LINUX.ORG.RU
решено ФорумAdmin

zimbra не берет ящики из AD (ldap)

 , , , ,


1

1

Добрый день. Поставил зимбру, хочу ее соединить с AD. Делал основываясь на этом мане. http://www.ossportal.ru/forum/zimbra/564

Пытаюсь сделать в LAZY режиме провизионинг. Суть в том, что при логине на почту, зимбра конектится в AD и если там есть такой же логин и пароль, то она создает новый ящик.

все настроил, но зимбра не может получить данные из AD. Выдает такую ошибку:

account - unable to auto provisioing acct test@domain.org
com.zimbra.cs.ldap.LdapException: LDAP error:  - unable to search ldap: 0000202B: RefErr: DSID-031007F3, data 0, 1 access points 
ref 1: 'domain.org”'

Я погуглил вроде это значит, что неверно указан каталог откуда брать. Но каталог верный, вот ответ AD

PS C:\Users\Administrator> get-aduser test


DistinguishedName : CN=test test,OU=test,OU=CorpUser,DC=domain,DC=org
Enabled           : True
GivenName         : test
Name              : test test
ObjectClass       : user
ObjectGUID        : d21708f1-6458-48af-99f9-491052192f7a
SamAccountName    : test
SID               : S-1-5-21-436603599-3297454148-1338545370-1193
Surname           : test
UserPrincipalName : test@domain.org

мои конфиги:

zmprov md domain.ru zimbraAutoProvMode LAZY 
zmprov md domain.ru zimbraAutoProvAuthMech LDAP 
zmprov md domain.ru zimbraAutoProvLdapURL "ldap://192.168.0.176:3268" 
zmprov md domain.ru zimbraAutoProvLdapAdminBindDn "cn=admin,ou=corpuser,dc=domain,dc=org"
zmprov md domain.ru zimbraAutoProvLdapAdminBindPassword password 
zmprov md domain.ru zimbraAutoProvLdapSearchBase "ou=corpuser,dc=domain,dc=org" 
zmprov md domain.ru zimbraAutoProvLdapSearchFilter "(&(sAMAccountName=%u)(mail=*domain.org))" 
zmprov md domain.ru zimbraAutoProvLdapBindDn "%u@%d"
zmprov md domain.ru zimbraAutoProvAccountNameMap samAccountName 
zmprov md domain.ru +zimbraAutoProvAttrMap sn=sn +zimbraAutoProvAttrMap description=description +zimbraAutoProvAttrMap givenName=givenName +zimbraAutoProvAttrMap displayName=displayName 

Не может ли это быть связано с тем, что у меня домен почты domain.ru, а домен AD domain.org?


Я зимбру с AD сроду не скрещивал, но все же влезу: «ldap://192.168.0.176:3268» точно правильно? В особенности номер порта смущает.

dexpl ★★★★★ ()
Ответ на: комментарий от dexpl

Да, все ок. Там идет авторизация admin. 389 тоже пробовал. Тот же эффект.

abdus ()

get-aduser test

А с зимбра-хоста каким-нибудь LDAP-клиентом (тем же ldapsearch) от имени этого юзера к AD подключиться удается?

dexpl ★★★★★ ()

создай domain.org в зимбре и проверь

zgen ★★★★★ ()

Тестовый юзер: OU=test,OU=CorpUser
Биндящийся юзер: cn=admin,ou=corpuser
Они у тебя точно в разных OU?
Может, зимбра так на бинд ругается, а не именно на поиск?

thesis ★★★★★ ()
Ответ на: комментарий от dexpl

Пробую. Чет ругается

ldapsearch -H ldap://192.168.0.176:389 -W -x -D cn=test,ou=Managers,ou=CorpUser,dc=domain,dc=org
Enter LDAP Password:
ldap_bind: Invalid credentials (49)
        additional info: 80090308: LdapErr: DSID-0C0903C5, comment: AcceptSecurityContext error, data 52e, v23f0

abdus ()
Ответ на: комментарий от thesis

да, точно. Я test гоняю по разным ou. admin лежит в corpuser. test в подкаталогах corpuser. managers или test, например.

abdus ()
Ответ на: комментарий от dexpl

если из под админа ladpsearch делаю, то авторизация проходит.

Из под других пользователей ругается. Думал, что может ругается на то что остальные не являются админами домена и подключение запрещено, но если я test даю права администратора, то все равно не пускает и дает ошибку авторизации. Похоже в этом и есть затык...

abdus ()

Я разобрался в чем дело. Например, есть учетка в AD Петра Михайлова p.mihailov и мы хотим сделать аккаунт почты p.mihailov@domain.ru.

И так: 1. Во всех режимах: Zimbra не видит учетки, которые находятся не в конечном каталоге. Пример cn=username,uo=managers,uo=users,dc=domain,dc=org. Если в Zimbra указать создавать все учетки для каталога и подкаталогов uo=users,dc=domain,dc=org, то она не увидит их. Надо указывать конечный uo=managers,uo=users,dc=domain,dc=org.

2. В режиме EADGE: Если у нас только 1 каталог и там все учетки, тогда он создаст записи, но если мы потом через интерфейс zimbra удалим эти записси, то пересоздать уже с помощью provisioning не выйдет, зимбра будет думать, что они уже создавались.

3. В режиме LAZY: В AD cn имя пользователя является его имя и фамилия, которую мы указали при создании объекта в AD. Т.е. cn=«Павел Михайлов»,uo=managers,uo=users,dc=domain,dc=org, а p.mihailov это его поле samAccountName. Из-за этого при логине в режиме LAZY мы вводим его логин, но он будет неверным, т.к. надо вводить cn «Павел Михайлов», но на это уже ругается интерфейс зимбры.

4. Во всех режимах: Зимбра не отслеживает изменения Ldap, .т.е. сменили номер телефона сотрудника в AD, в зимбре ничего не поменяется.

Вывод. Интеграция сырая и это еще усугубляется в жопной реализацией ldap от микрософта.

Лично я нашел питоновский скрипт, который допилю для пользования и выложу в общий доступ.

abdus ()
Ответ на: комментарий от abdus

Я разобрался в чем дело. […]

Спасибо что поделился, как говорят на stackoverflow. Может, пригодится когда-нибудь.

dexpl ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.