Как заставить работать Auto Provisioning ?

Finder, 16/10/2012 - 13:29

 Добрый день! В настоящее время я произвожу миграцию на Zimbra 8.0 с Zimbra 5. Прочитал про наличие там функции  Auto Provisioning. У меня он так и не заработал :(

Для настройки использовал рекомендации в документе /opt/zimbra /docs/autoprov.txt и в документе "Zimbra_OS_Release_Notes_8.0.0"

команды были следующие:

 

zmprov md post_domain.ru zimbraAutoProvMode EAGER
zmprov md post_domain.ru zimbraAutoProvLdapURL "ldap://dc.domain.local:389"
zmprov md post_domain.ru zimbraAutoProvLdapAdminBindDn "cn=zimbra,cn=users,dc=domain,dc=local"
zmprov md post_domain.ru zimbraAutoProvLdapAdminBindPassword XXXXXX
zmprov md post_domain.ru zimbraAutoProvLdapSearchBase "cn=users,dc=domain,dc=local"
zmprov md post_domain.ru zimbraAutoProvLdapSearchFilter "(uid=%u)"
zmprov md post_domain.ru zimbraAutoProvLdapBindDn "uid=%u,ou=people,%D"
zmprov md post_domain.ru zimbraAutoProvNotificationFromAddress user@post_domain.ru
zmprov ms server.ru +zimbraAutoProvScheduledDomains post_domain.ru
zmprov ms server.ru zimbraAutoProvPollingInterval 5m
zmprov md post_domain.ru +zimbraAutoProvAttrMap sn=displayName +zimbraAutoProvAttrMap description=description
Пользователь "zimbra" существует в AD
Подозреваю, что ошибка в мэппинге.
Лог, куда пишутся соответствующие события не нашел. Что-либо вразумительного в интернете по этой проблеме тоже не нашел. 
Проверка подлинности через AD работает нормально. Мастер импорта из web-консоли тоже работает нормально.

 

Форумы »

Комментарии

BoLT
24/10/2012 - 13:00

Не решил эту проблему? Или забил?  У меня та же беда. 

Я перепробовал практически всё. Разные режимы, разные мапы и фильтры. Учётки так и не добавляются. Не могу даже найти логи в которых была бы подсказка что именно не так. 

Finder
25/10/2012 - 15:14

 Пока не решил, хотя тоже перепробовал всё что мог. Разные фильтры, разный мэппинг. В том числе и пытался настроить проверку паролей через spnego. Про это написано в файле /opt/zimbra/docs/ autoprov.txt

Ничего не вышло. Некоторые события есть в /opt/zimbra/log/mailbox.log

Судя по записям в этом логе Auto provisioning проходит без ошибок!

Но новые юзера при этом не создаются.

 

BoLT
26/10/2012 - 08:44

 У тебя OSE али NE? Есть подозрение что данный функционал присутствует только в Network Edition.

Finder
26/10/2012 - 09:36

 OSE

BoLT
31/10/2012 - 14:08

 Написал на официальном форуме, но ответа нет уже 2 дня. Думаю и не будет. 

Некто Д
01/11/2012 - 16:57

В AD у пользователей нет атрибута uid.

Чтобы просмотреть доступные атрибуты, например, выполните команды в Powershell:

Import-Module ActiveDirectory

get-aduser %UserName% -Properties *

Таким образом, вам следует подправить следующие строки:

zmprov md test.com zimbraAutoProvLdapSearchFilter "(samAccountName=%u)"

zmprov md test.com zimbraAutoProvLdapBindDn "%u@%d"

zmprov md test.com zimbraAutoProvAccountNameMap samAccountName

BoLT
05/11/2012 - 18:09

Таким образом, вам следует подправить следующие строки:

zmprov md test.com zimbraAutoProvLdapSearchFilter "(samAccountName=%u)"

zmprov md test.com zimbraAutoProvLdapBindDn "%u@%d"

zmprov md test.com zimbraAutoProvAccountNameMap samAccountName

 

Естественно что вмесно uid был поставлен параметр sAMAccountName. А вот с "zimbraAutoProvLdapBindDn "%u@%d"" надо будет попробовать. Как раз переустановил сервер с нуля.. можно экпериментировать. 

 

 

 

Finder
07/11/2012 - 09:58

 zmprov md test.com zimbraAutoProvLdapSearchFilter "(samAccountName=%u)"

Я знаю, что в AD нет атрибута uid. samAccountName в фильтре тоже писал. Эффекта нет. 

"%u@%d" - сейчас попробовал. Тоже не работает. 

Сейчас, правда, для меня это уже не актуально. Покупаем другую почтовую систему.

BoLT
07/11/2012 - 17:43

 На чистой Zimbra получилось завести AutoProv с параметром "%u@%d". После нескольких экспериментов с добавлением других аттрибутов, всё это дело было поломано. После удаления аккаунтов и возврата к исходным настройкам заново завести AutoProv не удалось. Руки опускаются.. буду использовать скрипт с опен.нета. 

kudryaviy
27/11/2012 - 06:08

Получилось заставить работать эту функцию, как я понял проблемма в том, что новые параметры не заменяют старые.

 

т.е. Параметр " zmprov md post_domain.ru +zimbraAutoProvAttrMap sn=displayName +zimbraAutoProvAttrMap description=description " если его не отменить заменив плюсы на минусы, и добавить подобный наложится и будет ругаться на множественность параметров.

 

Еще проблема была в количестве обрабатываемых записей, 250 ящиков создалось когда выставил 1000 :-/

" zmprov md post_domain.ru zimbraAutoProvBatchSize 1000 "

 

Может кто знает, где хранится конфигурация или как посмотреть какие уже есть параметры? Что бы убрать все лишнее...

kudryaviy
27/11/2012 - 07:08

Отвечаю сам себе :)

Посмотреть конфигурацию конкретного домена можно по команде: " zmprov gd post_domain.ru "

 

А там уже искать параметр zimbraAutoProvAttrMap и тереть ненужное.

 

Думаю как настрою, выложу мануал по настройке. :)

kudryaviy
06/12/2012 - 06:10

В общем, выяснили, а точнее выясняем сейчас, баг это или фича.

Подробности тут: http://www.zimbra.com/forums/administrators/59789-zi…ork-properly.html

LAZY режим работает вполне адекватно.

Hile
14/01/2013 - 10:31
 Привет,
Баг не говорят когда исправят?  Может костыль пока что какаой есть ? Уж очень LAZY мод я не хочу использовать... к слову он если юзер по IMAP войдет создаст акк?
kudryaviy
31/01/2013 - 20:33
Пока не известно. :( Вышло недавно обновление, но этот баг не трогали...

При LAZY методе, ящик создастся только если пользователь зайдет по WEB-у. Вообще, веб интерфейс у Zimbra очень и очень, подумываю о его полноценном использование в качестве основного. Вообще, запущу в коммерческую эусплуатацию только как решу два вопроса:

1. Полноценный бэкап
2. Архивирование входящей/исходящей почты (как например в Mdaemon-е было, почта форвардилась на определенный ящик и потом с легкостью оттуда извлекалась.
4wert
14/02/2013 - 16:54
Я правильно понимаю что при EAGER- mode ящики один раз создаются и не смотря на то что прописано повторение никаких новых ящиков не создается? при этом сам старт AutoProvision происходит, тоесть дело именно не в шедуллере в реализации AutoProvision и пытаться както по другому запустить его по расписанию бессмысленно?
kudryaviy
15/02/2013 - 07:36
Да, получается так, остановился на LAZY режиме. Хотя конечно хотелось бы что бы EAGER работал, было бы счастье.
4wert
15/02/2013 - 09:20
Ну раз уж ты в этом разобрался еще пару вопросов если можно:
1) Почему всетаки ты выбрал LAZY-mode вместо представленного здесь на сайте скрипта, который как я понимаю перекрывает потребности EAGER-mode
2) Уже настроенный EAGER-mode можно ли перевести в LAZY простой командой zmprov md ent01.tl.ru zimbraAutoProvMode LAZY или желательно откатиться и настраивать его самостоятельно. Вопрос в общем то в оновном связан с этой командой zmprov ms zimbra.example.com zimbraAutoProvPollingInterval 60m  Как бы остальное насколько я понял у LAZY настраивается также.
kudryaviy
19/02/2013 - 05:50
1. Уже не помню, но помоему у меня он не заработал на новой версии Zimbra, и хотелось решить встроенным функционалом , да и насколько я понял ни один из режимов не отслеживает изменения в описании пользователя, должность например сменилась, телефон, поэтому пусть будет так, тем более хочется всех посадить на Web-интерфейс.
2. LAZY режим вообще не требует этой команды zimbraAutoProvPollingInterval 60m

Вот список настроек для работы LAZY режима:

zmprov md domain.ru zimbraAutoProvMode LAZY - Включение режима LAZY
zmprov md domain.ru zimbraAutoProvAuthMech LDAP - Аутентификация через LDAP
zmprov md domain.ru zimbraAutoProvLdapURL "ldap://pdc.sp.local:3268" - путь к LDAP
zmprov md domain.ru zimbraAutoProvLdapAdminBindDn "cn=zimbra,cn=users,dc=sp,dc=local" - Учетная запись для осуществелния поиска по глобальному каталогу
zmprov md domain.ru zimbraAutoProvLdapAdminBindPassword password - пароль учетной записи для поиска
zmprov md domain.ru zimbraAutoProvLdapSearchBase "ou=employees,dc=sp,dc=local" - поисковая база
zmprov md domain.ru zimbraAutoProvLdapSearchFilter "(&(sAMAccountName=%u)(mail=*domain.ru))" - фильт для поиска по глобальному каталогу (проводится поиск по имени учетной записи в AD и полю mail, т.к. на одном сервере несколько доменов, но каталог один.)
zmprov md domain.ru zimbraAutoProvLdapBindDn "%u@%d" - привязка, в каком формате искать в поисковой базе
zmprov md domain.ru zimbraAutoProvAccountNameMap samAccountName - брать в качестве аккаунта почты аккаунт учетной записи в каталоге
zmprov md domain.ru +zimbraAutoProvAttrMap sn=sn +zimbraAutoProvAttrMap description=description +zimbraAutoProvAttrMap givenName=givenName +zimbraAutoProvAttrMap displayName=displayName - задание соответствия полей Zimbra глобальному каталогу (т.е. имя = имя, фамилия = фамилия, описание = описание, и поле отображаемое имя тоже подхватывается, отчество подхватывать смысла нет.
zmprov md domain.ru zimbraAutoProvNotificationFromAddress admin@domain.ru - от чьего имени будут приходить сообщения о автоматическом создании учетной записи (не обязательно включать)


4wert
19/02/2013 - 08:42
Огромное спасибо за быстрый ответ!
1) ну в принципе мои мотивы и сложности теже - хочеться поменьше костылей чтобы потом можно было с меньшими проблемами обновляться.

2) спасибо за настройки, я собственно потому и спрашивал что не знал как он отреагирует на zimbraAutoProvPollingInterval 60m, и не умел удалять ненужные настройки =)

Ну чтож будем делать =)



kudryaviy
19/02/2013 - 11:23
Удалять можно поставив перед командой знак минуса -

Пишите в почту. Вообще, на русском информации крайне мало, что печально. :(
4wert
21/02/2013 - 13:07
 Спасибо за предложение! =) но во перых лучше на ты, во вторых думаю что если чтото полезное будет тем кто пойдет по нашим стопам интересно это будет увидеть тут, ну и пока оставил я это дело, надеюсь на патчи. Пока пытаюсь заставить работать getmail (забирать почту с внешнего сервера), но новичкам всегда тяжело .... и медленно.
SchmeL
05/03/2013 - 16:41
 так autoprov работает в OSE версии? или это только в коммерческой network edition?
4wert
07/03/2013 - 09:03
 Задумано что работает.

На самом деле LAZY мод работает нормально (ты создал юзера в АД, он зашел на почту ящик создался, изменений не отслеживает). а EAGER мод работает ОДИН РАЗ сразу после запуска и все дальше в логах идет что изменений нет хотя они есть, это баг, он описан. Но уже почти год его не исправляют, видимо есть боле важные дела.

Я пока склоняюсь к мысли использовать скрипт но разираться в нем времени пока нет, хоть автор и старался все описать подробно. 
shut2000
29/03/2013 - 16:14
 Режим LAZY отработал отлично - но может кто нибуть подсказать как сделать следующее - нам необходимо что бы в Zimbre создался автоматически ящик не по логину а по почте которая прописана в свойствах каждой учетной записи. Устроил бы такой вариант - пусть даже первый раз пользователь зайдет под доменной учеткой - но ящик создастся такой как прописан в AD а дальше возможен на Zimbra логин по e-mail. Это вообще реализуемо?
4wert
30/03/2013 - 12:28
 тут была еще одна тема со скриптами, средство не штатное зато, насколько я понял, у многих прекрасно работает и более тонко настраивается.
shut2000
05/04/2013 - 13:56
 Меня интересует штатное средство не скрипт - zmprov. Уже которую неделю бьюсь и ничего. Настроил режим EAGER - все вродибы прописал, но блин все время какая то глючность. Вот мои настройки
zmprov md xxxxx zimbraAutoProvMode EAGER
zmprov md xxxxx zimbraAutoProvBatchSize 1000
zmprov md xxxxx zimbraAutoProvLdapURL "ldap://x.x.x.x:3268"
zmprov md xxxxx zimbraAutoProvLdapAdminBindDn "cn=zimbra,cn=users,dc=xxxxx,dc=xxxxx,dc=xxxxx"
zmprov md xxxxx zimbraAutoProvLdapAdminBindPassword **********
zmprov md xxxxx zimbraAutoProvLdapSearchBase "dc=xxxxx,dc=xxxxx,dc=xxxxx"
zmprov md xxxxx zimbraAutoProvLdapSearchFilter "(&(samAccountName=%u)(mail=*@xxxxx.xxxxx.xxxxx))"
zmprov md xxxxx zimbraAutoProvLdapBindDn  "%u@%d"
zmprov md xxxxx zimbraAutoProvNotificationFromAddress admin@xxxxx.xxxxx.xxxxx
zmprov ms xxxxx zimbraAutoProvScheduledDomains xxxxx.xxxxx.xxxxx
zmprov ms xxxxx zimbraAutoProvPollingInterval 5m
zmprov md xxxxx zimbraAutoProvAccountNameMap samAccountName
zmprov md xxxxx +zimbraAutoProvAttrMap zimbraMailAlias=mail +zimbraAutoProvAttrMap sn=sn +zimbraAutoProvAttrMap description=mail +zimbraAutoProvAttrMap givenName=givenName +zimbraAutoProvAttrMap displayName=displayName
  1. После первого запуска все отработало - учетки появились, но:
  • при удалении учетки из AD - в ZIMBRA они так и остались
  • учетная запись в AD (и соответственно логин в ZIMBRA ), отличается от e-mail в AD (параметр mail), по этому попробовал добавить значение атрибута ( выделил жирным) - думал Алиас создаст для каждой новой учетки - ничего не произошло
  • самое страшное - когда созданную учетку в ZIMBRA удаляешь, автоматически она снова не появляется, хотя в AD она есть
Кто может помочь?
  • каждой учетке в ZIMBRA нужно автоматом добавить алиас почтовый ящик который прописан в AD
  • адекватно отрабатывала синхронизация - при удалении или добавлении учетки в AD - в ZIMBRA Тоже происходило обновление, при удалении учетки в ZIMBRA - она снова синхронизировалась с AD
Спасибо


 
 
4wert
08/04/2013 - 08:24
наверное если бы вы внимательно прочитали тему то увидели бы что несколько раз говорилось что EAGER режим НЕ РАБОТАЕТ. Еще раз говорю что по моему мнению единственное многолетне отработанное средство в данной ситуации это скрипты.
4wert
05/08/2013 - 09:44
 Друзья хорошо понимающие язык вероятного противника, помогите пожалуйста разобраться что тут написано, тема касается настройки autoprovisioning'а без сторонних костылей, если я правильнопонял человек чтото понял о проблеме.

I have found that the timestamp added to the LDAP query after the first successful poll, is formatted incorrectly. By deleting (set to '') the value in zimbraAutoProvLastPolledTimestamp, the auto-provision will find accounts again on next run.

This will then try to auto-provision accounts already provisioned, one by one, each time meeting the batch size limit. This could be a problem unless you have an implementation of the zimbraAutoProvListenerClass registered, modifying an attribute which is used in your filter in the first place. (Ie you have to Add a new attribute to all users [like zimbraAutoProvDone for example] which you can update by zimbraAutoProvListenerClass, and future searches won't return these accounts, and thus batch size won't be overrun because of already privisioned accounts)

zmprov md domain.com zimbraAutoProvLastPolledTimestamp ''
If you would like this bug to be fixed soon, please vote for it on the bug report page linked above.
Last edited by tifkat; 06-24-2013 at 01:38 AM.
МОДЕРАТОРУ: Мне кажется это достаточно важная тема заслуживающая прикрепления. безусловно не настаиваю.

why_me...
01/05/2015 - 00:02
Для справки, версия  8.6.0_GA_1153, Patch 8.6.0_P1,  EAGER -  все завелось и работает с первого раза, добавляет пользователей как в первый раз, так и в последующие, проблем не заметил, видимо баги исправили.

Использовал сдедующие настройки:

zmprov md domain.ru zimbraAutoProvAccountNameMap "sAMAccountName"
zmprov md domain.ru zimbraAutoProvAttrMap "sn=sn"
zmprov md domain.ru +zimbraAutoProvAttrMap "description=description"
zmprov md domain.ru +zimbraAutoProvAttrMap "cn=displayName"
zmprov md domain.ru +zimbraAutoProvAttrMap "givenName=givenName"
zmprov md domain.ru zimbraAutoProvLdapAdminBindDn "CN=Zimbra,OU=Zimbra,OU=ou_domain,DC=domain,DC=lan" у вас тут свой пользователь, стандартный админ - "cn=administrator,cn=users,dc=domain,dc=lan""
zmprov md domain.ru zimbraAutoProvLdapAdminBindPassword "password"
zmprov md domain.ru zimbraAutoProvLdapBindDn "%u@%d"
zmprov md domain.ru zimbraAutoProvLdapSearchBase "ou=ou_domain,dc=domain,dc=lan" опять же у вас свое, поиск по всему домену  - "dc=domain,dc=lan"
zmprov md domain.ru zimbraAutoProvLdapSearchFilter "(memberOf=cn=Zimbra_mail,ou=_Groups,ou=ou_domain,dc=domain,dc=lan)" - пользователи только из группы Zimbra_mail  в OU запрятанной в другой OU, у вас свое, если затрудняемся составить запрос,  гуглим и играемся с  ldapsearch и CSVDE
zmprov md domain.ru zimbraAutoProvLdapURL "ldap://ad.domain.lan:3268"
zmprov md domain.ru zimbraAutoProvMode "EAGER"
zmprov ms mail.domain.ru zimbraAutoProvPollingInterval "10m"
zmprov ms mail.domain.ru zimbraAutoProvScheduledDomains "domain.ru"


4wert
05/05/2015 - 09:43
Спасибо, черти сколько лет багу....
LytkinDV
14/07/2015 - 14:10
Добрый день. Хотелось бы поднять вопрос по поводу автоматического создания учетки по следующему принципу: пользователь входит в WEB-интерфейс по логину и паролю из AD, и попадает в свой почтовый ящик. Но, в AD в свойствах пользователя в поле mail указан ящик, отличный от samAccountName. В Zimbra ящик должен создаваться как раз по полю mail из AD. Кто-нибудь реализовывал такой механизм?
Vladsn
30/07/2015 - 10:15
Тоже интересует эта реализация
Добавить комментарий

Новые пользователи

Присоединяйтесь к OSS Portal!

Сейчас на сайте

Сейчас на сайте 0 пользователей и 10 гостей.