Настройка аутентификации пользователей Carbonio в Active Directory, о которой мы писали в одной из прошлых статей, подразумевает, что в Carbonio LDAP уже имеются учетные записи, каждая из которых соответствует учетной записи, заведенной в AD. Учитывая, что список учетных записей постоянно меняется, процесс создания учетных записей в Carbonio нуждается в автоматизации. Сделать это позволяет утилита AutoProv, которая способна автоматически искать в Active Directory учетные записи и копировать их данные в Carbonio. В данной статье мы расскажем о том, как правильно настроить AutoProv для ваших задач.

Данная инструкция подходит как для коммерческой версии Carbonio, так и для бесплатной Carbonio Community Edition.

Мы исходим из того, что у вас в Carbonio уже настроена и работает аутентификация пользователей с использованием Active Directory. Настройка скрипта AutoProv проводится в командной строке.

Существует три режима работы скрипта AutoProv:

• LAZY - настройка происходит автоматически при первом входе пользователя в систему. После успешной аутентификации скрипт подтягивает настройки, связанные с данным пользователем и регистрирует его в Carbonio.

• EAGER - настройка также происходит автоматически. Скрипт по расписанию обращается к AD и подтягивает информацию о пользователях, добавляя появившиеся в ней учетные записи в Carbonio с указанными в Active Directory настройками

• MANUAL - настройка пользователей происходит вручную. Используется для отключения скрипта AutoProv.

Настройка режима LAZY

Настройка AutoProv проводится на уровне домена. Для его работы потребуется задать маппинг атрибутов пользователей, поисковую базу, а также учетные данные администратора Active Directory, от имени которого будут осуществляться поисковые запросы.

Пример настройки AutoProv LAZY:

carbonio prov modifyDomain domain.ru zimbraAutoProvAccountNameMap “sAMAccountName”
carbonio prov modifyDomain domain.ru zimbraAutoProvAttrMap “cn=displayName”
carbonio prov modifyDomain domain.ru +zimbraAutoProvAttrMap “givenName=givenName”
carbonio prov modifyDomain domain.ru +zimbraAutoProvAttrMap “sn=sn”
carbonio prov modifyDomain domain.ru +zimbraAutoProvAttrMap “description=description”
carbonio prov modifyDomain domain.ru zimbraAutoProvAuthMech “LDAP”
carbonio prov modifyDomain domain.ru zimbraAutoProvLdapAdminBindDn “admin@ad.domain.ru”
carbonio prov modifyDomain domain.ru zimbraAutoProvLdapAdminBindPassword “P@$$w0rD”
carbonio prov modifyDomain domain.ru zimbraAutoProvLdapBindDn “%u@ad.domain.ru”
carbonio prov modifyDomain domain.ru zimbraAutoProvLdapSearchBase “ou=allusers,DC=ad,DC=domain,DC=ru”
carbonio prov modifyDomain domain.ru zimbraAutoProvLdapSearchFilter "(&(ObjectCategory=person))"
carbonio prov modifyDomain domain.ru zimbraAutoProvLdapURL “ldap://ad.domain.ru:389”
carbonio prov modifyDomain domain.ru zimbraAutoProvMode “LAZY”
carbonio prov modifyDomain domain.ru zimbraAutoProvNotificationBody "Автонастройка вашей учетной записи прошла успешно"
carbonio prov modifyDomain domain.ru zimbraAutoProvNotificationFromAddress “zextras@domain.ru”
carbonio prov modifyDomain domain.ru zimbraAutoProvNotificationSubject "Ваша учетная запись была автоматически настроена"

Поясним, что означает каждая из введенных настроек:

• zimbraAutoProvAttrMap - устанавливает соответствие между атрибутами в Active Directory и Carbonio LDAP. Благодаря ей можно автоматически заполнять поля с именами, телефонами, номером офиса и другими контактными данными

• zimbraAutoProvAuthMech - устанавливает протокол, по которому пойдет обращение к Active Directory

• zimbraAutoProvLdapAdminBindDn - позволяет задать имя учетной записи администратора

• zimbraAutoProvLdapAdminBindPassword - позволяет задать пароль учетной записи администратора

• zimbraAutoProvLdapBindDn - определяет имя учетной записи AD, которое ставится в соответствие учетной записи Carbonio

• zimbraAutoProvLdapSearchBase - позволяет задать поисковую базу для обнаружения пользователей

• zimbraAutoProvLdapSearchFilter -  позволяет задать поисковый фильтр, чтобы в выдачу попали исключительно пользователи

• zimbraAutoProvLdapURL - используется для указания адреса сервера с Active Directory

• zimbraAutoProvMode - определяет режим работы скрипта AutoProv

• zimbraAutoProvNotificationSubject - определяет содержимое темы письма с отчетом об успешной автонастройке учетной записи

• zimbraAutoProvNotificationBody - определяет содержимое тела письма с отчетом об успешной автонастройке учетной записи. В нем можно указать ссылку на инструкцию для пользователя и другую полезную информацию

• zimbraAutoProvNotificationFromAddress - здесь указывается адрес электронной почты, с которой отправляется письмо с отчетом об успешной автонастройке учетной записи

После применения вышеуказанных настроек не требуется перезагрузка отдельных служб или всего сервера. 

Для проверки корректности настроек достаточно осуществить вход под учетной записью, которая заведомо существует в Active Directory и не существует в Carbonio. Вход должен увенчаться успехом, а в почтовом ящике автоматически созданной учетной записи должно лежать соответствующее уведомление. 

Настройка режима EAGER

Она проводится как на уровне домена, так и на уровне сервера. Помимо основных параметров, администратору также потребуется настроить периодичность опроса Active Directory. Слишком малый интервал опроса может привести к возрастанию нагрузки на инфраструктуру из-за постоянных обращений к AD.

Пример настройки AutoProv EAGER:

carbonio prov modifyDomain domain.ru zimbraAutoProvAccountNameMap "sAMAccountName"
carbonio prov modifyDomain domain.ru zimbraAutoProvAttrMap "sn=sn"
carbonio prov modifyDomain domain.ru +zimbraAutoProvAttrMap "description=description"
carbonio prov modifyDomain domain.ru +zimbraAutoProvAttrMap "cn=displayName"
carbonio prov modifyDomain domain.ru +zimbraAutoProvAttrMap "givenName=givenName"
carbonio prov modifyDomain domain.ru zimbraAutoProvBatchSize "20"
carbonio prov modifyDomain domain.ru zimbraAutoProvLdapAdminBindDn "admin@ad.domain.ru"
carbonio prov modifyDomain domain.ru zimbraAutoProvLdapAdminBindPassword "P@$$w0rD"
carbonio prov modifyDomain domain.ru zimbraAutoProvLdapBindDn "admin@ad.domain.ru"
carbonio prov modifyDomain domain.ru zimbraAutoProvLdapSearchBase "dc=ad,dc=domain,dc=ru"
carbonio prov modifyDomain domain.ru zimbraAutoProvLdapSearchFilter "(&(ObjectCategory=person))"
carbonio prov modifyDomain domain.ru zimbraAutoProvLdapURL "ldap://ad.domain.ru:389"
carbonio prov modifyDomain domain.ru zimbraAutoProvMode "EAGER"
carbonio prov modifyDomain domain.ru zimbraAutoProvNotificationBody "Your account has been auto provisioned. Your email address is ${ACCOUNT_ADDRESS}."
carbonio prov modifyDomain domain.ru zimbraAutoProvNotificationFromAddress "admin@domain.ru"
carbonio prov modifyDomain domain.ru zimbraAutoProvNotificationSubject "New account auto provisioned"
carbonio prov modifyDomain mailstore.domain.ru zimbraAutoProvPollingInterval "5m"
carbonio prov modifyDomain mailstore.domain.ru zimbraAutoProvScheduledDomains "domain.ru"

Большинство настроек дублирует настройки LAZY-режима, однако к ним добавился и ряд новых 

• zimbraAutoProvBatchSize - определяет максимальное количество пользователей, которое будет настраиваться за одно обращение к AD.

• zimbraAutoProvPollingInterval - настройка применяется не для домена, а для почтового сервера и определяет временной интервал, с которым Carbonio обращается к Active Directory

• zimbraAutoProvScheduledDomains - настройка также применяется не для домена, а для почтового сервера и домены, для которых будет отрабатывать скрипт AutoProv.

Настройка режима Manual

Данная настройка проводится на уровне домена. После переключения AutoProv в данный режим, учетные записи из AD перестают копироваться. Данный режим позволяет остановить процесс автонастройки пользователей.

Для его включения введите команду md domain.ru zimbraAutoProvMode "MANUAL"

Отметим, что создание новой учетной записи - процесс не самый быстрый и в случае большого числа пользователей он может растянуться на несколько дней. Мониторить появление новых пользователей можно в логах /opt/zextras/log/mailbox.log, а также вводя команду carbonio prov -l gaa, которая отображает список всех пользователей на сервере. По его изменению можно судить о том, как работает AutoProv в Carbonio.

По вопросам тестирования, приобретения, предоставления лицензии и консультаций обращаться на почту sales@svzcloud.ru к эксклюзивному партнеру Zextras.