificada en él utilizando el comando zmprov <~ / Documents / autoprov.cfg . Todos los cambios realizados funcionarán de inmediato, no debe surgir la necesidad de reiniciar el servidor.

En el caso de que funcione la configuración automática de cuentas de AD a EAGER Mode, el progreso de la configuración automática de cuentas en el siguiente formulario se mostrará en el archivo /opt/zimbra/log/mailbox.log :

 [AutoProvision] [] autoprov - Auto provisioning accounts on domain company.ru [AutoProvision] [] autoprov - 1 external LDAP entries returned as search result [AutoProvision] [] autoprov - auto creating account in EAGER mode: example@company.ru, dn="CN=example,OU=zimbrausers,DC=company,DC=ru" 

Si el ajuste automático de la cuenta no funciona, entonces el problema es más probable en el lado del servidor AD. En este caso, debe mirar el código de error que aparece. Damos los más comunes de ellos:

525 - Usuario no encontrado
52e - Credenciales inválidas
530 - Sin permiso de entrada en este momento
531 - Sin permiso para iniciar sesión desde esta computadora
532 - La contraseña ha expirado
533 - Acción de cuenta detenida
534 - El usuario no tiene privilegios suficientes para iniciar sesión desde esta computadora
701 - La cuenta ha expirado
773 - El usuario debe restablecer la contraseña
775 - La cuenta está temporalmente limitada
8350 - Formato de nombre distinguido no válido

Para todas las preguntas relacionadas con Zextras Suite, puede contactar al representante de Zextras Katerina Triandafilidi por correo electrónico katerina@zextras.com