Kako nastaviti in integrirati storitve iRedMail v Samba4 AD DC - 11. del


V tej vadnici se boste naučili, kako spremeniti glavne demone iRedMail, ki ponujajo poštne storitve, oziroma Samba4 Active Directory Domain Controller.

Z integracijo iRedMail v Samba4 AD DC boste imeli koristi od naslednjih funkcij: preverjanje pristnosti uporabnika, upravljanje in stanje prek Samba AD DC, ustvarjanje seznamov pošte s pomočjo skupin AD in Global LDAP Address Book v Roundcubeu.

  1. Namestite iRedMail na CentOS 7 za integracijo Samba4 AD

1. korak: Pripravite sistem iRedMail za integracijo Sama4 AD

1. V prvem koraku morate svoji napravi dodeliti statični naslov IP, če uporabljate dinamični naslov IP, ki ga zagotavlja strežnik DHCP.

Zaženite ukaz nmtui-edit proti pravilni NIC.

Zaženite ukaz nmtui-edit s korenskimi privilegiji.

# ifconfig
# nmtui-edit eno16777736

2. Ko je omrežni vmesnik odprt za urejanje, dodajte ustrezne statične nastavitve IP, poskrbite, da dodate naslove IP strežnikov DNS vašega Samba4 AD DC in ime vaše domene, da poizvedujete o področju s svojega računalnika. Kot vodilo uporabite spodnji posnetek zaslona.

3. Ko končate s konfiguracijo omrežnega vmesnika, znova zaženite omrežni demon, da uveljavite spremembe, in izdajte vrsto ukazov ping proti FQDN-jem domenskega imena in krmilnikov domen samba4.

# systemctl restart network.service
# cat /etc/resolv.conf     # verify DNS resolver configuration if the correct DNS servers IPs are queried for domain resolution
# ping -c2 tecmint.lan     # Ping domain name
# ping -c2 adc1            # Ping first AD DC
# ping -c2 adc2            # Ping second AD DC

4. Nato sinhronizirajte čas s krmilnikom domene samba z namestitvijo paketa ntpdate in poizvedbo strežnika Samba4 machine NTP z izdajo spodnjih ukazov:

# yum install ntpdate
# ntpdate -qu tecmint.lan      # querry domain NTP servers
# ntpdate tecmint.lan          # Sync time with the domain

5. Morda boste želeli, da se lokalni čas samodejno sinhronizira s časovnim strežnikom samba AD. Če želite doseči to nastavitev, dodajte načrtovano opravilo, ki se bo izvajalo vsako uro, tako da izdate ukaz crontab -e in dodate naslednjo vrstico:

0   */1	  *   *   *   /usr/sbin/ntpdate tecmint.lan > /var/log/ntpdate.lan 2>&1

2. korak: Pripravite Samba4 AD DC na integracijo iRedMail

6. Zdaj pa se premaknite sem.

Odprite DNS Manager, pojdite na območja za iskanje naprej in dodajte nov zapis A, zapis MX in zapis PTR, ki bo vodil do naslova IP vašega sistema iRedMail. Kot vodilo uporabite spodnje posnetke zaslona.

Dodaj zapis (ustrezno zamenjajte ime in naslov IP naprave iRedMail).

Dodajte zapis MX (pustite podrejeno domeno prazno in dodajte 10 prioritet za ta poštni strežnik).

Dodajte zapis PTR tako, da ga razširite na Reverse Lookup Cones (ustrezno zamenjajte naslov IP strežnika iRedMail). Če doslej niste konfigurirali povratnega območja za krmilnik domene, preberite naslednjo vadnico:

  1. Upravljanje pravilnika skupine DNS Samba4 iz sistema Windows

7. Ko dodate osnovne zapise DNS, zaradi katerih poštni strežnik deluje pravilno, se premaknite na stroj iRedMail, namestite paket bind-utils in poizvedite na novo dodane e-poštne zapise, kot je predlagano v spodnjem odlomku.

Strežnik DNS Samba4 AD DC se mora odzvati z zapisi DNS, dodanimi v prejšnjem koraku.

# yum install bind-utils
# host tecmint.lan
# host mail.tecmint.lan
# host 192.168.1.245

V računalniku z operacijskim sistemom Windows odprite okno ukaznega poziva in izdajte ukaz nslookup proti zgornjim zapisom poštnega strežnika.

8. Kot zadnjo predpogojo v Samba4 AD DC ustvarite nov uporabniški račun z minimalnimi pravicami z imenom vmail, izberite močno geslo za tega uporabnika in zagotovite, da geslo za tega uporabnika nikoli ne poteče.

Uporabniški račun vmail bodo storitve iRedMail uporabljale za poizvedovanje po zbirki podatkov Samba4 AD DC LDAP in vlečenje e-poštnih računov.

Če želite ustvariti račun vmail, uporabite grafično orodje ADUC iz računalnika z operacijskim sistemom Windows, ki je združeno s področjem z nameščenimi orodji RSAT, kot je prikazano na spodnjih posnetkih zaslona, ali uporabite ukazno vrstico samba-tool neposredno iz krmilnika domene, kot je razloženo v naslednji temi.

  1. Upravljajte Samba4 Active Directory iz ukazne vrstice Linuxa

V tem priročniku bomo uporabili prvo zgoraj omenjeno metodo.

9. V sistemu iRedMail preizkusite zmožnost uporabnika vmail, da poizveduje po zbirki podatkov Samba4 AD DC LDAP, tako da izda spodnji ukaz. Vrnjeni rezultat mora biti skupno število vnosov predmetov za vašo domeno, kot je prikazano na spodnjih posnetkih zaslona.

# ldapsearch -x -h tecmint.lan -D '[email ' -W -b 'cn=users,dc=tecmint,dc=lan'

Opomba: V domeni Samba4 AD (»cn = uporabniki, dc = tecmint, dc = lan«) ustrezno zamenjajte ime domene in LDAP osnovno dn.

3. korak: Vključite storitve iRedMail v Samba4 AD DC

10. Zdaj je čas, da posežemo v storitve iRedMail (Postfix, Dovecot in Roundcube), da poizvedemo Samba4 Domain Controller za poštne račune.

Prva storitev, ki bo spremenjena, bo agent MTA, Postfix. Z naslednjimi ukazi onemogočite vrsto nastavitev MTA, dodajte svoje ime domene v lokalne domene Postfix in domene nabiralnikov ter uporabite agent Dovecot za lokalno dostavo prejetih sporočil uporabniškim nabiralnikom.

# postconf -e virtual_alias_maps=' '
# postconf -e sender_bcc_maps=' '
# postconf -e recipient_bcc_maps= ' '
# postconf -e relay_domains=' '
# postconf -e relay_recipient_maps=' '
# postconf -e sender_dependent_relayhost_maps=' '
# postconf -e smtpd_sasl_local_domain='tecmint.lan'	#Replace with your own domain
# postconf -e virtual_mailbox_domains='tecmint.lan'	#Replace with your own domain	
# postconf -e transport_maps='hash:/etc/postfix/transport'
# postconf -e smtpd_sender_login_maps='proxy:ldap:/etc/postfix/ad_sender_login_maps.cf'  # Check SMTP senders
# postconf -e virtual_mailbox_maps='proxy:ldap:/etc/postfix/ad_virtual_mailbox_maps.cf'  # Check local mail accounts
# postconf -e virtual_alias_maps='proxy:ldap:/etc/postfix/ad_virtual_group_maps.cf'  # Check local mail lists
# cp /etc/postfix/transport /etc/postfix/transport.backup	# Backup transport conf file
# echo "tecmint.lan dovecot" > /etc/postfix/transport		# Add your domain with dovecot transport
# cat /etc/postfix/transport					# Verify transport file
# postmap hash:/etc/postfix/transport

11. Nato z najljubšim urejevalnikom besedila ustvarite konfiguracijsko datoteko Postfix /etc/postfix/ad_sender_login_maps.cf in dodajte spodnjo konfiguracijo.

server_host     = tecmint.lan
server_port     = 389
version         = 3
bind            = yes
start_tls       = no
bind_dn         = [email 
bind_pw         = ad_vmail_account_password
search_base     = dc=tecmint,dc=lan
scope           = sub
query_filter    = (&(userPrincipalName=%s)(objectClass=person)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
result_attribute= userPrincipalName
debuglevel      = 0

12. Ustvari /etc/postfix/ad_virtual_mailbox_maps.cf z naslednjo konfiguracijo.

server_host     = tecmint.lan
server_port     = 389
version         = 3
bind            = yes
start_tls       = no
bind_dn         = [email 
bind_pw         = ad_vmail_account_password
search_base     = dc=tecmint,dc=lan
scope           = sub
query_filter    = (&(objectclass=person)(userPrincipalName=%s))
result_attribute= userPrincipalName
result_format   = %d/%u/Maildir/
debuglevel      = 0

13. Ustvarite /etc/postfix/ad_virtual_group_maps.cf s spodnjo konfiguracijo.

server_host     = tecmint.lan
server_port     = 389
version         = 3
bind            = yes
start_tls       = no
bind_dn         = [email 
bind_pw         = ad_vmail_account_password
search_base     = dc=tecmint,dc=lan
scope           = sub
query_filter    = (&(objectClass=group)(mail=%s))
special_result_attribute = member
leaf_result_attribute = mail
result_attribute= userPrincipalName
debuglevel      = 0

V vseh treh konfiguracijskih datotekah zamenjajte vrednosti iz server_host, bind_dn, bind_pw in search_base, da bodo odražale nastavitve vaše lastne domene.

14. Nato odprite glavno konfiguracijsko datoteko Postfix ter poiščite in onemogočite iRedAPD check_policy_service in smtpd_end_of_data_restrictions, tako da pred naslednjimi vrsticami dodate komentar # .

# nano /etc/postfix/main.cf

Komentirajte naslednje vrstice:

#check_policy_service inet:127.0.0.1:7777
#smtpd_end_of_data_restrictions = check_policy_service inet:127.0.0.1:7777

15. Zdaj preverite vezavo Postfix na Samba AD z uporabo obstoječega uporabnika domene in domenske skupine z izdajo vrste poizvedb, kot je predstavljeno v naslednjih primerih.

Rezultat mora biti podoben, kot je prikazano na spodnjem posnetku zaslona.

# postmap -q [email  ldap:/etc/postfix/ad_virtual_mailbox_maps.cf
# postmap -q [email  ldap:/etc/postfix/ad_sender_login_maps.cf
# postmap -q [email  ldap:/etc/postfix/ad_virtual_group_maps.cf

Ustrezno zamenjajte račune uporabnikov AD in skupine. Prepričajte se tudi, da ima skupina AD, ki jo uporabljate, določenih nekaj uporabnikov AD.

16. V naslednjem koraku spremenite konfiguracijsko datoteko Dovecot in poizvedite Samba4 AD DC. Odprite datoteko /etc/dovecot/dovecot-ldap.conf za urejanje in dodajte naslednje vrstice.

hosts           = tecmint.lan:389
ldap_version    = 3
auth_bind       = yes
dn              = [email 
dnpass          = ad_vmail_password
base            = dc=tecmint,dc=lan
scope           = subtree
deref           = never
user_filter     = (&(userPrincipalName=%u)(objectClass=person)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
pass_filter     = (&(userPrincipalName=%u)(objectClass=person)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
pass_attrs      = userPassword=password
default_pass_scheme = CRYPT
user_attrs      = =home=/var/vmail/vmail1/%Ld/%Ln/Maildir/,=mail=maildir:/var/vmail/vmail1/%Ld/%Ln/Maildir/

Nabiralnik računa Samba4 AD bo shranjen na /var/vmail/vmail1/your_domain.tld/your_domain_user/Maildir/ lokaciji v sistemu Linux.

17. Prepričajte se, da sta v glavni konfiguracijski datoteki dovecot omogočena protokola pop3 in imap. Odprite datoteko /etc/dovecot/dovecot.conf in preverite, ali so omogočeni tudi vtičniki za kvote in acl, ter preverite, ali so te vrednosti prisotne.

18. Če želite nastaviti splošno trdo kvoto, ki ne presega največ 500 MB prostora za shranjevanje za vsakega uporabnika domene, dodajte v datoteko /etc/dovecot/dovecot.conf naslednjo vrstico.

quota_rule = *:storage=500M 

19. Nazadnje, če želite uporabiti vse do zdaj narejene spremembe, znova zaženite in preverite stanje demonov Postfix in Dovecot z izdajo spodnjih ukazov s korenskimi pravicami.

# systemctl restart postfix dovecot
# systemctl status postfix dovecot

20. Za preizkus konfiguracije poštnega strežnika iz ukazne vrstice s protokolom IMAP uporabite ukaz telnet ali netcat, kot je prikazano v spodnjem primeru.

# nc localhost 143
a1 LOGIN [email _domain.tld ad_user_password
a2 LIST “” “*”
a3 LOGOUT

Če lahko izvedete prijavo IMAP iz ukazne vrstice z uporabniškim računom Samba4, je strežnik iRedMail videti pripravljen za pošiljanje in prejemanje pošte za račune Active Directory.

V naslednji vadnici bomo razpravljali o tem, kako integrirati spletno pošto Roundcube s Samba4 AD DC in omogočiti Global LDAP Address Book, prilagoditi Roudcube, dostopati do spletnega vmesnika Roundcube iz brskalnika in onemogočiti nekatere nepotrebne storitve iRedMail.