ActiveDirectory/PostfixDovecot2: различия между версиями
Nbr (обсуждение | вклад) (3) |
Nbr (обсуждение | вклад) Нет описания правки |
||
| Строка 33: | Строка 33: | ||
= Анализ безопасности = | = Анализ безопасности = | ||
== | == ght == | ||
| Следует заметить, что данная инструкция не претендует на создание полностью безопасной конфигурации. | ||
Вопросы | Вопросы защиты данных будут рассмотрены ниже. | ||
== Что нужно будет менять для повышения безопасности == | == Что нужно будет менять для повышения безопасности == | ||
| Строка 75: | Строка 75: | ||
=== Autoconfig === | === Autoconfig === | ||
Для автоматической конфигурации ПО почтовых клиентов на рабочих | |||
станциях используется следующая схема * Записи SRV домена, указывающие на местоположение конфигурационной информации | |||
* Сама конфигурационная информация в формате XML, указывающая параметры подключения к почтовым сервисам. | |||
<div style="text-align:center;"></div> | |||
== Client configuration == | == Client configuration == | ||
| Строка 118: | Строка 127: | ||
Administrator password: | Administrator password: | ||
Retype password: | Retype password: | ||
=== Настройка NTP === | |||
=== настройка пользователей === | |||
В данной конфигурации рассматривается настройка при которой пользователи SAMBA входят в число пользователей | |||
домен-контроллеров путем nsswitch и nscld. Идентификаторы пользователей SAMBA начинаются с 10000. | |||
Необходим пользователь | |||
cn=ldap-connect,cn=users,dn=alt,dn=fish | |||
пароль которого надо записать и выставить ему отсутствие expiration date при помощи samba-tool. | |||
=== Многодоменные конфигурации === | |||
Многодоменные конфигурации не рассматриваются в этой инструкции. | |||
=== ldap secure mode === | |||
= Mail subsystem configuration = | = Mail subsystem configuration = | ||
== Postfix == | == Postfix == | ||
Настройка Postfix для работы с SAMBA AD. | |||
=== аутентификация при отсылке внутренней почты === | |||
При отсылке почты по протоколу SMTP произвольному абоненту нужна | |||
проверка доступа путем входа для предотвращения open relay. | |||
=== доступ без аутентификации при подсоединении внешних SMTP cоединений === | |||
При получении почты при помощи протокола smtp авторизация отправителя | |||
невозможна. | |||
Возможно лишь осуществление проверок с использованием * Greylisting | |||
* через черные/белые списки | |||
* путем | |||
<div style="text-align:center;"></div> | |||
=== ldap === | |||
Поиск информации о пользователе в ldap осуществляется путем присоединения | |||
(bind) с выделенным пользователем ldap-connect | |||
==== Аутентификация ==== | |||
=== Связь с Dovecot === | |||
== dovecot == | == dovecot == | ||
=== Получение информации из LDAP === | |||
Из LDAP AD Dovecot получает следующую информацию: * userdb - информацию о пользователе | |||
* passdb - аутентификационную информацию. | |||
<div style="text-align:center;"></div> | |||
== Планирование путей почты == | == Планирование путей почты == | ||
=== Локальный абонент-локальный абонент === | |||
Письма посылаются через SMTP c авторизацией в Postfix с использованием SASL (RFC4954) | |||
путем выполнения программы deliver-lda из пакета dovecot. | |||
(файл После этого почта попадает в каталог /var/mail/) | |||
=== Локальный абонент - внешний абонент === | |||
Письма посылаются через Postfix SMTP c авторизацией с использованием SASL (RFC4954) | |||
путем выполнения программы deliver-lda из пакета dovecot. | |||
=== Внешний абонент-локальный абонент === | |||
Полученные Postfix-ом через SMTP почтовые сообщения проверяются на наличие локального адресата путем cоединения с ldap | |||
а затем передаются dovecot для отправки. | |||
== Планирование конфигурации LDAP == | == Планирование конфигурации LDAP == | ||
| Строка 142: | Строка 225: | ||
=== Как задается имя пользователя. === | === Как задается имя пользователя. === | ||
= Приложение. Конфигурационные файлы. = | |||
== smb.conf == | |||
<source lang="ini"> | |||
# Global parameters | |||
[global] | |||
netbios name = D1 | |||
realm = ALT.FISH | |||
workgroup = ALT | |||
dns forwarder = 8.8.8.8 | |||
server role = active directory domain controller | |||
idmap_ldb:use rfc2307 = yes | |||
idmap config * : range = 10000 - 20000 | |||
tls enabled = yes | |||
ldap server require strong auth = no | |||
tls keyfile = tls/key.pem | |||
tls certfile = tls/cert.pem | |||
tls cafile = tls/ca.pem | |||
dsdb:schema update allowed = true | |||
dcerpc_mapiproxy:server = true | |||
dcerpc endpoint servers = +epmapper,+mapiproxy | |||
dcerpc_mapiproxy:interfaces = exchange_emsmdb, exchange_nsp,exchange_ds_rfr | |||
[netlogon] | |||
path = /var/lib/samba/sysvol/alt.fish/scripts | |||
read only = No | |||
write ok = Yes | |||
[sysvol] | |||
path = /var/lib/samba/sysvol | |||
read only = No | |||
write ok = Yes | |||
</source> | |||
[[Категория: ActiveDirectory]] | [[Категория: ActiveDirectory]] | ||
Версия от 12:46, 31 мая 2016
Начальные данные:
имя домена alt.fish
имя домен-контроллера d1.alt.fish
имя клиентских машин u1 и u2.
сеть 172.16.0.0/12
Пользователи соответствуют учетным записям в Linux
Почта хранится в maildir.
Количество доменов
В текущей конфигурации не рассматриваются многодоменные конфигурации
Версии ОС
Инструкция рассчитана на использование Branch-P8
ActiveDirectory примерно соответствует конфигурируемой на основе Windows Server 2008 R2.
Версии Office
В данной версии инструкции не рассматривается конфигурация на основе MAPI или EWS.
Outlook может использоваться начиная с 2003 в режиме подключения по IMAP.
Анализ безопасности
ght
Следует заметить, что данная инструкция не претендует на создание полностью безопасной конфигурации.
Вопросы защиты данных будут рассмотрены ниже.
Что нужно будет менять для повышения безопасности
ldaps
ssl
no mapi
kerberos
Начальная конфигурация
Пакетная база
Будет необходимо установить следующие пакеты * ntp
- samba-task
- python-module-PasteDeploy
- postfix
- dovecot
Network configuration
Сеть состоит из двух виртуальных машин * d1, сконфигурированная как домен-контроллер samba, postfix, dovecot с адресом 172.16.2.1
- u1, сконфигурированная как рабочая станция с адресом 172.16.2.55
Они видят друг друга через внутреннюю сеть VirtualBox с именем intel.
Autoconfig
Для автоматической конфигурации ПО почтовых клиентов на рабочих
станциях используется следующая схема * Записи SRV домена, указывающие на местоположение конфигурационной информации
- Сама конфигурационная информация в формате XML, указывающая параметры подключения к почтовым сервисам.
Client configuration
В качестве тестового клиента используется Evolution,
установленный на Branch-p8.
Samba Configuration and installation
Installation of domain
Сгенерировать и записать себе где-то пароль на домен.
Пароль должен быть не
менее 8 символов и содержать символы
как минимум трёх групп из четырёх возможных:
латинских букв в верхнем и нижнем регистрах,
чисел и других небуквенно-цифровых символов.
Далее выполнить
samba-tool domain provision --use-rfc2307 --interactive --use-xattrs=yes
Realm [ALT.FISH]:
Domain [ALT]:
Server Role (dc, member, standalone) [dc]:
DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]:
DNS forwarder IP address (write 'none' to disable forwarding) [8.8.8.8]:
Administrator password:
Retype password:
Настройка NTP
настройка пользователей
В данной конфигурации рассматривается настройка при которой пользователи SAMBA входят в число пользователей
домен-контроллеров путем nsswitch и nscld. Идентификаторы пользователей SAMBA начинаются с 10000.
Необходим пользователь
cn=ldap-connect,cn=users,dn=alt,dn=fish
пароль которого надо записать и выставить ему отсутствие expiration date при помощи samba-tool.
Многодоменные конфигурации
Многодоменные конфигурации не рассматриваются в этой инструкции.
ldap secure mode
Mail subsystem configuration
Postfix
Настройка Postfix для работы с SAMBA AD.
аутентификация при отсылке внутренней почты
При отсылке почты по протоколу SMTP произвольному абоненту нужна
проверка доступа путем входа для предотвращения open relay.
доступ без аутентификации при подсоединении внешних SMTP cоединений
При получении почты при помощи протокола smtp авторизация отправителя
невозможна.
Возможно лишь осуществление проверок с использованием * Greylisting
- через черные/белые списки
- путем
ldap
Поиск информации о пользователе в ldap осуществляется путем присоединения
(bind) с выделенным пользователем ldap-connect
Аутентификация
Связь с Dovecot
dovecot
Получение информации из LDAP
Из LDAP AD Dovecot получает следующую информацию: * userdb - информацию о пользователе
- passdb - аутентификационную информацию.
Планирование путей почты
Локальный абонент-локальный абонент
Письма посылаются через SMTP c авторизацией в Postfix с использованием SASL (RFC4954)
путем выполнения программы deliver-lda из пакета dovecot.
(файл После этого почта попадает в каталог /var/mail/)
Локальный абонент - внешний абонент
Письма посылаются через Postfix SMTP c авторизацией с использованием SASL (RFC4954)
путем выполнения программы deliver-lda из пакета dovecot.
Внешний абонент-локальный абонент
Полученные Postfix-ом через SMTP почтовые сообщения проверяются на наличие локального адресата путем cоединения с ldap
а затем передаются dovecot для отправки.
Планирование конфигурации LDAP
В каких полях содержится Email
Как задается имя пользователя.
Приложение. Конфигурационные файлы.
smb.conf
# Global parameters
[global]
netbios name = D1
realm = ALT.FISH
workgroup = ALT
dns forwarder = 8.8.8.8
server role = active directory domain controller
idmap_ldb:use rfc2307 = yes
idmap config * : range = 10000 - 20000
tls enabled = yes
ldap server require strong auth = no
tls keyfile = tls/key.pem
tls certfile = tls/cert.pem
tls cafile = tls/ca.pem
dsdb:schema update allowed = true
dcerpc_mapiproxy:server = true
dcerpc endpoint servers = +epmapper,+mapiproxy
dcerpc_mapiproxy:interfaces = exchange_emsmdb, exchange_nsp,exchange_ds_rfr
[netlogon]
path = /var/lib/samba/sysvol/alt.fish/scripts
read only = No
write ok = Yes
[sysvol]
path = /var/lib/samba/sysvol
read only = No
write ok = Yes