Před nastavením přihlašování uživatelů do Linuxu přes Kerberos doporučujeme nejprve zkontrolovat správnou funkci ověřování proti doméně (přihlášením se do systému účtem definovaným v Active Directory).
Dále je nutno zajistit následující:
Počítač s Kerio MailServerem musí mít nastavený jako primární DNS server doménový řadič Active Directory domény.
Pokud konfigurace sítě vyžaduje ověřování proti více doménovým řadičům zároveň, přidáme jako DNS servery všechny doménové řadiče, proti kterým se bude Kerio MailServer ověřovat.
Na počítači s Kerio MailServerem musí být synchronizován čas s Active Directory.
Dále je nutné pro správnou funkci ověřování nastavit soubor
/etc/krb5.conf
Příklad nastavení souboru krb5.conf
:
[logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] ticket_lifetime = 24000 default_realm = FIRMA.CZ dns_lookup_realm = false dns_lookup_kdc = yes [realms] FIRMA.CZ = { kdc = server.firma.cz admin_server = server.firma.cz default_domain = firma.cz } [domain_realm] .firma.cz = FIRMA.CZ firma.cz = FIRMA.CZ [kdc] profile = /var/kerberos/krb5kdc/kdc.conf [appdefaults] pam = { debug = false ticket_lifetime = 36000 renew_lifetime = 36000 forwardable = true krb4_convert = false }
Pokud je ověřování proti Kerberos serveru plně funkční, potom je možné nastavit ověřování v Kerio MailServeru. Tato nastavení lze provést v sekci , v záložkách Adresářová služba a Upřesnění.
Před nastavením přihlašování uživatelů do Linuxu přes Kerberos doporučujeme nejprve zkontrolovat správnou funkci ověřování proti doméně (přihlášením se do systému účtem definovaným v Open Directory). Pokud se toto nepodaří, zkontrolujte prosím následující:
Kerio MailServer musí být členem Kerberos oblasti (Open Directory domény), proti které se ověřuje. Pokud Kerio MailServer nebude členem oblasti, pak Kerberos nebude fungovat a uživatelé budou muset používat lokální heslo — tedy jiné než mají nastaveno v doméně.
počítač s Kerio MailServerem musí mít správně nastavenou službu DNS.
na počítači s Kerio MailServerem musí být synchronizován čas s Open Directory.
Dále je nutné pro správnou funkci ověřování nastavit soubor
/etc/krb5.conf
Příklad nastavení souboru krb5.conf
:
[logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] ticket_lifetime = 24000 default_realm = FIRMA.CZ dns_lookup_realm = false dns_lookup_kdc = yes [realms] FIRMA.CZ = { kdc = server.firma.cz admin_server = server.firma.cz default_domain = firma.cz } [domain_realm] .firma.cz = FIRMA.CZ firma.cz = FIRMA.CZ [kdc] profile = /var/kerberos/krb5kdc/kdc.conf [appdefaults] pam = { debug = false ticket_lifetime = 36000 renew_lifetime = 36000 forwardable = true krb4_convert = false }
Je-li ověřování proti Kerberos serveru plně funkční, potom je možné nastavit ověřování v Kerio MailServeru. Tato nastavení lze provést v sekci , v záložkách Adresářová služba a Upřesnění.
Chcete-li použít pro ověřování samostatný Kerberos server (Key Distribution Center), potom bude nutno udržovat databázi uživatelských jmen a hesel v Key Distribution Center i v Kerio MailServeru.
Před nastavením přihlašování uživatelů do Linuxu přes Kerberos doporučujeme nejprve zkontrolovat správnou funkci ověřování proti Kerberos oblasti (přihlášením se do systému účtem definovaným v Key Distribution Center. Pokud se toto nepodaří, zkontrolujte prosím následující:
Kerio MailServer musí být členem Kerberos oblasti, proti které se ověřuje:
na stanici musí být nainstalován Kerberos klient,
jména a hesla všech uživatelů založených v Kerio MailServeru musí být definována v Key Distribution Center (pokud se mají ověřovat přes Kerberos).
Počítač s Kerio MailServerem musí mít správně nastavenou službu DNS (Key Distribution Center se orientuje na základě DNS dotazů).
Na počítači s Kerio MailServerem musí být synchronizován čas s Key Distribution Center (všechny počítače v Kerberos oblasti musí mít synchronizovaný čas).
Dále je nutné pro správnou funkci ověřování nastavit soubor
/etc/krb5.conf
Příklad nastavení souboru krb5.conf
:
[logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] ticket_lifetime = 24000 default_realm = FIRMA.CZ dns_lookup_realm = false dns_lookup_kdc = yes [realms] FIRMA.CZ = { kdc = server.firma.cz admin_server = server.firma.cz default_domain = firma.cz } [domain_realm] .firma.cz = FIRMA.CZ firma.cz = FIRMA.CZ [kdc] profile = /var/kerberos/krb5kdc/kdc.conf [appdefaults] pam = { debug = false ticket_lifetime = 36000 renew_lifetime = 36000 forwardable = true krb4_convert = false }
Vyzkoušet si, že je Kerio MailServer schopen
ověřovat se proti Key Distribution Center, je možné pomocí
utility kinit
. Stačí otevřít terminál (příkazovou řádku) a
zadat následující příkaz:
kinit -S host/nazev_KMS@KERBEROS_REALM
uzivatelske_jmeno
například:
kinit -S host/mail.firma.cz@FIRMA.CZ
jnovak
Pokud dotaz proběhl v pořádku, budete požádáni o heslo zadaného uživatele. Pokud ne, jako odpověď bude doručeno chybové hlášení.
Teprve poté doporučujeme provést příslušná nastavení v Kerio MailServeru (více vizte kapitolu 7.7 Ověřování uživatelů z domény).