Оглавление |
---|
Информация | ||
---|---|---|
|
- ОС ОН Орёл 2.12
- ОС СН Смолнск 1.6
|
Исходные данные
Предполагается, что уже установлен сервер контроллера домана домена FreeIPA с именем домена astra.mta
Почтовый сервер располагается на отдельном компьютере, :
- введённом в домен
- ;
- с именем exim1.astra.mta;
- с постоянным адресом, например, 192.168.32.3 в сети 192.168.32.0/24
Информацияwarning |
---|
Располагать почтовый сервер непосредственно на доменном контроллере возможно, но не рекомендуется, так как это повышает уязвимость контроллера, и может негативно влиять на его производительность. |
Установка пакетов на почтовом сервере
Установить на почтовом сервере необходимые пакеты командой:
Command |
---|
sudo apt install exim4-daemon-heavy dovecot-imapd dovecot-gssapi |
Устанавливаемые пакеты:
- exim4-daemon-heavy – агент передачи сообщений СЭП (MTA) — Exim4 с поддержкой мандатного контекста;
- dovecot-imapd – агент доставки сообщений СЭП (MDA) — Dovecot;
- dovecot-gssapi – модуль поддержки GSSAPI-аутентификации для MDA Dovecot;
Настройка почтового сервера
Dovecot
При установке установке пакетов dovecot будет создан файл /etc/dovecot/conf.d/10-master.conf. В него в секцию "service auth" нужно добавить подсекцию:
Блок кода |
---|
unix_listener auth-client { mode = 0600 user = Debian-exim } |
В итоге файл должен выглядеть примерно так (добавленная секция выделена):
Раскрыть |
---|
|
После внесения изменений выполнить команду для перенастройки реконфигурации Exim:
Command |
---|
sudo dpkg-reconfigure exim4-config |
Указать в появившемся окне:
Информация | ||
---|---|---|
– Общий тип почтовой конфигурации: интернет-сайт; прием и отправка почты напрямую, используя SMTP доставка только локальной почты; доступа к сети нет – Почтовое имя системы: astra.mta – IP-адреса, с которых следует ожидать входящие соединения: IP-адрес_сервера (например, 192.168.32.1)3), или оставить пустым, чтобы принимать соединения на всех доступных сетевых интерфейсах – Другие места назначения, для которых должна приниматься почта: astra.mta– Домены, для которых доступна релейная передача почты: оставить пустым
– Машины, для которых доступна релейная передача почты: оставить пустым 192.168.32.0/24 – Сокращать количество DNS-запросов до минимума: Нет – Метод доставки локальной почты: Maildir формат в /var/mail/ – Разделить конфигурацию на маленькие файлы: Да |
Если в журнале Exim (файл /var/log/exim4/paniclog) появляются сообщения об ошибках вида:
Блок кода |
---|
Failed to create spool file /var/spool/exim4//input//1jb2ok-00031u-5R-D: Operation not permitted |
следует следует исправить права доступа к каталогу /var/spool/exim4:
Command |
---|
sudo chown -R Debian-exim:Debian-exim /var/spool/exim4/ |
Регистрация почтовых служб на контроллере домена
Добавить на контроллере домена принципалы служб:
Commandinfo |
---|
imap/exim1.astra.mta@ASTRA.MTA |
Через Это можно сделать через графический интерфейс FreeIPA:
Или из командной строки после получения полномочий администратора домена:
Command |
---|
sudo kinit admin sudo ipa service-add imap/exim1.astra.mta@ASTRA.MTA sudo ipa service-add smtp/exim1.astra.mta@ASTRA.MTA |
Получение таблицы ключей на почтовом сервере
На почтовом сервере получить таблицу ключей для службы imap, а потом добавить таблицу ключей для службы smtp. Это следует делать имея одновременно полномочия администратора домена и локального администратора:
Command |
---|
sudo kinit admin |
Проверить полученную таблицу ключей:
Command | ||
---|---|---|
| ||
Keytab name: FILE:/var/lib/dovecot/dovecot.keytab |
Выдать пользователю dovecot права на чтение файла ключа Kerberos:
Command |
---|
sudo setfacl -m u:dovecot:x /var/lib/dovecot |
Убедиться, что в конфигурационном файле /etc/dovecot/dovecot.conf отключено использование протоколов POP3, в параметре protocols отключить ненужные протоколы, оставив только imap:
Блок кода |
---|
protocols = imap |
Выполнить настройки в конфигурационном файле /etc/dovecot/conf.d/10-auth.conf :
- для отключения передачи при аутентификации пароля открытым текстом установить параметр:
Блок кода |
---|
disable_plaintext_auth = yes |
- для настройки аутентификации посредством Kerberos с использованием метода GSSAPI установить параметры:
Блок кода |
---|
auth_gssapi_hostname = exim1.astra.mta auth_krb5_keytab = /var/lib/dovecot/dovecot.keytab auth_mechanisms = gssapi |
Перезапустить Dovecot:
Command |
---|
sudo systemctl restart dovecot |
Настройка Exim
Для настройки аутентификации в Exim создать конфигурационный файл /etc/exim4/conf.d/auth/33_exim4-dovecot-kerberos-ipa со следующим содержимым:
Блок кода |
---|
dovecot_gssapi: driver = dovecot public_name = GSSAPI server_socket = /var/run/dovecot/auth-client server_set_id = $auth1 |
Далее перезапустить сервер Exim (2 варианта):
перезапустить сервер полностью:
запустить сервер Exim и разрешить его автоматический запуск после перезагрузки:
Command |
---|
sudo systemctl |
или перечитать файл конфигурации, без остановки сервера:
start exim4 sudo systemctl enable exim4 |
На этом настройка почтового сервера с авторизацией авторизации через Kerberos в домене FreeIPA закончена, далее требуется настройка параметров почтового сервера (параметров пересылки почты), настройка клиентской части стандартнаяи настройка клиентской части на клиентах (см. "Руководство администратора", ч. 1, п. 13 "Защищенный комплекс программ электроннй почты").