Jak integrovat iRedMail Roundcube se Samba4 AD DC – část 12
Roundcube, jeden z nejpoužívanějších webmailových uživatelských agentů v Linuxu, nabízí moderní webové rozhraní pro koncové uživatele pro interakci se všemi poštovními službami za účelem čtení, psaní a odesílání e-mailů. Roundcube podporuje různé poštovní protokoly, včetně těch zabezpečených, jako je IMAPS, POP3S nebo odesílání.
V tomto tématu probereme, jak nakonfigurovat Roundcube v iRedMail s IMAPS a odesílat zabezpečené porty pro načítání a odesílání e-mailů pro účty Samba4 AD, jak přistupovat k webovému rozhraní iRedMail Roundcube z prohlížeče a přidat alias webové adresy, jak povolit Samba4 Integrace AD pro globální adresář LDAP a jak deaktivovat některé nepotřebné služby iRedMail.
Požadavky
- Jak nainstalovat iRedMail na CentOS 7 pro integraci Samba4 AD
- Nakonfigurujte iRedMail na CentOS 7 pro integraci Samba4 AD
Krok 1: Deklarujte e-mailovou adresu pro doménové účty v Samba4 AD DC
1. Chcete-li odesílat a přijímat poštu pro účty domény Samba4 AD DC, musíte upravit každý uživatelský účet a explicitně nastavit e-mail se správnou e-mailovou adresou otevřením Nástroj ADUC ze stroje Windows s nainstalovanými nástroji RSAT a připojenými k Samba4 AD, jak je znázorněno na obrázku níže.
2. Podobně, abyste mohli používat seznamy pošty, musíte vytvořit skupiny v ADUC, přidat odpovídající e-mailovou adresu pro každou skupinu a přiřadit správné uživatelské účty jako členy skupiny.
S tímto nastavením vytvořeným jako seznam pošty budou všechny poštovní schránky členů skupiny Samba4 AD přijímat poštu určenou pro e-mailovou adresu skupiny AD. Níže uvedené snímky obrazovky použijte jako vodítko k prohlášení e-mailu zadaného pro účet skupiny Samba4 a přidání uživatelů domény jako členů skupiny.
Ujistěte se, že všichni členové účtů přidaní do skupiny mají deklarovanou svou e-mailovou adresu.
V tomto příkladu všechny e-maily odeslané na e-mailovou adresu [chráněný e-mail] deklarovanou pro skupinu „Domain Admins“ obdrží každý člen této skupiny.
3. Alternativní metodou, kterou můžete použít k deklaraci e-mailové adresy pro účet Samba4 AD, je vytvoření uživatele nebo skupiny pomocí příkazového řádku nástroje samba přímo z jedné z konzole AD DC. a zadejte e-mailovou adresu s příznakem --mail-address
.
K vytvoření uživatele se zadanou e-mailovou adresou použijte jednu z následujících syntaxí příkazu:
samba-tool user add [email --surname=your_surname --given-name=your_given_name your_ad_user
Vytvořte skupinu se zadanou e-mailovou adresou:
samba-tool group add [email your_ad_group
Chcete-li přidat členy do skupiny:
samba-tool group addmembers your_group user1,user2,userX
Chcete-li zobrazit všechna dostupná pole příkazů nástroje samba pro uživatele nebo skupinu, použijte následující syntaxi:
samba-tool user add -h
samba-tool group add -h
Krok 3: Zabezpečení webové pošty Roundcube
4. Před úpravou konfiguračního souboru Roundcube nejprve pomocí příkazu netstat procházejícího filtrem egrep vypište sokety, které Dovecot a Postfix naslouchají, a ujistěte se, že správně zabezpečené porty (993 pro IMAPS a 587 pro odeslání) jsou aktivní a povoleny.
netstat -tulpn| egrep 'dovecot|master'
5. Chcete-li vynutit příjem a přenos pošty mezi službami Roundcube a iRedMail na zabezpečených portech IMAP a SMTP, otevřete konfigurační soubor Roundcube umístěný v /var/www/roundcubemail/config/config.inc.php a ujistěte se, že jste v tomto případě změnili následující řádky pro localhost, jak je znázorněno na níže uvedeném úryvku:
// For IMAPS
$config['default_host'] = 'ssl://127.0.0.1';
$config['default_port'] = 993;
$config['imap_auth_type'] = 'LOGIN';
// For SMTP
$config['smtp_server'] = 'tls://127.0.0.1';
$config['smtp_port'] = 587;
$config['smtp_user'] = '%u';
$config['smtp_pass'] = '%p';
$config['smtp_auth_type'] = 'LOGIN';
Toto nastavení se důrazně doporučuje v případě, že je Roudcube nainstalován na vzdáleném hostiteli, než je ten, který poskytuje poštovní služby (démony IMAP, POP3 nebo SMTP).
6. Dále nezavírejte konfigurační soubor, vyhledejte a proveďte následující malé změny, aby bylo možné Roundcube navštívit pouze přes protokol HTTPS, skrýt číslo verze a automaticky připojit název domény pro účty, které se přihlašují ve webovém rozhraní.
$config['force_https'] = true;
$config['useragent'] = 'Your Webmail'; // Hide version number
$config['username_domain'] = 'domain.tld'
7. Vypněte také následující pluginy: managesieve a password přidáním komentáře (//)
na začátek řádku, který začíná $config['plugins'].
Uživatelé změní své heslo ze stroje se systémem Windows nebo Linux připojeného k Samba4 AD DC, jakmile se přihlásí a autentizují v doméně. Sysadmin bude globálně spravovat všechna pravidla sítě pro doménové účty.
// $config['plugins'] = array('managesieve', 'password');
8. Nakonec uložte a zavřete konfigurační soubor a navštivte Roundcube Webmail otevřením prohlížeče a přejděte na IP adresu iRedMail nebo FQDN/umístění pošty přes protokol HTTPS.
Při první návštěvě Roundcube by se v prohlížeči mělo objevit upozornění kvůli certifikátu Self-Signed, který webový server používá. Přijměte certifikát a přihlaste se pomocí přihlašovacích údajů účtu Samba AD.
https://iredmail-FQDN/mail
Krok 3: Povolte kontakty Samba AD v Roundcube
9. Chcete-li nakonfigurovat Samba AD Global LDAP Address Book, aby se zobrazovaly kontakty Roundcube, znovu otevřete konfigurační soubor Roundcube pro úpravy a proveďte následující změny:
Přejděte na konec souboru a identifikujte část, která začíná „# Global LDAP Address Book with AD“, smažte veškerý jeho obsah až do konce souboru a nahraďte jej následujícím blokem kódu:
Global LDAP Address Book with AD.
#
$config['ldap_public']["global_ldap_abook"] = array(
'name' => 'tecmint.lan',
'hosts' => array("tecmint.lan"),
'port' => 389,
'use_tls' => false,
'ldap_version' => '3',
'network_timeout' => 10,
'user_specific' => false,
'base_dn' => "dc=tecmint,dc=lan",
'bind_dn' => "[email ",
'bind_pass' => "your_password",
'writable' => false,
'search_fields' => array('mail', 'cn', 'sAMAccountName', 'displayname', 'sn', 'givenName'),
'fieldmap' => array(
'name' => 'cn',
'surname' => 'sn',
'firstname' => 'givenName',
'title' => 'title',
'email' => 'mail:*',
'phone:work' => 'telephoneNumber',
'phone:mobile' => 'mobile',
'department' => 'departmentNumber',
'notes' => 'description',
),
'sort' => 'cn',
'scope' => 'sub',
'filter' => '(&(mail=*)(|(&(objectClass=user)(!(objectClass=computer)))(objectClass=group)))',
'fuzzy_search' => true,
'vlv' => false,
'sizelimit' => '0',
'timelimit' => '0',
'referrals' => false,
);
V tomto bloku kódu nahraďte name, hosts, base_dn, bind_dn a bind_pass hodnoty podle toho.
10. Po provedení všech požadovaných změn uložte a zavřete soubor, přihlaste se do webového rozhraní Roundcube a přejděte do nabídky Adresář.
Klikněte na vámi zvolený Globální adresář a měl by se zobrazit seznam kontaktů všech doménových účtů (uživatelů a skupin) s jejich zadanou e-mailovou adresou.
Krok 4: Přidejte alias pro webové rozhraní Roundcube
11. Chcete-li navštívit Roundcube na webové adrese s následujícím formulářem https://webmail.domain.tld namísto staré adresy poskytované ve výchozím nastavení službou iRedMail, musíte provést následující změny.
Z připojeného počítače se systémem Windows s nainstalovanými nástroji RSAT otevřete Správce DNS a přidejte nový záznam CNAME pro iRedMail FQDN s názvem webmail, jak je znázorněno na následujícím obrázku.
12. Dále na počítači iRedMail otevřete konfigurační soubor SSL webového serveru Apache umístěný v /etc/httpd/conf.d/ssl.conf a změňte direktivu DocumentRoot tak, aby ukazovala na /var/www/roundcubemail/ systémová cesta.
výňatek ze souboru /etc/httpd/conf.d/ssl.conf:
DocumentRoot “/var/www/roundcubemail/”
Chcete-li použít změny, restartujte démona Apache.
systemctl restart httpd
13. Nyní přejděte v prohlížeči na následující adresu a mělo by se zobrazit rozhraní Roundcube. Přijměte chybu Self-Signed Cerificate a pokračujte na přihlašovací stránku. Nahraďte doménu.tld z tohoto příkladu svým vlastním názvem domény.
https://webmail.domain.tld
Krok 5: Zakažte nepoužívané služby iRedMail
14. Vzhledem k tomu, že démoni iRedMail jsou nakonfigurováni k dotazování serveru Samba4 AD DC LDAP na informace o účtu a další zdroje, můžete bezpečně zastavit a zakázat některé místní služby na počítači iRedMail, jako je databázový server LDAP a služba iredpad. vydávání následujících příkazů.
systemctl stop slapd iredpad
systemctl disable slapd iredpad
15. Vypněte také některé naplánované úlohy prováděné iRedMail, jako je zálohování databáze LDAP a záznamy sledování iRedPad přidáním komentáře (#) před každý řádek ze souboru crontab jak je znázorněno na níže uvedeném snímku obrazovky.
crontab -e
Krok 6: Použijte poštovní alias v Postfixu
16. Chcete-li přesměrovat veškerou lokálně generovanou poštu (určenou pro postmastera a následně přesměrovanou na účet root) na konkrétní účet Samba4 AD, otevřete konfigurační soubor aliasů Postfixu umístěný v /etc/postfix/aliases< a upravte kořenový řádek následovně:
root: [email
17. Použijte konfigurační soubor aliasů, aby jej Postfix mohl číst ve svém vlastním formátu provedením příkazu newaliases a otestujte, zda je pošta odeslána na správný e-mailový účet domény, zadáním následujícího příkazu.
echo “Test mail” | mail -s “This is root’s email” root
18. Po odeslání pošty se přihlaste k webové poště Roundcube pomocí účtu domény, který jste nastavili pro přesměrování pošty, a ověřte, že dříve odeslaná pošta byla přijata do doručené pošty vašeho účtu.
To všechno! Nyní máte plně funkční poštovní server integrovaný se Samba4 Active Directory. Doménové účty mohou odesílat a přijímat poštu pro svou interní doménu nebo pro jiné externí domény.
Konfigurace použité v tomto kurzu lze úspěšně použít k integraci serveru iRedMail do Windows Server 2012 R2 nebo 2016 Active Directory.