Суть решения в том, что нужно создавать пользователей по мере их появления в Active Directory.
Для этих целей у Zimbra есть три варианта решения:
— Auto Provisioning EAGER mode
— Auto Provisioning LAZY mode
— Auto Provisioning MANUAL mode
EAGER — Zimbra подключается к AD через заданные промежутки времени и автоматически проверяет и при необходимости создает пользователей в Zimbra.
LAZY — Учетная запись в Zimbra создается при первом входе пользователя, при условии, что в настройках домена установлен внешний механизм авторизации, естественно.
MANUAL — Администратор выполняет поиск и выбирает учетные записи, которые нужно добавить в Zimbra.
Мы решили использовать LAZY вариант, т.к. EAGER не у нас не взлетел, кроме того пользователей у нас больше 1k, и шерстить с заданной периодичностью такое количество не лучший вариант. MANUAL просто не вариант.
Для того что бы настроить auto provisioning нужно выполнить следующие действия (я выполняю под пользователем zimbra):
1. $ zmprov md zimbra.local zimbraAutoProvMode LAZY — Устанавливаю LAZY метод
2. $ zmprov md zimbra.local zimbraAutoProvAuthMech LDAP — Задаю к тип внешней авторизации.
3. $ zmprov md zimbra.local zimbraAutoProvLdapURL "ldap://10.29.1.1:389" — Сервер внешней авторизации
4. $ zmprov md zimbra.local zimbraAutoProvLdapAdminBindDn "" — Пользователь, под которым можно подключиться к AD
5. $ zmprov md zimbra.local zimbraAutoProvLdapAdminBindPassword password — пароль пользователя
6. $ zmprov md zimbra.local zimbraAutoProvLdapSearchBase "ou=Employees,ou=Zimbra,dc=zimbra,dc=local" — Корень поиска пользователей в AD
7. $ zmprov md zimbra.local zimbraAutoProvLdapSearchFilter "(samAccountName=%u)" — фильтр поиска пользователей в AD
8. $ zmprov md zimbra.local zimbraAutoProvNotificationFromAddress — От кого будут приходить сообщения о добавлении новых пользователей
9. $ zmprov md zimbra.local zimbraAutoProvAccountNameMap samAccountName — атрибут в AD, который содержит имя пользователя без указания домена
10. $ zmprov md zimbra.local +zimbraAutoProvAttrMap zimbraMailAlias=mail +zimbraAutoProvAttrMap sn=sn +zimbraAutoProvAttrMap description=mail +zimbraAutoProvAttrMap givenName=givenName +zimbraAutoProvAttrMap displayName=displayName — правила маппирования атрибутов из AD в Zimbra LDAP
Подробнее про параметры можно почитать на wiki Zimbra.
После этих манипуляций перезапускаю сервисы Zimbra:
$ zmcontrol restart
