Em um de nossos artigos anteriores,
falamos sobre como você pode "fazer amizade" com o Zimbra e o MS Active Directory, usado pela maioria das empresas russas para gerenciar contas de usuários. Nele, sugerimos que os usuários do Zimbra usassem a maneira mais simples e segura de criar caixas de correio no Zimbra com base nos dados do AD, chamados de Modo LAZY. Esse modo de operação permite criar automaticamente um novo usuário do Zimbra com um nome de usuário e senha do AD, no momento de seu primeiro login no cliente da Web do Zimbra. No entanto, graças à discussão que se desenrolou nos comentários, ficou claro que nem todos os administradores usariam esse método de ajuste automático de usuários do Zimbra do AD. Portanto, agora falaremos sobre uma maneira alternativa de automatizar a criação de contas de usuário com base nos dados do AD, chamados Modo EAGER.
Os modos LAZY e EAGER diferem em suas abordagens para criar novas contas. Se, no caso do LAZY, o sistema aguardar que o usuário efetue login no cliente Web Zimbra para criar um novo usuário, no caso do c EAGER, o sistema pesquisará periodicamente o servidor com o AD para novos usuários e, no caso de uma resposta afirmativa, criará um novo por conta própria. conta com base nos dados fornecidos pelo Active Directory. Uma diferença insignificante, à primeira vista, pode tornar o uso do Modo LAZY completamente inaceitável para vários gerentes de TI.
Um desses casos pode ser uma proibição direta do uso do cliente da web Zimbra. O motivo para isso pode ser uma redução no poder de computação do servidor (ao usar um cliente da Web, um servidor com Zimbra pode fornecer um serviço de alta qualidade para 2500 usuários e ao usar clientes de desktop e móveis de 5 a 6 mil usuários) ou uma política de segurança corporativa que proíbe diretamente o uso da Web. -client para trabalhar com correio. A falta de um cliente da Web torna impossível o uso do modo LAZY, que funciona apenas nele, o que significa que os gerentes de TI de tais empresas não têm outra opção a não ser usar o modo EAGER.
Primeiro de tudo, precisamos conectar o AD como um LDAP externo ao Zimbra. Para fazer isso, acesse o console de administração, localizado em
mail.company.ru:7071/zimbraAdmin/ , selecione
Configuração no painel esquerdo e, em seguida, o subitem
Domínios . Agora, na lista de domínios, você precisa selecionar o que usaremos em conjunto com o AD e, clicando com o botão direito do mouse no domínio selecionado, selecionar
"Configurar autenticação" . Depois disso, a caixa de diálogo de configuração LDAP externa aparecerá na tela, na qual inserimos todos os dados necessários para integrar o Zimbra ao AD.
Após inserir todos os dados necessários, você deve criar um arquivo de configuração, por exemplo,
toque em ~ / Documents / autoprov.cfg , no qual inseriremos uma série de comandos que devem ser inseridos para ativar a configuração automática de contas do AD no modo EAGER. Diferente do modo LAZY, onde o processo de configuração é extremamente simples e todas as configurações podem ser inseridas como comandos na CLI, no caso do modo EAGER, é melhor jogar com segurança e armazenar todas as configurações em um arquivo separado. Portanto, será mais fácil fazer alterações se algo de repente der errado.
Portanto, depois de criar o
arquivo ~ / Documents / autoprov.cfg , você deve inserir as seguintes linhas nele, depois de adaptá-las à sua infraestrutura:
md company.ru zimbraAutoProvAccountNameMap "samAccountName" md company.ru +zimbraAutoProvAttrMap description=description md company.ru +zimbraAutoProvAttrMap displayName=displayName md company.ru +zimbraAutoProvAttrMap givenName=givenName md company.ru +zimbraAutoProvAttrMap cn=cn md company.ru +zimbraAutoProvAttrMap sn=sn md company.ru zimbraAutoProvAuthMech LDAP md company.ru zimbraAutoProvBatchSize 40 md company.ru zimbraAutoProvLdapAdminBindDn "CN=Administrator,CN=Users,DC=company,DC=ru" md company.ru zimbraAutoProvLdapAdminBindPassword ********* md company.ru zimbraAutoProvLdapBindDn "Administrator@company.ru" md company.ru zimbraAutoProvLdapSearchBase "CN=Users,dc=company,dc=ru" md company.ru zimbraAutoProvLdapSearchFilter "(cn=%u)" md company.ru zimbraAutoProvLdapURL "ldap://192.168.0.1:389" md company.ru zimbraAutoProvMode EAGER md company.ru zimbraAutoProvNotificationBody " . ${ACCOUNT_ADDRESS}." md company.ru zimbraAutoProvNotificationFromAddress Administrator@company.ru md company.ru zimbraAutoProvNotificationSubject " " ms mail.company.ru zimbraAutoProvPollingInterval "1m" ms mail.company.ru +zimbraAutoProvScheduledDomains "company.ru"
Graças a essas configurações, forçamos o servidor Zimbra a acessar o AD a cada minuto e receber informações sobre a aparência de novos usuários no banco de dados e, se forem encontrados, criamos uma conta para eles e enviamos uma mensagem de boas-vindas.
Como nosso leitor observou, ao configurar, é muito importante prestar atenção às seguintes nuances:
- Linhas no formato "md company.ru" - faça alterações no domínio, localizado dentro do servidor de correio. Pode haver vários domínios em um servidor de email.
- Linhas do formulário "ms mail.company.ru" - faça alterações no próprio servidor de email.
- Dois métodos para configurar automaticamente contas do AD podem coexistir em um domínio. Ou seja, você pode executar + zimbraAutoProvMode LAZY e + zimbraAutoProvMode EAGER um após o outro. Devido a isso, você pode aumentar o intervalo de acesso ao servidor em até uma hora ou mais.
Depois que todas as alterações no arquivo forem salvas, será necessário aplicar as configurações especificadas usando o comando
zmprov <~ / Documents / autoprov.cfg . Todas as alterações feitas funcionarão imediatamente, a necessidade de reiniciar o servidor não deve surgir.
Caso a configuração automática de contas do modo AD para EAGER
funcione , o progresso da
configuração automática
de contas será exibido no arquivo
/opt/zimbra/log/mailbox.log da seguinte maneira:
[AutoProvision] [] autoprov - Auto provisioning accounts on domain company.ru [AutoProvision] [] autoprov - 1 external LDAP entries returned as search result [AutoProvision] [] autoprov - auto creating account in EAGER mode: example@company.ru, dn="CN=example,OU=zimbrausers,DC=company,DC=ru"
Se o ajuste automático da conta não funcionar, o problema provavelmente ocorrerá no lado do servidor AD. Nesse caso, você precisa observar o código de erro que aparece. Damos o mais comum deles:
525 - Usuário não encontrado
52e - Credenciais inválidas
530 - Nenhuma permissão de entrada no momento
531 - Não há permissão para efetuar login neste computador
532 - A senha expirou
533 - Ação da conta interrompida
534 - O usuário não possui privilégios suficientes para efetuar logon neste computador
701 - A conta expirou
773 - O usuário deve redefinir a senha
775 - A conta está temporariamente limitada
8350 - Formato de nome distinto inválido
Para todas as perguntas relacionadas ao Zextras Suite, você pode entrar em contato com o representante da empresa "Zextras" Katerina Triandafilidi pelo e-mail katerina@zextras.com