Dans l'un de nos précédents articles,
nous avons expliqué comment vous pouvez vous «faire des amis» avec Zimbra et MS Active Directory, qui est utilisé par la plupart des entreprises russes pour gérer les comptes d'utilisateurs. Dans ce document, nous avons suggéré que les utilisateurs de Zimbra utilisent le moyen le plus simple et le plus sûr pour créer des boîtes aux lettres dans Zimbra sur la base des données d'AD appelées mode LAZY. Ce mode de fonctionnement vous permet de créer automatiquement un nouvel utilisateur Zimbra avec un nom d'utilisateur et un mot de passe d'AD dès sa première connexion au client Web Zimbra. Cependant, grâce à la discussion qui s'est déroulée dans les commentaires, il est devenu clair que tous les administrateurs n'utiliseraient pas cette méthode de réglage automatique des utilisateurs de Zimbra depuis AD. Par conséquent, nous allons maintenant parler d'un autre moyen d'automatiser la création de comptes d'utilisateurs basés sur les données d'AD appelé Mode EAGER.
Les modes LAZY et EAGER diffèrent dans leurs approches de création de nouveaux comptes. Si dans le cas de LAZY, le système attend que l'utilisateur se connecte au client Web Zimbra pour créer un nouvel utilisateur, dans le cas de c EAGER, le système interroge périodiquement le serveur avec AD pour les nouveaux utilisateurs et, dans le cas d'une réponse affirmative, en crée un nouveau par lui-même compte basé sur les données fournies par Active Directory. Une différence insignifiante à première vue peut rendre l'utilisation du mode LAZY totalement inacceptable pour un certain nombre de responsables informatiques.
Un tel cas pourrait être une interdiction directe de l'utilisation du client Web Zimbra. La raison peut être une réduction de la puissance de calcul du serveur (lors de l'utilisation d'un client Web, un serveur avec Zimbra peut fournir un service de haute qualité à 2500 utilisateurs, et lors de l'utilisation de clients de bureau et mobiles jusqu'à 5-6 mille utilisateurs), ou d'une politique de sécurité d'entreprise qui interdit directement l'utilisation du Web. -client pour travailler avec le courrier. L'absence d'un client Web rend impossible l'utilisation du mode LAZY, qui ne fonctionne que dans celui-ci, ce qui signifie que les responsables informatiques de ces entreprises n'ont d'autre choix que d'utiliser le mode EAGER.
Tout d'abord, nous devons connecter AD en tant que LDAP externe à Zimbra. Pour ce faire, accédez à la console d'administration, qui se trouve sur
mail.company.ru:7071/zimbraAdmin/ , puis sélectionnez
Configurer dans le panneau de gauche, puis le sous-élément
Domaines . Dans la liste des domaines, vous devez maintenant sélectionner celui que nous utiliserons conjointement avec AD et, en cliquant avec le bouton droit sur le domaine sélectionné, sélectionnez
"Configurer l'authentification" . Après cela, la boîte de dialogue de configuration LDAP externe apparaîtra à l'écran, dans laquelle nous entrons toutes les données nécessaires pour intégrer Zimbra à AD.
Après avoir entré toutes les données nécessaires, vous devez créer un fichier de configuration, par exemple,
appuyez sur ~ / Documents / autoprov.cfg , dans lequel nous entrerons une série de commandes qui doivent être saisies pour activer la configuration automatique des comptes d'AD en mode EAGER. Contrairement au mode LAZY, où le processus de configuration est extrêmement simple et tous les paramètres peuvent être saisis sous forme de commandes dans la CLI, dans le cas du mode EAGER, il est préférable de jouer en toute sécurité et de stocker tous les paramètres dans un fichier séparé. Il sera donc plus facile de les modifier en cas de problème soudain.
Ainsi, après avoir créé le
fichier ~ / Documents / autoprov.cfg , vous devez y entrer les lignes suivantes, après les avoir adaptées à votre infrastructure:
md company.ru zimbraAutoProvAccountNameMap "samAccountName" md company.ru +zimbraAutoProvAttrMap description=description md company.ru +zimbraAutoProvAttrMap displayName=displayName md company.ru +zimbraAutoProvAttrMap givenName=givenName md company.ru +zimbraAutoProvAttrMap cn=cn md company.ru +zimbraAutoProvAttrMap sn=sn md company.ru zimbraAutoProvAuthMech LDAP md company.ru zimbraAutoProvBatchSize 40 md company.ru zimbraAutoProvLdapAdminBindDn "CN=Administrator,CN=Users,DC=company,DC=ru" md company.ru zimbraAutoProvLdapAdminBindPassword ********* md company.ru zimbraAutoProvLdapBindDn "Administrator@company.ru" md company.ru zimbraAutoProvLdapSearchBase "CN=Users,dc=company,dc=ru" md company.ru zimbraAutoProvLdapSearchFilter "(cn=%u)" md company.ru zimbraAutoProvLdapURL "ldap://192.168.0.1:389" md company.ru zimbraAutoProvMode EAGER md company.ru zimbraAutoProvNotificationBody " . ${ACCOUNT_ADDRESS}." md company.ru zimbraAutoProvNotificationFromAddress Administrator@company.ru md company.ru zimbraAutoProvNotificationSubject " " ms mail.company.ru zimbraAutoProvPollingInterval "1m" ms mail.company.ru +zimbraAutoProvScheduledDomains "company.ru"
Grâce à ces paramètres, nous forçons le serveur Zimbra à accéder à AD toutes les minutes et à recevoir des informations sur l'apparition de nouveaux utilisateurs dans la base de données, et s'ils sont trouvés, créez un compte pour eux et envoyez un message de bienvenue.
Comme notre lecteur l'a noté, lors de la configuration, il est très important de faire attention aux nuances suivantes:
- Lignes du formulaire «md company.ru» - modifiez le domaine, qui se trouve à l'intérieur du serveur de messagerie. Il peut y avoir plusieurs domaines sur un serveur de messagerie.
- Lignes du formulaire «ms mail.company.ru» - modifiez le serveur de messagerie lui-même.
- Deux méthodes pour configurer automatiquement des comptes depuis AD peuvent coexister sur un domaine. Autrement dit, vous pouvez exécuter + zimbraAutoProvMode LAZY et + zimbraAutoProvMode EAGER l'un après l'autre. Pour cette raison, vous pouvez augmenter l'intervalle d'accès au serveur jusqu'à une heure ou plus.
Une fois toutes les modifications du fichier enregistrées, il sera nécessaire d'appliquer les paramètres qui y sont spécifiés à l'aide de la commande
zmprov <~ / Documents / autoprov.cfg . Toutes les modifications apportées fonctionneront immédiatement, la nécessité de redémarrer le serveur ne devrait pas survenir.
Dans le cas où la configuration automatique des comptes du mode AD au mode EAGER
fonctionne , la progression de la
configuration automatique
des comptes sera affichée dans le fichier
/opt/zimbra/log/mailbox.log comme suit:
[AutoProvision] [] autoprov - Auto provisioning accounts on domain company.ru [AutoProvision] [] autoprov - 1 external LDAP entries returned as search result [AutoProvision] [] autoprov - auto creating account in EAGER mode: example@company.ru, dn="CN=example,OU=zimbrausers,DC=company,DC=ru"
Si le réglage automatique du compte ne fonctionne pas, le problème est probablement du côté du serveur AD. Dans ce cas, vous devez regarder le code d'erreur qui apparaît. Nous en donnons les plus courants:
525 - Utilisateur introuvable
52e - Identifiants invalides
530 - Aucune autorisation d'entrée pour le moment
531 - Aucune autorisation pour se connecter à partir de cet ordinateur
532 - Le mot de passe a expiré
533 - Action de compte arrêtée
534 - L'utilisateur n'a pas les privilèges suffisants pour se connecter à partir de cet ordinateur
701 - Le compte a expiré
773 - L'utilisateur doit réinitialiser le mot de passe
775 - Le compte est temporairement limité
8350 - Format de nom distinctif non valide
Pour toutes questions relatives à la Suite Zextras, vous pouvez contacter le représentant de Zextras Katerina Triandafilidi par e-mail katerina@zextras.com