Исходные данные
Предполагается, что уже установлен сервер контроллера домана домена FreeIPA с именем домена astra.mta
Почтовый сервер располагается на отдельном компьютере, :
- введённом в домен
- ;
- с именем exim1.astra.mta;
- с постоянным адресом, например, 192.168.32.3
Информацияwarning |
---|
Располагать почтовый сервер непосредственно на доменном контроллере возможно, но не рекомендуется, так как это повышает уязвимость контроллера, и может негативно влиять на его производительность. |
Установка пакетов на почтовом сервере
Установить на почтовом сервере необходимые пакеты командой:
Command |
---|
sudo apt install exim4-daemon-heavy dovecot-imapd dovecot-gssapi |
Настройка почтового сервера
Dovecot
При установке пакетов dovecot будет создан файл /etc/dovecot/conf.d/10-master.conf. В него в секцию "service auth" нужно добавить подсекцию:
Блок кода |
---|
unix_listener auth-client { mode = 0600 user = Debian-exim } |
В итоге файл должен выглядеть примерно так (добавленная секция выделена):
Раскрыть |
---|
#default_process_limit = 100 # Default VSZ (virtual memory size) limit for service processes. This is mainly # Login user is internally used by login processes. This is the most untrusted # Internal user is used by unprivileged processes. It should be separate from service imap-login { # Number of connections to handle before starting a new process. Typically # Number of processes to always keep waiting for more connections. # If you set service_count=0, you probably need to grow this. service pop3-login { service lmtp { # Create inet listener only if you can't use the above UNIX socket service imap { # Max. number of IMAP processes (connections) service pop3 { service auth { # Postfix smtp-auth # Auth process is run as this user. service auth-worker { service dict { |
После внесения изменений выполнить команду для перенастройки реконфигурации Exim:
Command |
---|
sudo dpkg-reconfigure exim4-config |
Указать в появившемся окне:
Информация |
---|
– Общий тип почтовой конфигурации: интернет-сайт; прием и отправка почты напрямую, используя SMTP – Почтовое имя системы: astra.mta – IP-адреса, с которых следует ожидать входящие соединения: IP-адрес_сервера (например, 192.168.32.13) – Другие места назначения, для которых должна приниматься почта: astra.mta – Домены, для которых доступна релейная передача почты: оставить пустым – Машины, для которых доступна релейная передача почты: оставить пустым – Сокращать количество DNS-запросов до минимума: Нет – Метод доставки локальной почты: Maildir формат в /var/mail/ – Разделить конфигурацию на маленькие файлы: Да |
Регистрация почтовых служб на контроллере домена
Добавить на контроллере домена принципалы служб:
Commandinfo |
---|
imap/exim1.astra.mta@ASTRA.MTA |
Через Это можно сделать через графический интерфейс FreeIPA:
Или из командной строки после получения полномочий администратора домена:
Command |
---|
sudo kinit admin sudo ipa service-add imap/exim1.astra.mta@ASTRA.MTA sudo ipa service-add smtp/exim1.astra.mta@ASTRA.MTA |
Получение таблицы ключей на почтовом сервере
На почтовом сервере получить таблицу ключей для службы imap, а потом добавить таблицу ключей для службы smtp:
Command |
---|
sudo kinit admin |
Проверить полученную таблицу ключей:
Command | ||
---|---|---|
| ||
Keytab name: FILE:/var/lib/dovecot/dovecot.keytab |
Выдать пользователю dovecot права на чтение файла ключа Kerberos:
Command |
---|
sudo setfacl -m u:dovecot:x /var/lib/dovecot |
Убедиться, что в конфигурационном файле /etc/dovecot/dovecot.conf отключено использование протоколов POP3, отключить ненужные протоколы, оставив только imap:
Блок кода |
---|
protocols = imap |
Выполнить настройки в конфигурационном файле /etc/dovecot/conf.d/10-auth.conf :
- для отключения передачи при аутентификации пароля открытым текстом установить:
Блок кода |
---|
disable_plaintext_auth = yes |
- для настройки аутентификации посредством Kerberos с использованием метода GSSAPI установить:
Блок кода |
---|
auth_gssapi_hostname = exim1.astra.mta auth_krb5_keytab = /var/lib/dovecot/dovecot.keytab auth_mechanisms = gssapi |
Перезапустить Dovecot:
Command |
---|
sudo systemctl restart dovecot |
Настройка Exim
Для настройки аутентификации в Exim создать конфигурационный файл /etc/exim4/conf.d/auth/33_exim4-dovecot-kerberos-ipa со следующим содержимым:
Блок кода |
---|
dovecot_gssapi: driver = dovecot public_name = GSSAPI server_socket = /var/run/dovecot/auth-client server_set_id = $auth1 |
Далее перезапустить сервер Exim (2 варианта):
перезапустить сервер полностьюзапустить сервер Exim:
Command |
---|
sudo systemctl |
или перечитать файл конфигурации, без остановки сервера:
start exim4 |
На этом настройка почтового сервера с авторизацией через Kerberos в домене FreeIPA закончена, настройка клиентской части стандартная.