 Настройка postfix на авторизацию в AD,  naira, 18-Апр-07, 11:49 [смотреть все]Помогите пожалуйста разобраться с такой проблемой: настроен сервер Windows Server 2003 и AD без Exchange. На другом сервере FreeBSD 6.1 и postfix. Не хочу набивать два раза пользователей в AD и для postfix. Я так поняла, что есть возможность, чтобы пользователи проходили SMTP аутентификацию через SASL в AD. Вот подробное описание того, что я уже сделала:Настройка почтовой системы Postfix+SASL+Pam 1. Установила из портов:
Cyrus-sasl-2.1.22
Cyrus-sasl-saslauthd-2.1.22
Pam-ldap-182
2. cyrus-sasl указала метод аутентификации:
/usr/local/lib/sasl2/smtpd.conf:
pwcheck_method:saslauthd
3. Запустила saslauthd с поддержкой -a pam.
Создала файла в usr/local/etc/rc.d/saslauthd.sh:
#! /bin/sh
/usr/local/sbin/saslauthd – a pam
Присвоила этому файлу право на выполнение:
Chmod 705 saslauthd.sh 4. Установила postfix-2.4.0 из портов с поддержкой SASL2, TLS, MYSQL
5. Отключила запуск sendmail при старте системы в rc.conf:
sendmail_enable="NO"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"
Отключила специфичные для sendmail опции. Для этого создала файла /etc/periodic.conf:
daily_clean_hoststat_enable="NO"
daily_status_mail_rejects_enable="NO"
daily_status_include_submit_mailq="NO"
daily_submit_queuerun="NO"
6. Создала символическую ссылку, необходимую для запуска во время начальной загрузки:
cd /usr/local/etc/rc.d
ln –s /usr/local/sbin/postfix postfix.sh
7. Создала базу псевдонимов alias.db и запустила postfix:
# postalias /etc/aliases
# ls -l /etc/aliases.db
# postmap /usr/local/etc/postfix/virtual
# postfix start
Проверила, что postfix работает:
telnet localhost 25
Все нормально
8. Редактируем файл /usr/local/etc/postfix/main.cf
Привожу не весь файл, а только, где вводила изменения:
queue_directory = /var/spool/postfix
command_directory = /usr/local/sbin
daemon_directory = /usr/local/libexec/postfix
mail_owner = postfix
myhostname = gateway.domain.ru
mydomain = domain.ru
myorigin = $mydomain
inet_interfaces = all
mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain
unknown_local_recipient_reject_code = 550
mynetworks_styl=host
mynetworks = 192.168.0.0/24, 127.0.0.0/8
alias_maps = hash:/etc/aliases
home_mailbox=Maildir/
smtpd_banner = $myhostname ESMTP $mail_name
smtpd_sasl_auth_enable = yes
smtpd_sasl_application_name = smtpd
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain = $myhostname
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated,
reject_unauth_destination 8. Создала файл /user/local/etc/pam.conf:
smtp auth sufficient /usr/local/lib/pam_ldap.so
9. pam_ldap для взаимодействия с AD использует ldap.conf:
/usr/local/etc/openldap/ldap.conf:
BASE dc=domain,dc=org
scope sub
URI ldap://server.domain.org
port 389
ldap_version 3
binddn cn=Administrator,cn=Users,dc=domain,dc=org
bindpw qwerty412
pam_filter objectclass=User
pam_login_attribute sAMAccountName
pam_password ad
10. В файле /usr/local/etc/postfix/master.cf:
smtp inet n y n - - smtpd.
В результате получается, что postfix принимает сообщения для пользователей, которые есть на сервере FreeBSD, ну например тот же самый postfix, а для пользователей, которые сидят в AD нет, выдает ошибку. Привожу отрывок из файла /var/log/maillog/
Apr 18 06:04:36 gateway postfix/smtpd[895]: connect from unknown[192.168.0.3]
Apr 18 06:04:36 gateway postfix/smtpd[895]: NOQUEUE: reject: RCPT from unknown[192.168.0.3]: 550 5.1.1 <usertest@domain.ru>.....
Apr 18 06:04:36 gateway postfix/smtpd[895]: disconnect from unknown[192.168.0.3]
Про SASL нигде ничего. Надеюсь на помощь. |
- Настройка postfix на авторизацию в AD, geekkoo, 12:40 , 18-Апр-07 (1)
>Помогите пожалуйста разобраться с такой проблемой: настроен сервер Windows Server 2003 и
>AD без Exchange. На другом сервере FreeBSD 6.1 и postfix. Не
>хочу набивать два раза пользователей в AD и для postfix. Я
>так поняла, что есть возможность, чтобы пользователи проходили SMTP аутентификацию через
>SASL в AD. Вот подробное описание того, что я уже сделала:
>
>
>Настройка почтовой системы Postfix+SASL+Pam
>
>1. Установила из портов:
> Cyrus-sasl-2.1.22
> Cyrus-sasl-saslauthd-2.1.22
> Pam-ldap-182
>2. cyrus-sasl указала метод аутентификации:
> /usr/local/lib/sasl2/smtpd.conf:
> pwcheck_method:saslauthd
>3. Запустила saslauthd с поддержкой -a pam.
> Создала файла в usr/local/etc/rc.d/saslauthd.sh:
>
> #! /bin/sh
>
> /usr/local/sbin/saslauthd – a pam
>Присвоила этому файлу право на выполнение:
> Chmod 705 saslauthd.sh
>
>4. Установила postfix-2.4.0 из портов с поддержкой SASL2, TLS, MYSQL
>5. Отключила запуск sendmail при старте системы в rc.conf:
>sendmail_enable="NO"
>sendmail_submit_enable="NO"
>sendmail_outbound_enable="NO"
>sendmail_msp_queue_enable="NO"
>Отключила специфичные для sendmail опции. Для этого создала файла /etc/periodic.conf:
>
>daily_clean_hoststat_enable="NO"
>daily_status_mail_rejects_enable="NO"
>daily_status_include_submit_mailq="NO"
>daily_submit_queuerun="NO"
>
>
> 6. Создала символическую ссылку, необходимую для запуска во время
>начальной загрузки:
> cd /usr/local/etc/rc.d
> ln –s /usr/local/sbin/postfix postfix.sh
>
>7. Создала базу псевдонимов alias.db и запустила postfix:
>
>
># postalias /etc/aliases
> #
>ls -l /etc/aliases.db
> #
>postmap /usr/local/etc/postfix/virtual
> #
>postfix start
>Проверила, что postfix работает:
> telnet localhost 25
>Все нормально
>8. Редактируем файл /usr/local/etc/postfix/main.cf
>Привожу не весь файл, а только, где вводила изменения:
>queue_directory = /var/spool/postfix
>command_directory = /usr/local/sbin
>daemon_directory = /usr/local/libexec/postfix
>mail_owner = postfix
>myhostname = gateway.domain.ru
>mydomain = domain.ru
>myorigin = $mydomain
>inet_interfaces = all
>mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain
>unknown_local_recipient_reject_code = 550
>mynetworks_styl=host
>mynetworks = 192.168.0.0/24, 127.0.0.0/8
>alias_maps = hash:/etc/aliases
>home_mailbox=Maildir/
>smtpd_banner = $myhostname ESMTP $mail_name
>smtpd_sasl_auth_enable = yes
> smtpd_sasl_application_name = smtpd
> smtpd_sasl_security_options = noanonymous
> smtpd_sasl_local_domain = $myhostname
> smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated,
>
>reject_unauth_destination
>
>8. Создала файл /user/local/etc/pam.conf:
> smtp auth sufficient /usr/local/lib/pam_ldap.so
>9. pam_ldap для взаимодействия с AD использует ldap.conf:
> /usr/local/etc/openldap/ldap.conf:
> BASE dc=domain,dc=org
> scope sub
> URI ldap://server.domain.org
> port 389
> ldap_version 3
> binddn cn=Administrator,cn=Users,dc=domain,dc=org
> bindpw qwerty412
> pam_filter objectclass=User
> pam_login_attribute sAMAccountName
> pam_password ad
>10. В файле /usr/local/etc/postfix/master.cf:
> smtp
> inet n y n - - smtpd.
>В результате получается, что postfix принимает сообщения для пользователей, которые есть на
>сервере FreeBSD, ну например тот же самый postfix, а для пользователей,
>которые сидят в AD нет, выдает ошибку. Привожу отрывок из файла
>/var/log/maillog/
>Apr 18 06:04:36 gateway postfix/smtpd[895]: connect from unknown[192.168.0.3]
>Apr 18 06:04:36 gateway postfix/smtpd[895]: NOQUEUE: reject: RCPT from unknown[192.168.0.3]: 550 5.1.1 <usertest@domain.ru>.....
>Apr 18 06:04:36 gateway postfix/smtpd[895]: disconnect from unknown[192.168.0.3]
>Про SASL нигде ничего.
>
>Надеюсь на помощь. В Системном Администраторе 10-11 за 2006 год были 2 статьи про настройку Cyrus-SASL Postfix и Cyrus-IMAP с аутентификацией в Kerberos. Единственное отличие от вашего случая - там в качестве KDC работал Heimdal. В случае AD нужно только завести принципала для почтового сервиса smtp/host@REALM, а всё остальное практически без изменений.
Вопрос проверки адресата (получателя) на наличие - вопрос несколько другой и вас он, видимо, не интересует. На всякий случай - эта тема тоже неделю назад обсуждалась - Postfix+AD.
- Настройка postfix на авторизацию в AD, geekkoo, 12:46 , 18-Апр-07 (2)
>В Системном Администраторе 10-11 за 2006 год были 2 статьи про настройку
>Cyrus-SASL Postfix и Cyrus-IMAP с аутентификацией в Kerberos. Единственное отличие от
>вашего случая - там в качестве KDC работал Heimdal. В случае
>AD нужно только завести принципала для почтового сервиса smtp/host@REALM, а всё
>остальное практически без изменений.
В принципе, даже принципала заводить не нужно, если интересует только проверка текстовых парлолей. Настраивается saslauthd соответствующим образом и всё.
>Вопрос проверки адресата (получателя) на наличие - вопрос несколько другой и вас
>он, видимо, не интересует. На всякий случай - эта тема тоже
>неделю назад обсуждалась - Postfix+AD.
- Настройка postfix на авторизацию в AD, naira, 14:52 , 18-Апр-07 (3)
>
>>В Системном Администраторе 10-11 за 2006 год были 2 статьи про настройку
>>Cyrus-SASL Postfix и Cyrus-IMAP с аутентификацией в Kerberos. Единственное отличие от
>>вашего случая - там в качестве KDC работал Heimdal. В случае
>>AD нужно только завести принципала для почтового сервиса smtp/host@REALM, а всё
>>остальное практически без изменений.
>В принципе, даже принципала заводить не нужно, если интересует только проверка
>текстовых парлолей. Настраивается saslauthd соответствующим образом и всё.
>>Вопрос проверки адресата (получателя) на наличие - вопрос несколько другой и вас
>>он, видимо, не интересует. На всякий случай - эта тема тоже
>>неделю назад обсуждалась - Postfix+AD.
Поясните, пожалуйста, что значит "Настраивается saslauthd соответствующим образом и всё."
- Настройка postfix на авторизацию в AD, geekkoo, 15:33 , 18-Апр-07 (5)
>Поясните, пожалуйста, что значит "Настраивается saslauthd соответствующим образом и всё." В том смысле если smtp.conf выглядит как pwcheck_method: saslauthd
mech_list: plain login то специального принципала для поствикча заводить не надо. Достаточно запустить saslauthd -a kerberos5 (или saslauthd -a ldap в зависимости от того, используется ли AD в качестве контроллера керберос или только сервера LDAP), чтобы можно было проверять пароли с помощью кербероса.
- Настройка postfix на авторизацию в AD, saylor_ua, 15:08 , 18-Апр-07 (4)
Собрать постфикс с поддержкой LDAPв main.cf
# имя Windows-домена
ldapmap_search_base = ou=Users, dc=local, dc=com
# IP-адрес PDC
ldapmap_server_host = pdc # LDAP-порт
ldapmap_server_port = 3268 ldap_timeout = 60
ldapmap_query_filter = (&(proxyAddresses=smtp:%s)(|(objectClass=user)(objectClass=group)(objectClass=contact)))
ldapmap_result_filter = %s
ldapmap_result_attribute = cn
ldapmap_special_result_attribute =
ldapmap_scope = sub
ldapmap_bind = yes
ldapmap_bind_dn = bind@local.com
ldapmap_bind_pw = bindpw
ldapmap_cache = no
ldapmap_dereference = 0
ldapmap_domain = local.com
ldapmap_debuglevel = 0 virtual_mailbox_maps = ldap:ldapmap
virtual_mailbox_domains = local.com
virtual_transport = hash:/etc/postfix/virtual_transport
transport_maps = hash:/etc/postfix/virtual_transport
/etc/postfix/virtual_transport
local.com smtp:[exchange.local.com]
SMTP аутентификация в Вашем случае не нужна
эксчендж должен быть настроен на передачу почты через релей (ваш постфикс)
ну и соответсвенно постфикс должен позволять передавать через себя почту эксченджа
Ну и в домене завести пользователя от имени которго будет биндиться постфикс к AD (bind@local.com)
Все
- Настройка postfix на авторизацию в AD, naira, 16:28 , 18-Апр-07 (6)
>Настраивается saslauthd соответствующим образом и всё.
>
>в main.cf
>
>
># имя Windows-домена
>ldapmap_search_base = ou=Users, dc=local, dc=com
>
># IP-адрес PDC
>ldapmap_server_host = pdc
>
># LDAP-порт
>ldapmap_server_port = 3268
>
>ldap_timeout = 60
>ldapmap_query_filter = (&(proxyAddresses=smtp:%s)(|(objectClass=user)(objectClass=group)(objectClass=contact)))
>ldapmap_result_filter = %s
>ldapmap_result_attribute = cn
>ldapmap_special_result_attribute =
>ldapmap_scope = sub
>ldapmap_bind = yes
>ldapmap_bind_dn = bind@local.com
>ldapmap_bind_pw = bindpw
>ldapmap_cache = no
>ldapmap_dereference = 0
>ldapmap_domain = local.com
>ldapmap_debuglevel = 0
>
>virtual_mailbox_maps = ldap:ldapmap
>virtual_mailbox_domains = local.com
>virtual_transport = hash:/etc/postfix/virtual_transport
>transport_maps = hash:/etc/postfix/virtual_transport
>
>
>/etc/postfix/virtual_transport
>
>local.com smtp:[exchange.local.com]
>
>
>SMTP аутентификация в Вашем случае не нужна
>эксчендж должен быть настроен на передачу почты через релей (ваш постфикс)
>ну и соответсвенно постфикс должен позволять передавать через себя почту эксченджа
>
>Ну и в домене завести пользователя от имени которго будет биндиться постфикс
>к AD (bind@local.com)
>
>
>Все Я уже отмечатал, что на Windows Server 2003 Exchange не стоит. Я хочу использовать только один почтовый сервер - на FreeBSD postfix. Так как AD уже настроена, набиты все пользователи, то не хотелось бы второй раз набивать их в postfixe. Поэтому все это и затеялось.
Еще вопрос. Я уже установила postfix только с поддержкой SASL2, TLS, MYSQL. Как быть с
тем, что Вы пишите: "Собрать postfix с поддержкой LDAP@
- Настройка postfix на авторизацию в AD, geekkoo, 16:36 , 18-Апр-07 (7)
>Еще вопрос. Я уже установила postfix только с поддержкой SASL2, TLS, MYSQL.
>Как быть с
>тем, что Вы пишите: "Собрать postfix с поддержкой LDAP@ Добавили бы уж LDAP. Он вам понадобится, когда вы захотите настроить получение почты только для реально существующих пользователей.
http://www.opennet.me/openforum/vsluhforumID1/73276.html
- Настройка postfix на авторизацию в AD, naira, 17:36 , 18-Апр-07 (8)
>>Еще вопрос. Я уже установила postfix только с поддержкой SASL2, TLS, MYSQL.
>>Как быть с
>>тем, что Вы пишите: "Собрать postfix с поддержкой LDAP@
>
>Добавили бы уж LDAP. Он вам понадобится, когда вы захотите настроить получение
>почты только для реально существующих пользователей.
>http://www.opennet.me/openforum/vsluhforumID1/73276.htmlА если postfix установлен без поддержки ldap, как его переустановить с поддержкой.
Помогите уже пожалуйста, с настройками почтового сервера я новичок.
- Настройка postfix на авторизацию в AD, hate, 17:47 , 18-Апр-07 (9)
>>>Еще вопрос. Я уже установила postfix только с поддержкой SASL2, TLS, MYSQL.
>>>Как быть с
>>>тем, что Вы пишите: "Собрать postfix с поддержкой LDAP@
>>
>>Добавили бы уж LDAP. Он вам понадобится, когда вы захотите настроить получение
>>почты только для реально существующих пользователей.
>>http://www.opennet.me/openforum/vsluhforumID1/73276.html
>
>А если postfix установлен без поддержки ldap, как его переустановить с поддержкой.
>
>Помогите уже пожалуйста, с настройками почтового сервера я новичок.
Документацию читал? И что?
- Настройка postfix на авторизацию в AD, naira, 18:20 , 18-Апр-07 (10)
>>>>Еще вопрос. Я уже установила postfix только с поддержкой SASL2, TLS, MYSQL.
>>>>Как быть с
>>>>тем, что Вы пишите: "Собрать postfix с поддержкой LDAP@
>>>
>>>Добавили бы уж LDAP. Он вам понадобится, когда вы захотите настроить получение
>>>почты только для реально существующих пользователей.
>>>http://www.opennet.me/openforum/vsluhforumID1/73276.html
>>
>>А если postfix установлен без поддержки ldap, как его переустановить с поддержкой.
>>
>>Помогите уже пожалуйста, с настройками почтового сервера я новичок.
>
>
>Документацию читал? И что?
Да, читала. При вводе команды postconf -m | grep ldap ничего. Я так понимаю, что поддержки ldapa нет. Как теперь быть? Не сносить же весь сервер. Есть какие-то команды.
Дайте, пожалуйста точный ответ.
- Настройка postfix на авторизацию в AD, niksonnnn, 18:26 , 18-Апр-07 (11)
>>>>>Еще вопрос. Я уже установила postfix только с поддержкой SASL2, TLS, MYSQL.
>>>>>Как быть с
>>>>>тем, что Вы пишите: "Собрать postfix с поддержкой LDAP@
>>>>
>>>>Добавили бы уж LDAP. Он вам понадобится, когда вы захотите настроить получение
>>>>почты только для реально существующих пользователей.
>>>>http://www.opennet.me/openforum/vsluhforumID1/73276.html
>>>
>>>А если postfix установлен без поддержки ldap, как его переустановить с поддержкой.
>>>
>>>Помогите уже пожалуйста, с настройками почтового сервера я новичок.
>>
>>
>>Документацию читал? И что?
>
>
>Да, читала. При вводе команды postconf -m | grep ldap ничего. Я
>так понимаю, что поддержки ldapa нет. Как теперь быть? Не сносить
>же весь сервер. Есть какие-то команды.
>Дайте, пожалуйста точный ответ. Собрать значит - СОБРАТЬ... а что собственно пугает? сохраняем все конфиги подальше и перСОБИРАЕМ postfix с поддержкой LDAP ))) Предварительно обкуриваемся мануалами до рвоты... иначе как вы собираетесь админить сервер? без конца постить на форуме? приложите усилия и всё будет бамбуча )))
- Настройка postfix на авторизацию в AD, saylor_ua, 18:27 , 18-Апр-07 (12)
>>Настраивается saslauthd соответствующим образом и всё.
>>
>>в main.cf
>>
>>
>># имя Windows-домена
>>ldapmap_search_base = ou=Users, dc=local, dc=com
>>
>># IP-адрес PDC
>>ldapmap_server_host = pdc
>>
>># LDAP-порт
>>ldapmap_server_port = 3268
>>
>>ldap_timeout = 60
>>ldapmap_query_filter = (&(proxyAddresses=smtp:%s)(|(objectClass=user)(objectClass=group)(objectClass=contact)))
>>ldapmap_result_filter = %s
>>ldapmap_result_attribute = cn
>>ldapmap_special_result_attribute =
>>ldapmap_scope = sub
>>ldapmap_bind = yes
>>ldapmap_bind_dn = bind@local.com
>>ldapmap_bind_pw = bindpw
>>ldapmap_cache = no
>>ldapmap_dereference = 0
>>ldapmap_domain = local.com
>>ldapmap_debuglevel = 0
>>
>>virtual_mailbox_maps = ldap:ldapmap
>>virtual_mailbox_domains = local.com
>>virtual_transport = hash:/etc/postfix/virtual_transport
>>transport_maps = hash:/etc/postfix/virtual_transport
>>
>>
>>/etc/postfix/virtual_transport
>>
>>local.com smtp:[exchange.local.com]
>>
>>
>>SMTP аутентификация в Вашем случае не нужна
>>эксчендж должен быть настроен на передачу почты через релей (ваш постфикс)
>>ну и соответсвенно постфикс должен позволять передавать через себя почту эксченджа
>>
>>Ну и в домене завести пользователя от имени которго будет биндиться постфикс
>>к AD (bind@local.com)
>>
>>
>>Все
>
>Я уже отмечатал, что на Windows Server 2003 Exchange не стоит. Я
>хочу использовать только один почтовый сервер - на FreeBSD postfix. Так
>как AD уже настроена, набиты все пользователи, то не хотелось бы
>второй раз набивать их в postfixe. Поэтому все это и затеялось.
>
>Еще вопрос. Я уже установила postfix только с поддержкой SASL2, TLS, MYSQL.
>Как быть с
>тем, что Вы пишите: "Собрать postfix с поддержкой LDAP@ ну тогда сделайте через самбу, установите самбу 3 и введите freebsd в домен, таким образом получите пользователей АД на машине с фрей
|
Версия для распечатки
