In einem unserer früheren Artikel haben
wir darüber gesprochen, wie Sie sich mit Zimbra und MS Active Directory "anfreunden" können, das von den meisten russischen Unternehmen zur Verwaltung von Benutzerkonten verwendet wird. Darin haben wir vorgeschlagen, dass Zimbra-Benutzer die einfachste und sicherste Methode zum Erstellen von Postfächern in Zimbra verwenden, die auf Daten von AD basieren, die als LAZY-Modus bezeichnet werden. Mit dieser Betriebsart können Sie automatisch einen neuen Zimbra-Benutzer mit einem Namen und einem Kennwort von AD direkt zum Zeitpunkt seiner ersten Anmeldung beim Zimbra-Webclient erstellen. Dank der Diskussion in den Kommentaren wurde jedoch klar, dass nicht alle Administratoren diese Methode zur automatischen Optimierung von Zimbra-Benutzern von AD verwenden würden. Daher werden wir jetzt über eine alternative Möglichkeit sprechen, die Erstellung von Benutzerkonten basierend auf Daten aus AD zu automatisieren, die als EAGER-Modus bezeichnet wird.
Der LAZY- und der EAGER-Modus unterscheiden sich in ihren Ansätzen zum Erstellen neuer Konten. Wenn im Fall von LAZY das System darauf wartet, dass sich der Benutzer beim Zimbra-Webclient anmeldet, um einen neuen Benutzer zu erstellen, fragt das System im Fall von c EAGER den Server regelmäßig mit AD nach neuen Benutzern ab und erstellt im Fall einer positiven Antwort selbst einen neuen Konto basierend auf Daten, die von Active Directory bereitgestellt werden. Ein auf den ersten Blick unbedeutender Unterschied kann dazu führen, dass die Verwendung des LAZY-Modus für eine Reihe von IT-Managern völlig inakzeptabel ist.
Einer dieser Fälle könnte ein direktes Verbot der Verwendung des Zimbra-Webclients sein. Der Grund dafür kann eine Verringerung der Rechenleistung des Servers sein (bei Verwendung eines Webclients kann ein Server mit Zimbra 2500 Benutzern einen qualitativ hochwertigen Service bieten und bei Verwendung von Desktop- und Mobilclients bis zu 5-6.000 Benutzern) oder eine Sicherheitsrichtlinie für Unternehmen, die die Verwendung des Webs direkt verbietet -Client für die Arbeit mit Mail. Das Fehlen eines Webclients macht es unmöglich, den LAZY-Modus zu verwenden, der nur darin funktioniert, was bedeutet, dass IT-Manager solcher Unternehmen keine andere Wahl haben, als den EAGER-Modus zu verwenden.
Zunächst müssen wir AD als externes LDAP mit Zimbra verbinden. Rufen Sie dazu die Administrationskonsole auf, die sich unter
mail.company.ru:7071/zimbraAdmin/ befindet , und wählen Sie dann im linken Seitenbereich
Konfigurieren und dann das
Unterelement Domänen aus . In der Liste der Domains müssen Sie nun die Domain auswählen, die wir in Verbindung mit AD verwenden möchten, und mit der rechten Maustaste auf die ausgewählte Domain
"Authentifizierung konfigurieren" auswählen. Danach erscheint der externe LDAP-Konfigurationsdialog auf dem Bildschirm, in dem wir alle notwendigen Daten für die Integration von Zimbra in AD eingeben.
Nachdem Sie alle erforderlichen Daten
eingegeben haben , sollten Sie eine Konfigurationsdatei erstellen, z. B.
~ / Documents / autoprov.cfg , in die wir eine Reihe von Befehlen eingeben, die eingegeben werden müssen, um die automatische Konfiguration von Konten aus AD im EAGER-Modus zu aktivieren. Im Gegensatz zum LAZY-Modus, in dem der Konfigurationsprozess extrem einfach ist und alle Einstellungen als Befehle in die CLI eingegeben werden können, ist es im EAGER-Modus besser, auf Nummer sicher zu gehen und alle Einstellungen in einer separaten Datei zu speichern. Es ist also einfacher, Änderungen daran vorzunehmen, wenn plötzlich etwas schief geht.
Nachdem
Sie die Datei ~ / Documents / autoprov.cfg erstellt haben , sollten Sie die folgenden Zeilen eingeben, nachdem Sie sie an Ihre Infrastruktur angepasst haben:
md company.ru zimbraAutoProvAccountNameMap "samAccountName" md company.ru +zimbraAutoProvAttrMap description=description md company.ru +zimbraAutoProvAttrMap displayName=displayName md company.ru +zimbraAutoProvAttrMap givenName=givenName md company.ru +zimbraAutoProvAttrMap cn=cn md company.ru +zimbraAutoProvAttrMap sn=sn md company.ru zimbraAutoProvAuthMech LDAP md company.ru zimbraAutoProvBatchSize 40 md company.ru zimbraAutoProvLdapAdminBindDn "CN=Administrator,CN=Users,DC=company,DC=ru" md company.ru zimbraAutoProvLdapAdminBindPassword ********* md company.ru zimbraAutoProvLdapBindDn "Administrator@company.ru" md company.ru zimbraAutoProvLdapSearchBase "CN=Users,dc=company,dc=ru" md company.ru zimbraAutoProvLdapSearchFilter "(cn=%u)" md company.ru zimbraAutoProvLdapURL "ldap://192.168.0.1:389" md company.ru zimbraAutoProvMode EAGER md company.ru zimbraAutoProvNotificationBody " . ${ACCOUNT_ADDRESS}." md company.ru zimbraAutoProvNotificationFromAddress Administrator@company.ru md company.ru zimbraAutoProvNotificationSubject " " ms mail.company.ru zimbraAutoProvPollingInterval "1m" ms mail.company.ru +zimbraAutoProvScheduledDomains "company.ru"
Dank dieser Einstellungen zwingen wir den Zimbra-Server, jede Minute auf AD zuzugreifen und Informationen über das Auftreten neuer Benutzer in der Datenbank zu erhalten. Wenn diese gefunden werden, erstellen Sie ein Konto für sie und senden Sie eine Willkommensnachricht.
Wie unser Leser feststellte, ist es beim Einrichten sehr wichtig, die folgenden Nuancen zu beachten:
- Zeilen des Formulars "md company.ru" - Nehmen Sie Änderungen an der Domäne vor, die sich im Mailserver befindet. Auf einem Mailserver können sich mehrere Domänen befinden.
- Zeilen des Formulars "ms mail.company.ru" - Nehmen Sie Änderungen am Mailserver selbst vor.
- Zwei Methoden zum automatischen Einrichten von Konten über AD können in einer Domäne gleichzeitig vorhanden sein. Das heißt, Sie können + zimbraAutoProvMode LAZY und + zimbraAutoProvMode EAGER nacheinander ausführen. Aus diesem Grund können Sie das Zugriffsintervall auf den Server auf eine Stunde oder mehr verlängern.
Nachdem alle Änderungen an der Datei gespeichert wurden, müssen die darin angegebenen Einstellungen mit dem Befehl
zmprov <~ / Documents / autoprov.cfg angewendet werden . Alle vorgenommenen Änderungen funktionieren sofort. Die Notwendigkeit eines Neustarts des Servers sollte nicht auftreten.
Für den Fall, dass die automatische Konfiguration von Konten von AD in den EAGER-Modus
funktioniert , wird der Fortschritt der automatischen Konfiguration von Konten in der Datei
/opt/zimbra/log/mailbox.log wie folgt angezeigt:
[AutoProvision] [] autoprov - Auto provisioning accounts on domain company.ru [AutoProvision] [] autoprov - 1 external LDAP entries returned as search result [AutoProvision] [] autoprov - auto creating account in EAGER mode: example@company.ru, dn="CN=example,OU=zimbrausers,DC=company,DC=ru"
Wenn die automatische Kontooptimierung nicht funktioniert, liegt das Problem höchstwahrscheinlich auf der AD-Serverseite. In diesem Fall müssen Sie sich den angezeigten Fehlercode ansehen. Wir geben die häufigsten von ihnen:
525 - Benutzer nicht gefunden
52e - Ungültige Anmeldeinformationen
530 - Derzeit keine Einreisegenehmigung
531 - Keine Berechtigung zum Anmelden von diesem Computer
532 - Passwort ist abgelaufen
533 - Kontoaktion gestoppt
534 - Der Benutzer verfügt nicht über ausreichende Berechtigungen, um sich von diesem Computer aus anzumelden
701 - Das Konto ist abgelaufen
773 - Der Benutzer muss das Passwort zurücksetzen
775 - Das Konto ist vorübergehend begrenzt
8350 - Ungültiges Distinguished Name-Format
Bei allen Fragen zur Zextras Suite können Sie sich per E-Mail an katerina@zextras.com an den Vertreter der Firma "Zextras" Katerina Triandafilidi wenden