Настройка автоматического создания пользователей в Zimbra из AD

При использовании внешней аутентификации мы будем вынуждены создавать одного пользователя в двух местах (в Zimbra и на внешнем сервере каталогов). Для упрощения администрирования пользователя существует функция Auto Provisioning  , доступная начиная с версии Zimbra 8. 

Для этих целей у Zimbra есть три варианта решения:

• Auto Provisioning EAGER mode
• Auto Provisioning LAZY mode
• Auto Provisioning MANUAL mode

EAGER — Zimbra подключается к AD через заданные промежутки времени и автоматически проверяет и при необходимости создает пользователей в Zimbra.
LAZY — Учетная запись в Zimbra создается при первом входе пользователя, при условии, что в настройках домена установлен внешний механизм авторизации, естественно.
MANUAL — Администратор выполняет поиск и выбирает учетные записи, которые нужно добавить в Zimbra.

Мы решили использовать LAZY вариант, т.к. EAGER не у нас не взлетел, кроме того пользователей у нас больше 500, и искать с заданной периодичностью такое количество не лучший вариант. MANUAL просто не вариант.

Для того что бы настроить auto provisioning нужно выполнить следующие действия (я выполняю под пользователем zimbra):
1. zmprov md zimbra.local zimbraAutoProvMode LAZY — Устанавливаю LAZY метод
2. zmprov md zimbra.local zimbraAutoProvAuthMech LDAP — Задаю к тип внешней авторизации.
3. zmprov md zimbra.local zimbraAutoProvLdapURL "ldap://10.10.0.12:389" — Сервер внешней авторизации
4. zmprov md zimbra.local zimbraAutoProvLdapAdminBindDn "ldap@domain.local" — Пользователь, под которым можно подключиться к AD
5. zmprov md zimbra.local zimbraAutoProvLdapAdminBindPassword password — пароль пользователя
6. zmprov md zimbra.local zimbraAutoProvLdapSearchBase "ou=Employees,ou=Zimbra,dc=zimbra,dc=local" — Корень поиска пользователей в AD
7. zmprov md zimbra.local zimbraAutoProvLdapSearchFilter "(samAccountName=%u)" — фильтр поиска пользователей в AD
8. zmprov md zimbra.local zimbraAutoProvNotificationFromAddress admin@zimbra.local — От кого будут приходить сообщения о добавлении новых пользователей
9. zmprov md zimbra.local zimbraAutoProvAccountNameMap samAccountName — атрибут в AD, который содержит имя пользователя без указания домена
10.zmprov md zimbra.local +zimbraAutoProvAttrMap zimbraMailAlias=mail +zimbraAutoProvAttrMap sn=sn +zimbraAutoProvAttrMap description=mail +zimbraAutoProvAttrMap givenName=givenName +zimbraAutoProvAttrMap displayName=displayName — правила маппирования атрибутов из AD в Zimbra LDAP

Подробнее про параметры можно почитать на wiki Zimbra.

После этих манипуляций перезапускаю сервисы Zimbra:

zmcontrol restart