Kā konfigurēt un integrēt iRedMail pakalpojumus Samba4 AD DC - 11. daļa
Šajā apmācībā uzzināsiet, kā modificēt iRedMail galvenos dēmonus, kas nodrošina pasta pakalpojumus, attiecīgi, Samba4 Active Directory domēna kontrolleri.
Integrējot iRedMail Samba4 AD DC, jūs izmantosiet šādas funkcijas: lietotāja autentifikācija, pārvaldība un statuss, izmantojot Samba AD DC, izveidojiet pasta sarakstus, izmantojot AD grupas un globālo LDAP adrešu grāmatu Roundcube.
- Instalējiet iRedMail uz CentOS 7 Samba4 AD integrācijai
1. solis: Sagatavojiet iRedMail sistēmu Sama4 AD integrācijai
1. Pirmajā posmā jums jāpiešķir statiska IP adrese savai mašīnai, ja izmantojat dinamisku IP adresi, ko nodrošina DHCP serveris.
Palaidiet komandu nmtui-edit pret pareizo NIC.
Palaidiet komandu nmtui-edit ar root tiesībām.
# ifconfig # nmtui-edit eno16777736
2. Kad tīkla saskarne ir atvērta rediģēšanai, pievienojiet pareizos statiskos IP iestatījumus, pārliecinieties, ka esat pievienojis Samba4 AD DC DNS serveru IP adreses un domēna nosaukumu, lai vaicātu valstij no savas mašīnas. Izmantojiet zemāk redzamo ekrānuzņēmumu kā ceļvedi.
3. Kad esat konfigurējis tīkla saskarni, restartējiet tīkla dēmonu, lai lietotu izmaiņas un izdotu virkni ping komandu pret domēna vārdu un samba4 domēna kontrolleriem FQDN.
# systemctl restart network.service # cat /etc/resolv.conf # verify DNS resolver configuration if the correct DNS servers IPs are queried for domain resolution # ping -c2 tecmint.lan # Ping domain name # ping -c2 adc1 # Ping first AD DC # ping -c2 adc2 # Ping second AD DC
4. Pēc tam sinhronizējiet laiku ar samba domēna kontrolleri, instalējot paketi ntpdate un vaicājiet Samba4 mašīnas NTP serverim, izsniedzot šādas komandas:
# yum install ntpdate # ntpdate -qu tecmint.lan # querry domain NTP servers # ntpdate tecmint.lan # Sync time with the domain
5. Jūs varētu vēlēties, lai vietējais laiks tiktu automātiski sinhronizēts ar samba AD laika serveri. Lai sasniegtu šo iestatījumu, pievienojiet ieplānoto darbu, kas darbosies katru stundu, izsniedzot komandu crontab -e un pievienojiet šādu rindu:
0 */1 * * * /usr/sbin/ntpdate tecmint.lan > /var/log/ntpdate.lan 2>&1
2. solis: Sagatavojiet Samba4 AD DC iRedMail integrācijai
6. Tagad pārejiet uz šeit.
Atveriet DNS pārvaldnieku, dodieties uz sava domēna Pārsūtīšanas zonas un pievienojiet jaunu A ierakstu, MX ierakstu un PTR ierakstu, lai norādītu uz jūsu iRedMail sistēmas IP adresi. Izmantojiet zemāk redzamos ekrānuzņēmumus kā ceļvedi.
Pievienot ierakstu (attiecīgi nomainiet iRedMail iekārtas nosaukumu un IP adresi).
Pievienojiet MX ierakstu (atstājiet bērna domēnu tukšu un pievienojiet šim pasta serverim 10 prioritāti).
Pievienojiet PTR ierakstu, izvēršoties uz Reverse Lookup Zones (attiecīgi nomainiet iRedMail servera IP adresi). Ja līdz šim neesat konfigurējis sava domēna kontrollera reverso zonu, izlasiet šo apmācību:
- Pārvaldiet Samba4 DNS grupas politiku no Windows
7. Kad esat pievienojis pamata DNS ierakstus, kuru dēļ pasta serveris darbojas pareizi, pārejiet uz iRedMail mašīnu, instalējiet paketi bind-utils un vaicājiet jaunpievienotajiem pasta ierakstiem, kā ieteikts zemāk esošajā fragmentā.
Samba4 AD DC DNS serverim jāatbild ar iepriekšējā ierakstā pievienotajiem DNS ierakstiem.
# yum install bind-utils # host tecmint.lan # host mail.tecmint.lan # host 192.168.1.245
No Windows datora atveriet komandu uzvednes logu un izdodiet komandu nslookup pret iepriekš minētajiem pasta servera ierakstiem.
8. Kā galīgo priekšnoteikumu izveidojiet jaunu lietotāja kontu ar minimālām privilēģijām Samba4 AD DC ar vārdu vmail, izvēlieties šim lietotājam stingru paroli un pārliecinieties, ka šī lietotāja parole nekad nedarbojas.
IRedMail pakalpojumi izmantos vmail lietotāja kontu, lai vaicātu Samba4 AD DC LDAP datu bāzei un izvilktu e-pasta kontus.
Lai izveidotu vmail kontu, izmantojiet ADUC grafisko rīku no Windows mašīnas, kas savienota ar valstību ar instalētiem RSAT rīkiem, kā parādīts tālāk redzamajos ekrānuzņēmumos, vai izmantojiet samba rīka komandrindu tieši no domēna kontrollera, kā paskaidrots šajā tēmā.
- Pārvaldiet Samba4 Active Directory no Linux komandrindas
Šajā ceļvedī mēs izmantosim pirmo iepriekš minēto metodi.
9. No iRedMail sistēmas pārbaudiet vmail lietotāja iespējas vaicāt Samba4 AD DC LDAP datu bāzei, izsniedzot tālāk norādīto komandu. Atgrieztajam rezultātam jābūt kopējam jūsu domēna objektu ierakstu skaitam, kā parādīts zemāk esošajos ekrānuzņēmumos.
# ldapsearch -x -h tecmint.lan -D '[email ' -W -b 'cn=users,dc=tecmint,dc=lan'
Piezīme. Attiecīgi nomainiet domēna nosaukumu un LDAP bāzes dn Samba4 AD (‘cn = lietotāji, dc = tecmint, dc = lan’).
3. darbība: integrējiet iRedMail pakalpojumus Samba4 AD DC
10. Tagad ir pienācis laiks izmainīt iRedMail pakalpojumus (Postfix, Dovecot un Roundcube), lai vaicātu Samba4 domēna kontrollerim par pasta kontiem.
Pirmais pakalpojums, kas tiks modificēts, būs MTA aģents Postfix. Izsniedziet šīs komandas, lai atspējotu virkni MTA iestatījumu, pievienojiet savu domēna nosaukumu Postfix lokālā domēna un pastkastes domēniem un izmantojiet Dovecot aģentu, lai lokāli piegādātu saņemtās vēstules lietotāju pastkastēs.
# postconf -e virtual_alias_maps=' ' # postconf -e sender_bcc_maps=' ' # postconf -e recipient_bcc_maps= ' ' # postconf -e relay_domains=' ' # postconf -e relay_recipient_maps=' ' # postconf -e sender_dependent_relayhost_maps=' ' # postconf -e smtpd_sasl_local_domain='tecmint.lan' #Replace with your own domain # postconf -e virtual_mailbox_domains='tecmint.lan' #Replace with your own domain # postconf -e transport_maps='hash:/etc/postfix/transport' # postconf -e smtpd_sender_login_maps='proxy:ldap:/etc/postfix/ad_sender_login_maps.cf' # Check SMTP senders # postconf -e virtual_mailbox_maps='proxy:ldap:/etc/postfix/ad_virtual_mailbox_maps.cf' # Check local mail accounts # postconf -e virtual_alias_maps='proxy:ldap:/etc/postfix/ad_virtual_group_maps.cf' # Check local mail lists # cp /etc/postfix/transport /etc/postfix/transport.backup # Backup transport conf file # echo "tecmint.lan dovecot" > /etc/postfix/transport # Add your domain with dovecot transport # cat /etc/postfix/transport # Verify transport file # postmap hash:/etc/postfix/transport
11. Pēc tam izveidojiet konfigurācijas failu Postfix /etc/postfix/ad_sender_login_maps.cf ar iecienītāko teksta redaktoru un pievienojiet tālāk norādīto konfigurāciju.
server_host = tecmint.lan server_port = 389 version = 3 bind = yes start_tls = no bind_dn = [email bind_pw = ad_vmail_account_password search_base = dc=tecmint,dc=lan scope = sub query_filter = (&(userPrincipalName=%s)(objectClass=person)(!(userAccountControl:1.2.840.113556.1.4.803:=2))) result_attribute= userPrincipalName debuglevel = 0
12. Izveidojiet /etc/postfix/ad_virtual_mailbox_maps.cf ar šādu konfigurāciju.
server_host = tecmint.lan server_port = 389 version = 3 bind = yes start_tls = no bind_dn = [email bind_pw = ad_vmail_account_password search_base = dc=tecmint,dc=lan scope = sub query_filter = (&(objectclass=person)(userPrincipalName=%s)) result_attribute= userPrincipalName result_format = %d/%u/Maildir/ debuglevel = 0
13. Izveidojiet /etc/postfix/ad_virtual_group_maps.cf ar šādu konfigurāciju.
server_host = tecmint.lan server_port = 389 version = 3 bind = yes start_tls = no bind_dn = [email bind_pw = ad_vmail_account_password search_base = dc=tecmint,dc=lan scope = sub query_filter = (&(objectClass=group)(mail=%s)) special_result_attribute = member leaf_result_attribute = mail result_attribute= userPrincipalName debuglevel = 0
Visos trīs konfigurācijas failos aizstājiet vērtības no server_host, bind_dn, bind_pw un search_base, lai atspoguļotu jūsu domēna pielāgotos iestatījumus.
14. Pēc tam atveriet Postfix galveno konfigurācijas failu un meklējiet un atspējojiet iRedAPD check_policy_service un smtpd_end_of_data_restrictions, pievienojot komentāru # nākamo rindiņu priekšā.
# nano /etc/postfix/main.cf
Komentējiet šādas rindas:
#check_policy_service inet:127.0.0.1:7777 #smtpd_end_of_data_restrictions = check_policy_service inet:127.0.0.1:7777
15. Tagad pārbaudiet Postfix saistīšanu ar Samba AD, izmantojot esošo domēna lietotāju un domēnu grupu, izsniedzot virkni vaicājumu, kā parādīts turpmākajos piemēros.
Rezultātam jābūt līdzīgam, kā parādīts zemāk redzamajā ekrānuzņēmumā.
# postmap -q [email ldap:/etc/postfix/ad_virtual_mailbox_maps.cf # postmap -q [email ldap:/etc/postfix/ad_sender_login_maps.cf # postmap -q [email ldap:/etc/postfix/ad_virtual_group_maps.cf
Attiecīgi aizstājiet AD lietotāju un grupu kontus. Pārliecinieties arī, ka jūsu izmantotajai AD grupai ir piešķirti daži AD lietotāju dalībnieki.
16. Nākamajā solī modificējiet Dovecot konfigurācijas failu, lai vaicātu Samba4 AD DC. Rediģēšanai atveriet failu /etc/dovecot/dovecot-ldap.conf un pievienojiet šādas rindas.
hosts = tecmint.lan:389 ldap_version = 3 auth_bind = yes dn = [email dnpass = ad_vmail_password base = dc=tecmint,dc=lan scope = subtree deref = never user_filter = (&(userPrincipalName=%u)(objectClass=person)(!(userAccountControl:1.2.840.113556.1.4.803:=2))) pass_filter = (&(userPrincipalName=%u)(objectClass=person)(!(userAccountControl:1.2.840.113556.1.4.803:=2))) pass_attrs = userPassword=password default_pass_scheme = CRYPT user_attrs = =home=/var/vmail/vmail1/%Ld/%Ln/Maildir/,=mail=maildir:/var/vmail/vmail1/%Ld/%Ln/Maildir/
Samba4 AD konta pastkaste tiks saglabāta /var/vmail/vmail1/your_domain.tld/your_domain_user/Maildir/ vietā Linux sistēmā.
17. Pārliecinieties, vai dovecot galvenajā konfigurācijas failā ir iespējoti pop3 un imap protokoli. Pārbaudiet, vai ir iespējoti arī kvotas un acl pasta spraudņi, atverot failu /etc/dovecot/dovecot.conf un pārbaudiet, vai šīs vērtības ir.
18. Ja vēlaties, lai globālā cietā kvota nepārsniegtu maksimālo 500 MB krātuves apjomu katram domēna lietotājam, failā /etc/dovecot/dovecot.conf pievienojiet šādu rindu.
quota_rule = *:storage=500M
19. Visbeidzot, lai piemērotu visas līdz šim veiktās izmaiņas, restartējiet un pārbaudiet Postfix un Dovecot dēmonu statusu, izsniedzot tālāk norādītās komandas ar root tiesībām.
# systemctl restart postfix dovecot # systemctl status postfix dovecot
20. Lai pārbaudītu pasta servera konfigurāciju no komandrindas, izmantojot IMAP protokolu, izmantojiet telnet vai netcat komandu, kā parādīts zemāk esošajā piemērā.
# nc localhost 143 a1 LOGIN [email _domain.tld ad_user_password a2 LIST “” “*” a3 LOGOUT
Ja jūs varat veikt IMAP pieteikšanos no komandrindas ar Samba4 lietotāja kontu, iRedMail serveris, šķiet, ir gatavs sūtīt un saņemt vēstules par Active Directory kontiem.
Nākamajā apmācībā tiks apspriests, kā integrēt Roundcube tīmekļa pastu ar Samba4 AD DC un iespējot globālo LDAP adrešu grāmatu, pielāgot Roudcube, piekļūt Roundcube tīmekļa saskarnei no pārlūkprogrammas un atspējot dažus nevajadzīgus iRedMail pakalpojumus.