Dalam salah satu artikel kami sebelumnya,
kami berbicara tentang bagaimana Anda dapat “berteman” dengan Zimbra dan MS Active Directory, yang digunakan oleh sebagian besar perusahaan Rusia untuk mengelola akun pengguna. Di dalamnya, kami menyarankan agar pengguna Zimbra menggunakan cara paling sederhana dan teraman untuk membuat kotak surat di Zimbra berdasarkan data dari AD yang disebut LAZY Mode. Mode operasi ini memungkinkan Anda untuk secara otomatis membuat pengguna Zimbra baru dengan nama pengguna dan kata sandi dari AD tepat pada saat login pertamanya ke klien web Zimbra. Namun, berkat diskusi yang terungkap dalam komentar, menjadi jelas bahwa tidak semua administrator akan menggunakan metode ini untuk menyetel otomatis pengguna Zimbra dari AD. Karena itu, sekarang kita akan berbicara tentang cara alternatif untuk mengotomatisasi pembuatan akun pengguna berdasarkan data dari AD yang disebut Mode EAGER.
Mode LAZY dan EAGER berbeda dalam pendekatan mereka untuk membuat akun baru. Jika dalam kasus LAZY, sistem menunggu pengguna untuk masuk ke klien web Zimbra untuk membuat pengguna baru, dalam kasus c EAGER, sistem secara berkala melakukan polling server dengan AD untuk pengguna baru, dan, dalam hal jawaban afirmatif, membuat yang baru sendiri akun berdasarkan data yang disediakan oleh Active Directory. Sekilas, perbedaan yang tidak signifikan dapat membuat penggunaan Mode LAZY sepenuhnya tidak dapat diterima oleh sejumlah manajer TI.
Salah satu dari kasus ini dapat menjadi larangan langsung terhadap penggunaan klien web Zimbra. Alasannya mungkin karena berkurangnya daya komputasi server (saat menggunakan klien web, server dengan Zimbra dapat menyediakan layanan berkualitas tinggi untuk 2500 pengguna, dan saat menggunakan klien desktop dan seluler hingga 5-6 ribu pengguna), atau kebijakan keamanan perusahaan yang secara langsung melarang penggunaan web Klien untuk bekerja dengan surat. Kurangnya klien web membuatnya tidak mungkin untuk menggunakan Mode LAZY, yang hanya berfungsi di dalamnya, yang berarti bahwa manajer TI dari perusahaan tersebut tidak punya pilihan selain menggunakan Mode EAGER.
Pertama-tama, kita perlu menghubungkan AD sebagai LDAP eksternal ke Zimbra. Untuk melakukan ini, buka konsol administrasi, yang terletak di
mail.company.ru:7071/zimbraAdmin/ , lalu pilih
Konfigurasi di panel sisi kiri dan kemudian sub-item
Domain . Dalam daftar domain sekarang Anda harus memilih yang akan kami gunakan bersama dengan AD dan, mengklik kanan pada domain yang dipilih, pilih
"Konfigurasi Otentikasi" . Setelah itu, dialog konfigurasi LDAP eksternal akan muncul di layar, di mana kami memasukkan semua data yang diperlukan untuk mengintegrasikan Zimbra dengan AD.
Setelah memasukkan semua data yang diperlukan, Anda harus membuat file konfigurasi, misalnya,
sentuh ~ / Documents / autoprov.cfg , di mana kami akan memasukkan serangkaian perintah yang harus dimasukkan untuk mengaktifkan konfigurasi otomatis akun dari AD dalam Mode EAGER. Tidak seperti LAZY Mode, di mana proses konfigurasi sangat sederhana dan semua pengaturan dapat dimasukkan sebagai perintah di CLI, dalam kasus Mode EAGER lebih baik memainkannya dengan aman dan menyimpan semua pengaturan dalam file terpisah. Jadi akan lebih mudah untuk membuat perubahan di dalamnya jika ada sesuatu yang tiba-tiba salah.
Jadi, setelah membuat file
~ / Documents / autoprov.cfg , Anda harus memasukkan baris berikut ke dalamnya, setelah mengadaptasinya ke infrastruktur Anda:
md company.ru zimbraAutoProvAccountNameMap "samAccountName" md company.ru +zimbraAutoProvAttrMap description=description md company.ru +zimbraAutoProvAttrMap displayName=displayName md company.ru +zimbraAutoProvAttrMap givenName=givenName md company.ru +zimbraAutoProvAttrMap cn=cn md company.ru +zimbraAutoProvAttrMap sn=sn md company.ru zimbraAutoProvAuthMech LDAP md company.ru zimbraAutoProvBatchSize 40 md company.ru zimbraAutoProvLdapAdminBindDn "CN=Administrator,CN=Users,DC=company,DC=ru" md company.ru zimbraAutoProvLdapAdminBindPassword ********* md company.ru zimbraAutoProvLdapBindDn "Administrator@company.ru" md company.ru zimbraAutoProvLdapSearchBase "CN=Users,dc=company,dc=ru" md company.ru zimbraAutoProvLdapSearchFilter "(cn=%u)" md company.ru zimbraAutoProvLdapURL "ldap://192.168.0.1:389" md company.ru zimbraAutoProvMode EAGER md company.ru zimbraAutoProvNotificationBody " . ${ACCOUNT_ADDRESS}." md company.ru zimbraAutoProvNotificationFromAddress Administrator@company.ru md company.ru zimbraAutoProvNotificationSubject " " ms mail.company.ru zimbraAutoProvPollingInterval "1m" ms mail.company.ru +zimbraAutoProvScheduledDomains "company.ru"
Berkat pengaturan ini, kami memaksa server Zimbra untuk mengakses AD setiap menit dan menerima informasi tentang penampilan pengguna baru dalam database, dan jika mereka ditemukan, buat akun untuk mereka dan kirim pesan selamat datang.
Seperti yang dicatat oleh pembaca kami, ketika mengatur, sangat penting untuk memperhatikan nuansa berikut:
- Baris dari bentuk "md company.ru" - membuat perubahan pada domain, yang terletak di dalam server mail. Mungkin ada beberapa domain di satu server email.
- Baris dari form "ms mail.company.ru" - buat perubahan pada server email itu sendiri.
- Dua metode untuk secara otomatis mengatur akun dari AD dapat hidup berdampingan di satu domain. Artinya, Anda dapat menjalankan + zimbraAutoProvMode LAZY dan + zimbraAutoProvMode EAGER satu demi satu. Karena ini, Anda dapat meningkatkan interval akses ke server hingga satu jam atau lebih.
Setelah semua perubahan pada file disimpan, akan diperlukan untuk menerapkan pengaturan yang ditentukan di dalamnya menggunakan perintah
zmprov <~ / Documents / autoprov.cfg . Semua perubahan yang dilakukan akan segera bekerja, kebutuhan untuk me-restart server seharusnya tidak muncul.
Jika konfigurasi otomatis akun dari Mode AD ke EAGER
berfungsi , progres
konfigurasi otomatis
akun akan ditampilkan dalam file
/opt/zimbra/log/mailbox.log sebagai berikut:
[AutoProvision] [] autoprov - Auto provisioning accounts on domain company.ru [AutoProvision] [] autoprov - 1 external LDAP entries returned as search result [AutoProvision] [] autoprov - auto creating account in EAGER mode: example@company.ru, dn="CN=example,OU=zimbrausers,DC=company,DC=ru"
Jika penyetelan otomatis akun tidak berfungsi, maka masalahnya kemungkinan besar ada di sisi server AD. Dalam hal ini, Anda perlu melihat kode kesalahan yang muncul. Kami memberikan yang paling umum:
525 - Pengguna tidak ditemukan
52e - Kredensial Tidak Valid
530 - Tidak ada izin masuk saat ini
531 - Tidak ada izin untuk masuk dari komputer ini
532 - Kata sandi telah kedaluwarsa
533 - Tindakan akun dihentikan
534 - Pengguna tidak memiliki hak yang cukup untuk masuk dari komputer ini
701 - Akun telah kedaluwarsa
773 - Pengguna harus mengatur ulang kata sandi
775 - Akun ini sementara dibatasi
8350 - Format Nama Distinguished Tidak Valid
Untuk semua pertanyaan yang terkait dengan Zextras Suite, Anda dapat menghubungi perwakilan perusahaan "Zextras" Katerina Triandafilidi melalui email katerina@zextras.com