8.2  Založení uživatelského účtu

Definici lokálních uživatelských účtů můžete provést v sekci Nastavení domény → Uživatelské účty:

Uživatelské účty

Obrázek 8.1. Uživatelské účty


Nejprve je nutno v poli Doména vybrat lokální doménu, v níž mají být účty definovány. V každé doméně mohou existovat jak lokální účty, tak i účty uložené v adresářové službě (např. Microsoft Active Directory). V seznamu uživatelů dané domény se zobrazují účty obou typů. Přidávat lze však pouze lokální účty (účty v příslušné adresářové službě musejí být vytvářeny nástrojem pro její správu — např. Active Directory Users and Computers). Účtům v adresářové službě je možno měnit některé jejich vlastnosti.

Upozornění

Je-li smazán v administrační konzoli účet namapovaný z adresářové služby, účet v Kerio MailServeru se deaktivuje.

Význam jednotlivých sloupců tohoto okna bude zřejmý z následujícího popisu jednotlivých položek v definici uživatelského účtu. Jedinou výjimkou je sloupec Zdroj dat, který zobrazuje, o jaký typ účtu se jedná:

Pro vytvoření nového uživatelského účtu je třeba stisknout tlačítko Přidat, kterým lze otevřít průvodce vytvořením nového uživatelského účtu. Je-li doména konfigurována pro spolupráci s adresářovou službou (vizte kapitolu 10  Mapování uživatelů z adresářových služeb), zobrazí se okno s výběrem, zda chcete aktivovat uživatele z adresářové služby nebo vytvořit lokální účet.

Aktivovat uživatele znamená, že uživatelský účet je uložen v adresářové službě, a od okamžiku aktivace s ním Kerio MailServer může pracovat. Všechny údaje se budou ukládat do adresářové služby.

Aktivace uživatele z adresářové služby

Obrázek 8.2. Aktivace uživatele z adresářové služby


Pokud zvolíte aktivaci uživatele, otevře se okno s nabídkou uživatelů adresářové služby, na kterou je doména napojena. Dále jen vyberete příslušné uživatele a potvrdíte. Tlačítka v levém dolním rohu okna slouží k usnadnění výběru uživatelů. Vybrat vše — označí všechny uživatele a Zrušit výběr — zruší označení všech uživatelů.

Vytvoření lokálního uživatelského účtu se provádí následujícím průvodcem:

Krok 1 — šablona

První krok průvodce se zobrazuje pouze v případě, že je vytvořena alespoň jedna šablona pro vytváření nových účtů. Šablonu pro založení nových uživatelských schránek lze vytvořit v sekci Definice → Šablony uživatelů. Šablonu je dobré použít zejména v případě, že zakládáme najednou více uživatelských účtů, které mají některé parametry shodné (například nastavení typu ověřování, kvóty atd.). Založením šablony a vyplněním těchto shodných parametrů přímo do ní se vyhneme zbytečné práci navíc.

Založení uživatele — šablona

Obrázek 8.3. Založení uživatele — šablona


Založení nové šablony je popsáno v samostatné kapitole 8.10  Šablony uživatelských účtů.

Krok 2 — základní údaje

Přihlašovací jméno

Přihlašovací jméno (pozor: nejedná-li se o lokální primární doménu, pak se uživatel musí přihlašovat celou svou e-mailovou adresou, tedy např. uzivatel@jinafirma.cz, nikoliv pouze uzivatel).

Ve jménu uživatele se nerozlišují malá a velká písmena.

Založení uživatele — základní údaje

Obrázek 8.4. Založení uživatele — základní údaje


Přihlašovací jméno nesmí obsahovat národní a některé speciální znaky, proto je není možné do pole zadat.

Celé jméno

Plné jméno (typicky jméno a příjmení daného uživatele). Položku je nutné vyplnit v případě, že uživatelské údaje z tohoto účtu budou exportovány do veřejné složky s kontakty.

Popis

Textový popis uživatele (např. funkce). Položka Popis má pouze informativní charakter. Může obsahovat libovolné informace nebo nemusí být vyplněna vůbec.

Ověřování

Způsob ověřování uživatele lze zvolit v menu:

  • Interní databáze uživatelů

    Uživatel je ověřován pouze v rámci Kerio MailServeru. V tomto případě je potřeba zadat heslo do položek Heslo a Potvrzení hesla (své heslo pak může uživatel sám změnit pomocí rozhraní Kerio WebMail).

    Upozornění

    Heslo může obsahovat pouze tisknutelné znaky (písmena, číslice, interpunkční znaménka). V hesle se rozlišují malá a velká písmena.

  • Doména Windows NT

    Uživatel bude ověřován v doméně Windows NT. Název NT domény je třeba zadat ve vlastnostech e-mailové domény (záložka Upřesnění, položka Doména Windows NT). Tento způsob ověřování lze použít, pouze běží-li Kerio MailServer na operačním systému Windows 2000/XP a 2003. Podrobnosti vizte kapitolu 7.7  Ověřování uživatelů z domény.

  • Kerberos 5

    Ověření se provede pomocí ověřovacího systému Kerberos verze 5.

  • PAM služba

    Ověřování službou PAM (Pluggable Authentication Modules — možno pouze na operačním systému Linux).

  • Apple Open Directory

    Ověřování v databázi Apple Open Directory (pouze pro Mac OS X). Volbu lze nastavit pouze v případě, že je uživatel namapován z Apple Open Directory.

Heslo a Potvrzení hesla

Heslo uživatele lze zadat nebo změnit pouze lokálním uživatelům. Každý uživatel by měl bezprostředně po založení účtu heslo změnit.

Bude-li heslo obsahovat speciální (národní) znaky, uživatelé se nebudou moci z některých poštovních klientů připojit ke Kerio MailServeru. Pro zadávání hesel uživatelů proto doporučujeme používat pouze ASCII znaky.

Účet je zablokován

Dočasné zrušení „vypnutí“ účtu bez nutnosti jej odstraňovat.

Tato položka nijak nesouvisí s blokováním účtů, které se nastavuje v sekci Konfigurace → Další volby, v záložce Bezpečnostní politika (vizte sekci 12.6  Upřesňující nastavení). Pokud uživatel při přihlášení zadá omylem několikrát za sebou neplatné heslo a překročí tak limit nastavený v záložce Bezpečnostní politika, pak se účet automaticky zablokuje. Tuto blokaci je třeba zrušit taktéž v záložce Bezpečnostní politika tlačítkem Odblokovat všechny účty.

Povolit implicitní pravidlo, ...

Zaškrtnutím volby se při zakládání uživatelského účtu vytvoří pravidlo pro nevyžádanou poštu. Všechny příchozí zprávy, které byly antispamovou kontrolou označeny jako nevyžádané, budou automaticky přesunuty do složky Nevyžádaná pošta. Pravidlo je možno v nastavení účtu vytvořit pouze při jeho zakládání. Filtr a pravidla pro příchozí poštu blíže popisuje manuál Kerio MailServer, Příručka uživatele.

Upozornění

Nedoporučujeme vytvoření tohoto pravidla, pokud uživatel ke své poště přistupuje přes protokol POP3. V takovém případě se na lokální klientskou stanici stáhne pouze složka Doručená pošta a uživatel nemá možnost provést kontrolu, zda je pošta zařazená do složky Nevyžádaná pošta opravdu nevyžádaná.

Publikovat ve veřejném adresáři

Celé jméno a adresa uživatele budou propagovány do veřejné složky Kontakty, která slouží jako zdroj firemních kontaktů (celá jména a e-mailové adresy uživatelů). Kontakt bude do veřejné složky přidán pouze v případě, že je vyplněna položka Celé jméno.

V případě, že jsou uživatelé mapováni z Active Directory nebo Apple Open Directory, synchronizuje se celá LDAP databáze automaticky každou hodinu. Pokud nechcete některého uživatele synchronizovat do veřejných kontaktů, odškrtněte tuto volbu.

Uložit heslo ve vysoce zabezpečeném formátu SHA

Heslo uživatele je standardně šifrováno symetrickým klíčem (DES). Volba Uložit heslo v bezpečnějším formátu umožňuje použití bezpečnější, nesymetrické šifry (SHA řetězec). Nevýhodou SHA šifrování je, že není možné využít některé metody ověřování pro přístup na Kerio MailServer, konkrétně jsou to metody APOP, CRAM-MD5 a Digest-MD5. Pro ověřování přístupu lze tedy využít pouze metody LOGIN a PLAIN (důrazně doporučujeme používat pro přihlašování pouze SSL spojení).

Po zaškrtnutí volby je nutné změnit heslo uživatele. To může udělat buď administrátor nebo uživatel (např. přes rozhraní Kerio WebMail).

Krok 3 — e-mailové adresy

V tomto kroku průvodce je možno zadat všechny požadované e-mailové adresy daného uživatele. Primární adresa uživatele (kterou nelze zrušit) je tvořena jeho uživatelským jménem a doménou, v níž se účet nachází. Ostatní adresy jsou tzv. aliasy. Aliasy lze zadávat přímo v definici uživatele, nebo v sekci Nastavení domény → Aliasy. Doporučujeme však zadávat aliasy přímo v definici uživatele — je to jednodušší a navíc jsou aliasy přístupné v Active Directory doméně.

Založení uživatele — přidělení e-mailových adres

Obrázek 8.5. Založení uživatele — přidělení e-mailových adres


Jsou-li uživatelské účty udržovány v Active Directory (vizte kapitolu 10.1  Mapování účtů z Active Directory), pak je možné zadávat jejich aliasy přímo v panelu Active Directory Users and Computers. Globální aliasy (tj. v sekci Nastavení domény → Aliasy) takto zadávat nelze.

Krok 4 — přeposílání zpráv na jiné adresy

Zprávy pro uživatele mohou být volitelně přeposílány na další e-mailové adresy. Volba Doručovat zprávy... zajistí, že zpráva bude uložena do lokální schránky a zároveň přeposlána na uvedené adresy (jinak bude pouze přeposlána a do lokální schránky se neuloží).

Založení uživatele — přeposílání zpráv

Obrázek 8.6. Založení uživatele — přeposílání zpráv


Poznámka

Toto lze rovněž řešit pomocí aliasů, nastavení v definici uživatele je však jednodušší a přehlednější.

Krok 5 — skupiny

V tomto dialogu je možno (tlačítky Přidat a Odebrat) přidat nebo odebrat skupinu, do níž má být uživatel zařazen. Skupiny je nutno nejprve vytvořit v sekci Nastavení domény → Skupiny. Při definici skupin je ale možno stejným způsobem do skupin přidávat uživatele, a proto nezáleží na tom, zda budou nejprve vytvořeny skupiny nebo uživatelé.

Založení uživatele — přidělení uživatele do skupiny

Obrázek 8.7. Založení uživatele — přidělení uživatele do skupiny


Krok 6 — nastavení přístupových práv

Každý uživatel musí mít nastavenu jednu ze tří úrovní přístupových práv.

Bez přístupu ke správě

Uživatel nemá práva pro přihlášení ke správě Kerio MailServeru. Toto nastavení je typické pro většinu uživatelů — budou mít přístup pouze ke své poštovní schránce.

Přístup jen pro čtení

Uživatel se může přihlásit ke správě Kerio MailServeru, může však pouze prohlížet záznamy a nastavení, nemá právo provádět žádné změny.

Přístup pro čtení a zápis

Uživatel má plná práva ke správě, je ekvivalentní uživateli Admin. Existuje-li alespoň jeden uživatel s těmito právy, může být účet Admin odstraněn.

Tento uživatel smí spravovat aliasy a uživatelské účty/skupiny ...

Speciální právo pro přístup do KMS Web Administration (více vizte kapitolu 32  KMS Web Administration). Toto oprávnění je nezávislé na nastavení přístupových práv do Kerio Administration Console.

Tento uživatel má právo spravovat ...

Správu veřejných složek má standardně povolenu pouze Admin primární domény. Pokud Kerio MailServer obsahuje více lokálních domén, na kterých jsou založeny uživatelské účty, musí být tato volba zaškrtnuta vždy alespoň jednomu uživateli v každé doméně. Kerio MailServer je nastaven tak, že každá doména má vlastní veřejné složky a uživatelé jiné lokální domény k ní nemají přístup (toto nastavení lze změnit tak, aby veřejné složky byly přístupny všem doménám a tedy i všem uživatelům společně — bližší popis tohoto nastavení je uveden v kapitole 7.1  Základní nastavení).

Standardně mají všichni uživatelé z jedné domény nastavené k veřejným složkám právo pro čtení. Práva k veřejným složkám může přidělovat každý uživatel, který má sám právo tyto složky spravovat. Práva lze uživatelům přidělit také přes rozhraní Kerio WebMail a MS Outlook doplněný o Kerio Outlook Connector.

Všechny typy veřejných složek (pošta, kalendáře, kontakty, úkoly, poznámky) v Kerio MailServeru jsou zobrazovány pouze v aplikaci MS Outlook doplněné o Kerio Outlook Connector a v Kerio WebMailu. V jiných poštovních klientech se obvykle zobrazují pouze veřejné složky typu pošta (přesnější informace o všech podporovaných poštovních klientech najdete v manuálu Kerio MailServer, Příručka uživatele).

Krok 7 — nastavení uživatelské kvóty

Uživateli lze nastavit určitá omezení na jeho poštovní schránku.

Založení uživatele — nastavení kvóty

Obrázek 8.8. Založení uživatele — nastavení kvóty


Diskový prostor

Nastavení maximálního prostoru ve schránce. Pro pohodlné zadání číselného údaje je možno přepínat jednotky: kilobyty (KB), megabyty (MB) a gigabyty (GB).

Počet zpráv

Maximální počet zpráv ve schránce.

Každou z těchto položek lze nastavit na hodnotu 0 (nula), což znamená, že se na schránku žádné omezení nevztahuje.

Uživatelská kvóta slouží především k ochraně serveru proti zaplnění diskového prostoru. Bude-li splněna alespoň jedna z těchto podmínek, budou další zprávy adresované tomuto uživateli serverem odmítány.

Po naplnění kvóty bude uživateli zaslána varovná zpráva s doporučením na snížení počtu zpráv ve schránce. Zároveň nezáleží na tom, zda byl překročen počet zpráv či vyhrazená velikost diskového prostoru. Kvóta je naplněna ve chvíli, kdy byla uložena do složky zpráva (událost, kontakt nebo úkol), která překročila jeden nebo druhý nastavený limit.

Prahem pro odeslání upozornění je 90% nastavené hodnoty v kvótě (90% nastaveného počtu položek nebo 90% nastavené velikosti diskového prostoru). Tuto hodnotu lze ručně změnit v konfiguračním souboru Kerio MailServeru:

  1. Zastavíme Kerio MailServer Engine.

  2. V adresáři, kam je nainstalován Kerio MailServer najdeme soubor mailserver.cfg

    Pokud soubor editujeme na platformách Mac OS X nebo Linux, potom se nejprve do systému přihlásíme jako root (speciální uživatel s plnými přístupovými právy do systému).

  3. Otevřeme soubor mailserver.cfg a najdeme proměnnou QuotaWarningThreshold. Celý řádek bude vypadat takto:

    <variable name="QuotaWarningThreshold">90</variable>

  4. Změníme hodnotu proměnné na vyhovující a soubor uložíme.

  5. Spustíme Kerio MailServer.

Varovná zpráva je serverem odesílána vždy jednou za 24 hodin, ne častěji. I v případě, že uživatel vymaže některé zprávy a dostane se pod hranici nastavené kvóty, a poté ji ještě ten den znovu překročí, další zpráva bude doručena 24 hodin od prvního upozornění.

Poznámka

Pokud se v souvislosti s nastavením kvóty objevily nějaké potíže, mohou vám při jejich řešení pomoci informace zaznamenané v Debug logu. Záznam Debug je umístěn v administrační konzoli v sekci Záznamy → Debug. Aby se do záznamu vypisovaly informace o chování kvóty, je třeba zapnout volbu Quota and Login Statistics (více vizte kapitolu 25.9  Debug).

Krok 8 — upřesňující nastavení

Tento uživatel smí odesílat/přijímat ...

Volba umožňuje správci Kerio MailServeru omezit komunikaci uživatele pouze na lokální úroveň. To může být v mnoha společnostech užitečné například při řešení interní komunikace. Zaškrtnutím této volby docílíme, že daný uživatel nebude moci odesílat ani přijímat zprávy z externích domén.

Založení uživatele — další nastavení ovlivňující uživatelský účet

Obrázek 8.9. Založení uživatele — další nastavení ovlivňující uživatelský účet


Max. velikost zprávy

Nastavení limitu pro maximální velikost odchozích zpráv. Každý uživatel může mít buď nastaven rozdílný limit, nebo je možné nastavit limit shodný pro celou doménu (kapitola 7.1  Základní nastavení). Doporučujeme tuto volbu nastavit, zejména pokud není žádný limit nastaven pro celou doménu.

Zadáním tohoto limitu lze jednoduše zabránit uživatelům, aby zahltili internetovou linku odesíláním zpráv s příliš velkými přílohami.

Jsou-li oba limity nastaveny na 0, chová se Kerio MailServer stejně, jako by žádný limit nastaven nebyl.

Limit nastavený uživateli má vyšší prioritu než limit nastavený celé doméně.

Promazávané položky

Kerio MailServer obsahuje možnost nastavit na poštovní schránku (nebo pro celou doménu v nastavení domény) speciální pravidlo, aby se položky starší nastaveného počtu dní automaticky mazaly. Pravidlo se týká složek Nevyžádaná pošta a Odstraněná pošta.

Více informací o této vlastnosti najdete v sekci 7.5  Automatické mazání položek.