Оглавление |
---|
Информация | ||
---|---|---|
|
- ОС ОН Орёл 2.12
- ОС СН Смолнск 1.6
|
Исходные данные
Предполагается, что уже установлен сервер контроллера домена FreeIPA с именем домена astra.mta
Почтовый сервер располагается на отдельном компьютере:
- введённом в домен;
- с именем exim1.astra.mta;
- с постоянным адресом, например, 192.168.32.3 в сети 192.168.32.0/24
Предупреждение |
---|
Располагать почтовый сервер непосредственно на доменном контроллере возможно, но не рекомендуется, так как это повышает уязвимость контроллера, и может негативно влиять на его производительность. |
Установка пакетов на почтовом сервере
Установить на почтовом сервере необходимые пакеты командой:
Command |
---|
sudo apt install exim4-daemon-heavy dovecot-imapd dovecot-gssapi |
Устанавливаемые пакеты:
- exim4-daemon-heavy – агент передачи сообщений СЭП (MTA) — Exim4 с поддержкой мандатного контекста;
- dovecot-imapd – агент доставки сообщений СЭП (MDA) — Dovecot;
- dovecot-gssapi – модуль поддержки GSSAPI-аутентификации для MDA Dovecot;
Настройка почтового сервера
Dovecot
При установке пакетов dovecot будет создан файл /etc/dovecot/conf.d/10-master.conf. В него в секцию "service auth" нужно добавить подсекцию:
Блок кода |
---|
unix_listener auth-client { mode = 0600 user = Debian-exim } |
В итоге файл должен выглядеть примерно так (добавленная секция выделена):
Раскрыть |
---|
|
После внесения изменений выполнить команду для перенастройки реконфигурации Exim:
Command |
---|
sudo dpkg-reconfigure exim4-config |
Указать в появившемся окне:
Информация | ||
---|---|---|
– Общий тип почтовой конфигурации: доставка только локальной почты; доступа к сети нет – Почтовое имя системы: astra.mta – IP-адреса, с которых следует ожидать входящие соединения: IP-адрес_сервера (например, 192.168.32.3), или оставить пустым, чтобы принимать соединения на всех доступных сетевых интерфейсах – Другие места назначения, для которых должна приниматься почта: astra.mta
– Машины, для которых доступна релейная передача почты: 192.168.32.0/24 – Сокращать количество DNS-запросов до минимума: Нет – Метод доставки локальной почты: Maildir формат в /var/mail/ – Разделить конфигурацию на маленькие файлы: Да |
Если в журнале Exim (файл /var/log/exim4/paniclog) появляются сообщения об ошибках вида:
Блок кода |
---|
Failed to create spool file /var/spool/exim4//input//1jb2ok-00031u-5R-D: Operation not permitted |
следует следует исправить права доступа к каталогу /var/spool/exim4:
Command |
---|
sudo chown -R Debian-exim:Debian-exim /var/spool/exim4/ |
Регистрация почтовых служб на контроллере домена
Добавить на контроллере домена принципалы служб:
Информация |
---|
imap/exim1.astra.mta@ASTRA.MTA |
Это можно сделать через графический интерфейс FreeIPA:
Или из командной строки после получения полномочий администратора домена:
Command |
---|
kinit admin ipa service-add imap/exim1.astra.mta@ASTRA.MTA ipa service-add smtp/exim1.astra.mta@ASTRA.MTA |
Получение таблицы ключей на почтовом сервере
На почтовом сервере получить таблицу ключей для службы imap, а потом добавить таблицу ключей для службы smtp. Это следует сделат делать имея одновременно полномочия администратора домена и локального администратора:
Command |
---|
sudo kinit admin |
Проверить полученную таблицу ключей:
Command | ||
---|---|---|
| ||
Keytab name: FILE:/var/lib/dovecot/dovecot.keytab |
Выдать пользователю dovecot права на чтение файла ключа Kerberos:
Command |
---|
sudo setfacl -m u:dovecot:x /var/lib/dovecot |
Убедиться, что в конфигурационном файле /etc/dovecot/dovecot.conf отключено использование протоколов POP3, в параметре protocols отключить ненужные протоколы, оставив только imap:
Блок кода |
---|
protocols = imap |
Выполнить настройки в конфигурационном файле /etc/dovecot/conf.d/10-auth.conf :
- для отключения передачи при аутентификации пароля открытым текстом установить параметр:
Блок кода |
---|
disable_plaintext_auth = yes |
- для настройки аутентификации посредством Kerberos с использованием метода GSSAPI установить параметры:
Блок кода |
---|
auth_gssapi_hostname = exim1.astra.mta auth_krb5_keytab = /var/lib/dovecot/dovecot.keytab auth_mechanisms = gssapi |
Перезапустить Dovecot:
Command |
---|
sudo systemctl restart dovecot |
Настройка Exim
Для настройки аутентификации в Exim создать конфигурационный файл /etc/exim4/conf.d/auth/33_exim4-dovecot-kerberos-ipa со следующим содержимым:
Блок кода |
---|
dovecot_gssapi: driver = dovecot public_name = GSSAPI server_socket = /var/run/dovecot/auth-client server_set_id = $auth1 |
Далее запустить сервер Exim и разрешить его автоматический запуск после перезагрузки:
Command |
---|
sudo systemctl start exim4 sudo systemctl enable exim4 |
На этом настройка авторизации через Kerberos в домене FreeIPA закончена, далее требуется настройка параметров почтового сервера (параметров пересылки почты), и настройка клиентской части на клиентах (см. "Руководство администратора", ч. 1, п. 13 "Защищенный комплекс программ электроннй почты").