在过去的一篇文章中,
我们讨论了如何使用Zimbra和MS Active Directory来“交朋友”,大多数俄罗斯企业都使用Zimbra和MS Active Directory来管理用户帐户。 在其中,我们建议Zimbra用户使用最简单,最安全的方法基于AD中称为LAZY模式的数据在Zimbra中创建邮箱。 这种操作模式使您可以在首次登录Zimbra Web客户端时,使用AD中的用户名和密码自动创建一个新的Zimbra用户。 但是,由于注释中展开了讨论,因此很明显,并非所有管理员都会使用这种从AD自动调整Zimbra用户的方法。 因此,现在我们将讨论一种基于EAGER模式的基于AD数据自动创建用户帐户的替代方法。
LAZY和EAGER模式在创建新帐户的方法上有所不同。 如果是LAZY,则系统等待用户登录到Zimbra Web客户端以创建新用户;如果是c EAGER,则系统会定期用AD为新用户轮询服务器,如果是肯定答案,则自行创建一个新用户。基于Active Directory提供的数据的帐户。 乍一看,微不足道的差异可能会使许多IT经理完全无法使用LAZY模式。
其中一种情况可能是直接禁止使用Zimbra网络客户端。 原因可能是服务器计算能力降低(使用Web客户端时,具有Zimbra的服务器可以为2500个用户提供高质量的服务,而使用台式机和移动客户端时最多可以使用5-6 000个用户),或者是直接禁止使用Web的企业安全策略。 -用于处理邮件的客户端。 由于缺少Web客户端,因此无法使用仅在其中起作用的LAZY模式,这意味着此类企业的IT经理别无选择,只能使用EAGER模式。
首先,我们需要将AD作为外部LDAP连接到Zimbra。 为此,请转到位于
mail.company.ru:7071/zimbraAdmin/的管理控制台,然后在左侧面板中选择“
配置” ,然后选择“
域”子项。 现在,在域列表中,您需要选择一个将与AD一起使用的域,然后右键单击所选域,选择
“配置身份验证” 。 之后,外部LDAP配置对话框将出现在屏幕上,我们在其中输入所有将Zimbra与AD集成所需的数据。
输入所有必要的数据后,您应该创建一个配置文件,例如,
触摸〜/ Documents / autoprov.cfg ,我们将在其中输入一系列命令,以在EAGER模式下从AD激活帐户的自动配置。 与LAZY模式不同,LAZY模式的配置过程非常简单,并且可以在CLI中将所有设置作为命令输入,在EAGER模式下,最好安全播放并将所有设置存储在单独的文件中。 因此,如果突然出现问题,对它们进行更改将变得更加容易。
因此,在创建
〜/ Documents / autoprov.cfg文件之后,在将它们适应您的基础结构之后,应在其中输入以下行:
md company.ru zimbraAutoProvAccountNameMap "samAccountName" md company.ru +zimbraAutoProvAttrMap description=description md company.ru +zimbraAutoProvAttrMap displayName=displayName md company.ru +zimbraAutoProvAttrMap givenName=givenName md company.ru +zimbraAutoProvAttrMap cn=cn md company.ru +zimbraAutoProvAttrMap sn=sn md company.ru zimbraAutoProvAuthMech LDAP md company.ru zimbraAutoProvBatchSize 40 md company.ru zimbraAutoProvLdapAdminBindDn "CN=Administrator,CN=Users,DC=company,DC=ru" md company.ru zimbraAutoProvLdapAdminBindPassword ********* md company.ru zimbraAutoProvLdapBindDn "Administrator@company.ru" md company.ru zimbraAutoProvLdapSearchBase "CN=Users,dc=company,dc=ru" md company.ru zimbraAutoProvLdapSearchFilter "(cn=%u)" md company.ru zimbraAutoProvLdapURL "ldap://192.168.0.1:389" md company.ru zimbraAutoProvMode EAGER md company.ru zimbraAutoProvNotificationBody " . ${ACCOUNT_ADDRESS}." md company.ru zimbraAutoProvNotificationFromAddress Administrator@company.ru md company.ru zimbraAutoProvNotificationSubject " " ms mail.company.ru zimbraAutoProvPollingInterval "1m" ms mail.company.ru +zimbraAutoProvScheduledDomains "company.ru"
由于有了这些设置,我们迫使Zimbra服务器每分钟访问一次AD,并接收有关新用户在数据库中的出现的信息,如果找到了新用户,则为他们创建一个帐户并发送欢迎消息。
正如我们的读者所指出的,设置时,请注意以下细微差别是非常重要的:
- 格式为“ md company.ru”的行-对位于邮件服务器内部的域进行更改。 一台邮件服务器上可以有多个域。
- “ ms mail.company.ru”形式的行-对邮件服务器本身进行更改。
- 从AD自动设置帐户的两种方法可以共存于一个域中。 也就是说,您可以一个接一个地执行+ zimbraAutoProvMode LAZY和+ zimbraAutoProvMode EAGER。 因此,您可以将对服务器的访问间隔延长到一小时或更长时间。
保存对文件的所有更改之后,有必要使用命令
zmprov <〜/Documents/autoprov.cfg应用其中指定的设置。 所做的所有更改将立即生效,而无需重新启动服务器。
如果从AD到EAGER模式
的帐户自动
配置有效,则帐户的自动
配置进度将显示在
/opt/zimbra/log/mailbox.log文件中,如下所示:
[AutoProvision] [] autoprov - Auto provisioning accounts on domain company.ru [AutoProvision] [] autoprov - 1 external LDAP entries returned as search result [AutoProvision] [] autoprov - auto creating account in EAGER mode: example@company.ru, dn="CN=example,OU=zimbrausers,DC=company,DC=ru"
如果帐户自动调整不起作用,则问题很可能是在AD服务器端。 在这种情况下,您需要查看显示的错误代码。 我们给出其中最常见的:
525-找不到用户
52e-无效的凭证
530-目前没有进入许可
531-无权从此计算机登录
532-密码已过期
533-帐户操作停止
534-用户没有足够的权限从此计算机登录
701-帐户已过期
773-用户必须重置密码
775-帐户受到临时限制
8350-无效的专有名称格式
有关Zextras Suite的所有问题,您可以通过电子邮件katerina@zextras.com与Zextras Katerina Triandafilidi的代表联系。