Az iRedMail Roundcube integrálása a Samba4 AD DC-vel – 12. rész
A Roundcube, az egyik leggyakrabban használt webmail felhasználói ügynök a Linuxban, modern webes felületet kínál a végfelhasználók számára az összes levelezési szolgáltatással való interakcióhoz e-mailek olvasásához, összeállításához és küldéséhez. A Roundcube számos levelezési protokollt támogat, beleértve a védetteket is, például az IMAPS-t, a POP3S-t vagy a küldést.
Ebben a témakörben megvitatjuk, hogyan konfigurálhatjuk a Roundcube-ot az iRedMailben IMAPS-sel és biztonságos beküldési portokkal a Samba4 AD-fiókokhoz tartozó e-mailek lekéréséhez és küldéséhez, hogyan érhetjük el az iRedMail Roundcube webes felületét böngészőből, és hogyan adhatunk hozzá webcím-aliast, hogyan engedélyezhetjük a Samba4-et. AD-integráció a globális LDAP-címjegyzékhez és néhány szükségtelen iRedMail szolgáltatás letiltása.
Követelmények
- Az iRedMail telepítése a CentOS 7 rendszeren a Samba4 AD integrációhoz
- Konfigurálja az iRedMailt a CentOS 7 rendszeren a Samba4 AD integrációhoz
1. lépés: E-mail cím deklarálása a tartományi fiókokhoz a Samba4 AD DC-ben
1. A Samba4 AD DC tartományi fiókokhoz tartozó levelek küldéséhez és fogadásához szerkesztenie kell az egyes felhasználói fiókokat, és kifejezetten be kell állítania a megfelelő e-mail címet tartalmazó e-maileket a megnyitással. ADUC eszköz egy Windows gépről RSAT eszközökkel telepítve és a Samba4 AD-hez csatlakozva az alábbi képen látható módon.
2. Hasonlóképpen, levelezőlisták használatához csoportokat kell létrehoznia az ADUC-ban, minden csoporthoz hozzá kell adnia a megfelelő e-mail címet, és hozzá kell rendelnie a megfelelő felhasználói fiókokat a csoporthoz.
Ezzel a levelezési listaként létrehozott beállítással a Samba4 AD csoport minden tagjának postaládája megkapja az AD-csoport e-mail címére küldött leveleket. Használja az alábbi képernyőképeket útmutatóként a Samba4 csoportfiókhoz iktatott e-mailek deklarálásához, és tartományi felhasználók hozzáadásához a csoporthoz.
Győződjön meg arról, hogy a csoportba felvett összes fióktagnak megadta az e-mail címét.
Ebben a példában a [email e-mail-címre küldött összes e-mailt, amely a „Domain Admins” csoporthoz tartozik, megkapja a csoport minden tagjának postafiókja.
3. Egy Samba4 AD-fiók e-mail címének deklarálására használható alternatív módszer az, ha egy felhasználót vagy csoportot hoz létre a samba-tool parancssorral közvetlenül az AD DC konzol egyikéből. és adja meg az e-mail címet a --mail-address jelzővel.
A megadott e-mail címmel rendelkező felhasználó létrehozásához használja a következő parancsszintaxis egyikét:
samba-tool user add [email --surname=your_surname --given-name=your_given_name your_ad_user
Hozzon létre egy csoportot megadott e-mail címmel:
samba-tool group add [email your_ad_group
Tagok hozzáadása egy csoporthoz:
samba-tool group addmembers your_group user1,user2,userX
A felhasználó vagy csoport összes elérhető samba-tool parancsmezőjének listázásához használja a következő szintaxist:
samba-tool user add -h
samba-tool group add -h
3. lépés: Biztonságos Roundcube Webmail
4. A Roundcube konfigurációs fájl módosítása előtt először használja a netstat parancsot az egrep szűrőn keresztül, hogy listázza azokat a socketeket, amelyeket a Dovecot és a Postfix figyel, és győződjön meg arról, hogy a megfelelően védett portok (993-as IMAPS-hez és 587-es beküldéshez) aktívak és engedélyezve vannak.
netstat -tulpn| egrep 'dovecot|master'
5. A biztonságos IMAP- és SMTP-portokon a Roundcube és az iRedMail szolgáltatások közötti levelek fogadásának és átvitelének kényszerítéséhez nyissa meg a Roundcube konfigurációs fájlt a /var/www/roundcubemail/config/config.inc.php címen. és ügyeljen arra, hogy ebben az esetben módosítsa a következő sorokat a localhost számára, ahogy az alábbi kivonatban látható:
// For IMAPS
$config['default_host'] = 'ssl://127.0.0.1';
$config['default_port'] = 993;
$config['imap_auth_type'] = 'LOGIN';
// For SMTP
$config['smtp_server'] = 'tls://127.0.0.1';
$config['smtp_port'] = 587;
$config['smtp_user'] = '%u';
$config['smtp_pass'] = '%p';
$config['smtp_auth_type'] = 'LOGIN';
Ez a beállítás erősen ajánlott abban az esetben, ha a Roudcube olyan távoli gazdagépre van telepítve, amely nem a levelezési szolgáltatásokat nyújtja (IMAP, POP3 vagy SMTP démonok).
6. Ezután ne zárja be a konfigurációs fájlt, keressen és hajtsa végre a következő apró módosításokat annak érdekében, hogy a Roundcube csak HTTPS protokollon keresztül legyen felkeresve, elrejtse a verziószámot, és automatikusan hozzáfűzze a domain nevet a webes felületen bejelentkező fiókok számára.
$config['force_https'] = true;
$config['useragent'] = 'Your Webmail'; // Hide version number
$config['username_domain'] = 'domain.tld'
7. Ezenkívül tiltsa le a következő beépülő modulokat: managesieve és password úgy, hogy elé ír egy megjegyzést (//) a $config['plugins'] karakterlánccal kezdődő sorból.
A felhasználók megváltoztatják jelszavukat a Samba4 AD DC-hez csatlakoztatott Windows vagy Linux gépekről, miután bejelentkeznek és hitelesítik magukat a tartományba. A rendszergazda globálisan kezeli a tartományfiókok összes szitaszabályát.
// $config['plugins'] = array('managesieve', 'password');
8. Végül mentse és zárja be a konfigurációs fájlt, és nyissa meg a Roundcube Webmailt egy böngésző megnyitásával, és navigáljon az iRedMail IP-címére vagy az FQDN/mail helyére HTTPS protokollon keresztül.
Amikor először keresi fel a Roundcube-ot, figyelmeztetésnek kell megjelennie a böngészőben a webszerver által használt önaláírt tanúsítvány miatt. Fogadja el a tanúsítványt, és jelentkezzen be egy Samba AD-fiók hitelesítő adataival.
https://iredmail-FQDN/mail
3. lépés: Engedélyezze a Samba AD Contacts alkalmazást a Roundcube-ban
9. A Samba AD Global LDAP-címjegyzék Roundcube névjegyek megjelenítéséhez való konfigurálásához nyissa meg újra a Roundcube konfigurációs fájlt szerkesztéshez, és hajtsa végre a következő módosításokat:
Navigáljon a fájl aljára, és keresse meg a „# Global LDAP Address Book with AD” kezdetű szakaszt, törölje a teljes tartalmát a fájl végéig, és cserélje ki a következő kódblokkra:
Global LDAP Address Book with AD.
#
$config['ldap_public']["global_ldap_abook"] = array(
'name' => 'tecmint.lan',
'hosts' => array("tecmint.lan"),
'port' => 389,
'use_tls' => false,
'ldap_version' => '3',
'network_timeout' => 10,
'user_specific' => false,
'base_dn' => "dc=tecmint,dc=lan",
'bind_dn' => "[email ",
'bind_pass' => "your_password",
'writable' => false,
'search_fields' => array('mail', 'cn', 'sAMAccountName', 'displayname', 'sn', 'givenName'),
'fieldmap' => array(
'name' => 'cn',
'surname' => 'sn',
'firstname' => 'givenName',
'title' => 'title',
'email' => 'mail:*',
'phone:work' => 'telephoneNumber',
'phone:mobile' => 'mobile',
'department' => 'departmentNumber',
'notes' => 'description',
),
'sort' => 'cn',
'scope' => 'sub',
'filter' => '(&(mail=*)(|(&(objectClass=user)(!(objectClass=computer)))(objectClass=group)))',
'fuzzy_search' => true,
'vlv' => false,
'sizelimit' => '0',
'timelimit' => '0',
'referrals' => false,
);
Ezen a kódblokkon cserélje ki a következőt: name, hosts, base_dn, bind_dn és bind_pass ennek megfelelően értékeli.
10. Miután elvégezte az összes szükséges módosítást, mentse és zárja be a fájlt, jelentkezzen be a Roundcube webmail felületére, és lépjen a Címjegyzék menübe.
Kattintson a Globális címjegyzék kiválasztott nevére, és megjelenik az összes domain fiók (felhasználók és csoportok) névjegyzéke a megadott e-mail címükkel.
4. lépés: Adjon hozzá egy aliast a Roundcube webmail felülethez
11. Ha az iRedMail által alapértelmezés szerint megadott régi cím helyett a következő webcímen szeretné felkeresni a Roundcube-ot: https://webmail.domain.tld a következő változásokat.
Egy csatlakoztatott Windows-gépen, amelyen telepítve vannak az RSAT-eszközök, nyissa meg a DNS-kezelőt, és adjon hozzá egy új CNAME-rekordot az iRedMail FQDN-hez, webmail néven, a következő képen látható módon.
12. Ezután az iRedMail gépen nyissa meg az Apache webszerver SSL konfigurációs fájlját, amely a /etc/httpd/conf.d/ssl.conf fájlban található, és módosítsa a DocumentRoot direktívát úgy, hogy a következőre mutasson. /var/www/roundcubemail/ rendszerútvonal.
/etc/httpd/conf.d/ssl.conf fájl kivonat:
DocumentRoot “/var/www/roundcubemail/”
Indítsa újra az Apache démont a módosítások alkalmazásához.
systemctl restart httpd
13. Most mutasson a böngészővel a következő címre, és meg kell jelennie a Roundcube felületnek. A bejelentkezési oldal folytatásához fogadja el az Önaláírt tanúsítvány hibáját. Cserélje le a példában szereplő domain.tl fájlt a saját domain nevére.
https://webmail.domain.tld
5. lépés: Tiltsa le az iRedMail nem használt szolgáltatásokat
14. Mivel az iRedMail démonok úgy vannak beállítva, hogy lekérdezzék a Samba4 AD DC LDAP-kiszolgálót fiókinformációkért és egyéb erőforrásokért, biztonságosan leállíthat és letilthat néhány helyi szolgáltatást az iRedMail gépen, például az LDAP adatbázis-kiszolgálót és az iredpad szolgáltatást. a következő parancsok kiadásával.
systemctl stop slapd iredpad
systemctl disable slapd iredpad
15. Ezenkívül tiltson le néhány, az iRedMail által végrehajtott ütemezett feladatot, például az LDAP adatbázis biztonsági mentését és az iRedPad nyomkövetési rekordjait úgy, hogy a crontab fájl minden sora elé ír egy megjegyzést (#) az alábbi képernyőképen látható módon.
crontab -e
6. lépés: Használja az e-mail aliast a Postfixben
16. Az összes helyileg generált (a postmasternek szánt, majd a root fiókba átirányított) levél egy adott Samba4 AD-fiókba való átirányításához nyissa meg a Postfix álnevek konfigurációs fájlját, amely a következő helyen található: /etc/postfix/aliases<., és módosítsa a gyökérsort az alábbiak szerint:
root: [email
17. Alkalmazza az álnevek konfigurációs fájlját, hogy a Postfix a saját formátumában olvashassa a newaliases parancs végrehajtásával, és tesztelje, hogy a levelek a megfelelő tartományi e-mail fiókba kerülnek-e a következő parancs kiadásával.
echo “Test mail” | mail -s “This is root’s email” root
18. Az e-mail elküldése után jelentkezzen be a Roundcube webmailbe azzal a domain fiókkal, amelyet a levélátirányításhoz állított be, és ellenőrizze, hogy a korábban elküldött levelek megérkeztek-e fiókja Beérkezett üzenetek mappájába.
Ennyi! Most egy teljesen működő levelezőkiszolgálóval rendelkezik, amely integrálva van a Samba4 Active Directoryval. A tartományi fiókok leveleket küldhetnek és fogadhatnak belső tartományukhoz vagy más külső tartományokhoz.
Az ebben az oktatóanyagban használt konfigurációk sikeresen alkalmazhatók egy iRedMail-kiszolgáló Windows Server 2012 R2 vagy 2016 Active Directoryba való integrálására.