Zextras 14 июн 2023 в 13:00

Автонастройка учетных записей из AD в Carbonio

6 мин

1.7K

Блог компании ZextrasСистемное администрирование*

Туториал

Комментарии 13

sawik25 17 июн 2023 в 19:36

@Zextrasподскажите, блокирует ли carbonio пользователей, учётные записи которых были отключены в AD или это нужно будет делать "руками"?

Zextras 17 июн 2023 в 19:41

Добрый день. Для таких пользователей не будет проходить аутентификация.

werter_l 26 июн 2023 в 14:44

С таким фильтром будет проходить аутентификация и для отключенных (

carbonio prov modifyDomain domain.ru zimbraAutoProvLdapSearchFilter "(&(ObjectCategory=person))"

В фильтре нет проверки на "отключенность" учетки в AD.

Zextras 27 июн 2023 в 16:07

Нет, это скрипт автоматического добавления контактов, а не аутентификации. Аутентификация в AD осуществляется другой утилитой со своими настройками.

werter_l 26 июн 2023 в 14:17

Добрый.

Для этого можно попробовать тут:

carbonio prov modifyDomain domain.ru zimbraAutoProvLdapSearchFilter "(&(ObjectCategory=person))"

добавить пункт касаемо активна ли запись в AD или нет:

это параметр 'useraccountcontrol:1.2.840.113556.1.4.803:'

https://www.osp.ru/winitpro/2007/05/4320459

https://windowsnotes.ru/activedirectory/ldap-filtry-dlya-poiska-obektov-v-active-directory-chast-3/

http://azbukait.ru/2019/07/04/active-directory-ispolzovanie-ldap-filtrov/

и будет :

carbonio prov modifyDomain domain.ru zimbraAutoProvLdapSearchFilter "(&((ObjectCategory=person)!(useraccountcontrol:1.2.840.113556.1.4.803:=2)))"

за синтаксис не ручаюсь :)

werter_l 26 июн 2023 в 14:49

или

carbonio prov modifyDomain domain.ru zimbraAutoProvLdapSearchFilter "(&((ObjectCategory=person)(!useraccountcontrol:1.2.840.113556.1.4.803:=2)))"

или

carbonio prov modifyDomain domain.ru zimbraAutoProvLdapSearchFilter "(&((ObjectCategory=person)(!(useraccountcontrol:1.2.840.113556.1.4.803:=2))))"

Abyss777 19 июл 2023 в 09:18

У вас опечатка `modifyServer mailstore.domain.ru` должно быть в последних строчках, раз применяются к серверу.

Zextras 19 июл 2023 в 09:25

Точно, спасибо за замечание, исправили

max_rip 14 дек 2023 в 15:40

carbonio prov modifyDomain domain.ru zimbraAutoProvNotificationBody "Your account has been auto provisioned. Your email address is ${ACCOUNT_ADDRESS}."

Надо заменить двойные кавычки на одинарные, иначе BASH внутри двойных интерпретирует как свою переменную ${ACCOUNT_ADDRESS} и в настройки попадет не то что ожидается.

Второй момент, вместо modifyServer mailstore.domain.ru , лучше использовать modifyServer `zmhostname`

elbars 19 мар в 17:16

Добрый день. Позволяет ли carbonio zextras провиженить пользователей для разных почтовых доменов из одного ldap сервера. Приведу пример. У меня развернут почтовый инстанс сarbonio zextras "prod.com" с соответствующим доменом, в панели администратора которого настроена аутентификация с внешнего ldap сервера, который обслуживает домен "dc=prod,dc=com", по вашей инструкции настриваю провиженинг пользователй и успешно логинюсь, например с доменом elbars@prod.com (пользователь предварительно создан в ldap сервер) Все успешно.

Могу ли я к такому сценарию в почтовый инстанс добавить еще один домен "stage.com" и приявязать аутентификацию и провиженинг к ldap серверу "dc=prod,dc=com" и логиниться под "elbars@stage.com" авторизовываться в "dc=prod,dc=com" и заходить в почту под вторым логином? или мне нудно для второго домена поднимать второй контроллер домена с соответствующим именем, т.е "dc=stage,dc=com" ?

Т.е вопрос следющий, может ли несколько разных доменов внутри почтового инстанса обслуживаться одним контроллером домена, или же каждому домену нужен свой контроллер домена для матчинга имен ? Будем рады любой информации

Zextras 20 мар в 15:04

Правильно ли мы вас поняли, что у вас есть в AD учетная запись elbars@prod.com и вы хотите в Carbonio создать две учетные записи elbars@prod.com и elbars@stage.com, обе из которых использовали пароль учетной записи elbars@prod.com в AD и соответствующий ей пароль, а также содержали данные этой учетной записи?

Если да, то это решается маской
carbonio prov modifyDomain prod.ru zimbraAuthLdapBindDn %u@%d для одного домена, и
carbonio prov modifyDomain stage.ru zimbraAuthLdapBindDn %u@prod.ru для другого домена.

Что касается автонастройки пользователей Carbonio из Active Directory, то она забирает из AD только имена, доменная часть имени пользователя в Carbonio зависит от имени домена, в котором заводится учетная запись.

elbars 20 мар в 15:27

Да, все верно поняли. Интересное решение, но я нигде его не нашел в документации, может быть упустил, или у вас где-то упоминается вскользь. Вероятно, не самый востребованный кейс, но это интересно. Спасибо

elbars 21 мар в 12:04

Подскажите еще по функциональности. Autoprovision при этом должен автоматически отрабатывать? Т.е должны ли пользователи так же, как и в случае с доменом prod.com провиженится в домен stage.com ? Или же достаточно провиженить пользовталей в один домен prod.com и уже используя вышеуказанную вами маску логинится в stage.com, и я смогу таким образом залогиниться используя учетные данные из stage.com ?

Я поднял тестовый стенд проверить данный функционал (изучаем возможности почты и интеграции с ldap), все работает с маской, как вы и написали выше, но в том случае, если я пользователя (myuser) создам в почтовом домене stage.com, который уже есть в контроллере домена prod.com создам вручную.

Аавтопровижн похоже, не может создать аккаунт из другого домена

2024-03-21 11:53:38,817 WARN  [AutoProvision] [] autoprov - unable to auto create account, dn="uid=myuser,cn=users,cn=accounts,dc=prod,dc=com"
com.zimbra.common.service.ServiceException: system failure: myuser@prod.com can not be provisioned for domain stage.com

Возможно для автопровижена нужны тоже опции с какой-то маской.

Спасибо.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий