Комментарии 13
Добрый день. Для таких пользователей не будет проходить аутентификация.
С таким фильтром будет проходить аутентификация и для отключенных (
carbonio prov modifyDomain domain.ru zimbraAutoProvLdapSearchFilter "(&(ObjectCategory=person))"
В фильтре нет проверки на "отключенность" учетки в AD.
Добрый.
Для этого можно попробовать тут:
carbonio prov modifyDomain domain.ru zimbraAutoProvLdapSearchFilter "(&(ObjectCategory=person))"
добавить пункт касаемо активна ли запись в AD или нет:
это параметр 'useraccountcontrol:1.2.840.113556.1.4.803:'
https://www.osp.ru/winitpro/2007/05/4320459
https://windowsnotes.ru/activedirectory/ldap-filtry-dlya-poiska-obektov-v-active-directory-chast-3/
http://azbukait.ru/2019/07/04/active-directory-ispolzovanie-ldap-filtrov/
и будет :
carbonio prov modifyDomain domain.ru zimbraAutoProvLdapSearchFilter "(&((ObjectCategory=person)!(useraccountcontrol:1.2.840.113556.1.4.803:=2)))"
за синтаксис не ручаюсь :)
или
carbonio prov modifyDomain domain.ru zimbraAutoProvLdapSearchFilter "(&((ObjectCategory=person)(!useraccountcontrol:1.2.840.113556.1.4.803:=2)))"
или
carbonio prov modifyDomain domain.ru zimbraAutoProvLdapSearchFilter "(&((ObjectCategory=person)(!(useraccountcontrol:1.2.840.113556.1.4.803:=2))))"
У вас опечатка `modifyServer mailstore.domain.ru
` должно быть в последних строчках, раз применяются к серверу.
carbonio prov modifyDomain domain.ru zimbraAutoProvNotificationBody "Your account has been auto provisioned. Your email address is ${ACCOUNT_ADDRESS}."
Надо заменить двойные кавычки на одинарные, иначе BASH внутри двойных интерпретирует как свою переменную ${ACCOUNT_ADDRESS}
и в настройки попадет не то что ожидается.
Второй момент, вместо modifyServer mailstore.domain.ru , лучше использовать modifyServer `zmhostname`
Добрый день. Позволяет ли carbonio zextras провиженить пользователей для разных почтовых доменов из одного ldap сервера. Приведу пример. У меня развернут почтовый инстанс сarbonio zextras "prod.com" с соответствующим доменом, в панели администратора которого настроена аутентификация с внешнего ldap сервера, который обслуживает домен "dc=prod,dc=com", по вашей инструкции настриваю провиженинг пользователй и успешно логинюсь, например с доменом elbars@prod.com (пользователь предварительно создан в ldap сервер) Все успешно.
Могу ли я к такому сценарию в почтовый инстанс добавить еще один домен "stage.com" и приявязать аутентификацию и провиженинг к ldap серверу "dc=prod,dc=com" и логиниться под "elbars@stage.com" авторизовываться в "dc=prod,dc=com" и заходить в почту под вторым логином? или мне нудно для второго домена поднимать второй контроллер домена с соответствующим именем, т.е "dc=stage,dc=com" ?
Т.е вопрос следющий, может ли несколько разных доменов внутри почтового инстанса обслуживаться одним контроллером домена, или же каждому домену нужен свой контроллер домена для матчинга имен ? Будем рады любой информации
Правильно ли мы вас поняли, что у вас есть в AD учетная запись elbars@prod.com и вы хотите в Carbonio создать две учетные записи elbars@prod.com и elbars@stage.com, обе из которых использовали пароль учетной записи elbars@prod.com в AD и соответствующий ей пароль, а также содержали данные этой учетной записи?
Если да, то это решается маской
carbonio prov modifyDomain prod.ru zimbraAuthLdapBindDn %u@%d для одного домена, и
carbonio prov modifyDomain stage.ru zimbraAuthLdapBindDn %u@prod.ru для другого домена.
Что касается автонастройки пользователей Carbonio из Active Directory, то она забирает из AD только имена, доменная часть имени пользователя в Carbonio зависит от имени домена, в котором заводится учетная запись.
Да, все верно поняли. Интересное решение, но я нигде его не нашел в документации, может быть упустил, или у вас где-то упоминается вскользь. Вероятно, не самый востребованный кейс, но это интересно. Спасибо
Подскажите еще по функциональности. Autoprovision при этом должен автоматически отрабатывать? Т.е должны ли пользователи так же, как и в случае с доменом prod.com провиженится в домен stage.com ? Или же достаточно провиженить пользовталей в один домен prod.com и уже используя вышеуказанную вами маску логинится в stage.com, и я смогу таким образом залогиниться используя учетные данные из stage.com ?
Я поднял тестовый стенд проверить данный функционал (изучаем возможности почты и интеграции с ldap), все работает с маской, как вы и написали выше, но в том случае, если я пользователя (myuser) создам в почтовом домене stage.com, который уже есть в контроллере домена prod.com создам вручную.
Аавтопровижн похоже, не может создать аккаунт из другого домена
2024-03-21 11:53:38,817 WARN [AutoProvision] [] autoprov - unable to auto create account, dn="uid=myuser,cn=users,cn=accounts,dc=prod,dc=com"
com.zimbra.common.service.ServiceException: system failure: myuser@prod.com can not be provisioned for domain stage.com
Возможно для автопровижена нужны тоже опции с какой-то маской.
Спасибо.
Автонастройка учетных записей из AD в Carbonio