Ověřování uživatelů z dané domény lze nastavit v administračním rozhraní v sekci Domény. V záložce Upřesnění v nastavení domény je možno nastavit parametry ověřování uživatelů. Při definici každého uživatele lze zvolit, jakým způsobem bude ověřován (vizte kapitolu 8.2 Založení uživatelského účtu). V jedné e-mailové doméně tedy mohou být různí uživatelé ověřováni různými metodami.
Tato volba je v Kerio Administration Console zobrazena pouze v instalaci pro operační systémy Linux.
PAM (Pluggable
Authentication Modules) jsou autentizační moduly, které umí ověřit uživatele
z domény (např. firma.cz
) proti linuxovému
serveru, na kterém je Kerio MailServer spuštěn. Do této
položky se zadává jméno PAM služby (konfiguračního souboru), která bude pro
ověřování uživatelů v této doméně použita. Součástí instalace
Kerio MailServeru je konfigurační soubor pro PAM službu
keriomail
(najdete ho v adresáři
/etc/pam.d/keriomail
), který doporučujeme používat.
Podrobnosti o konfiguraci PAM najdete v dokumentaci k vaší distribuci
Linuxu.
Kerberos je protokol pro autorizaci a autentizaci (více najdete na stránkách: http://web.mit.edu/Kerberos/). Kerio MailServer využívá tento protokol pro autentizaci uživatelů proti Kerberos serveru (např. v Active Directory).
Do položky v dialogu se zadává název oblasti (domény) systému Kerberos (Kerberos realm), v níž mají být uživatele ověřováni. Od verze Kerio MailServer 6.0.9 se jméno Kerberos oblasti automaticky zadává velkými písmeny.
Jsou-li uživatelské účty fyzicky uloženy v Active Directory nebo Open Directory (vizte záložku Adresářová služba), je třeba do této položky zadat jméno Active Directory případně Open Directory domény. Při konfiguraci Active Directory nebo Open Directory v záložce Adresářová služba bude tato položka automaticky vyplněna.
Pokud používáte Open Directory nebo
samostatný Kerberos server, důkladně zkontrolujte, zda Kerberos realm doplněný
v záložce Upřesnění je shodný s názvem Kerberos
oblasti, který je uveden v souboru
/Library/Preferences/edu.mit.Kerberos
. Konkrétně musí
souhlasit s hodnotou default_realm
v tomto
souboru. Příslušný řádek tedy může vypadat například takto
default_realm = FIRMA.CZ
Nastavení ověřování na jednotlivých platformách je popsáno v kapitole 27 Ověřování přes Kerberos.
NT doména, v níž budou uživatelé ověřováni. Počítač, na němž Kerio MailServer běží, musí být přidán do této domény.
Příklad:
Pro doménu firma.cz
je NT doménou
FIRMA
.
Každý uživatel se ke Kerio MailServeru může
připojit přes libovolné rozhraní. Avšak každou doménu lze svázat s jednou
IP adresou. Svázání IP adresy s doménou přinese ten efekt, že uživatelé
z domény, kteří se připojí přes IP adresu svázanou s touto doménou,
nemusejí při přihlašování uvádět uživatelské jméno včetně domény (například
jnovak@firma.cz
), ale stačí jej uvést samostatně (například
jnovak
), jako by se přihlašovali k primární doméně.
Správnou funkčnost svazování domén s IP adresou podmiňuje požadavek navázat nejvýše jednu doménu na každou IP adresu. V opačném případě server nepozná, do které domény uživatelské jméno bez domény patří.
Příklad: Počítač, na němž Kerio
MailServer běží, má dvě rozhraní: 192.168.1.10
zapojené do sítě firmy Firma a
192.168.2.10
do sítě firmy JinaFirma.
V lokální doméně jinafirma.cz
(nejedná se o primární
doménu) je vytvořen uživatelský účet novak
.
Doména jinafirma.cz
je svázána s IP
adresou 192.168.2.10
. Uživatelé z domény
jinafirma.cz
se mohou z firmy přihlašovat ke službám
Kerio MailServeru uživatelským jménem bez uvedení domény.
Poznámka: Budou-li se přes toto rozhraní připojovat uživatelé z primární domény, budou se muset přihlašovat celou e-mailovou adresou.
Pokud nastane s některou z ověřovacích metod problém, lze v Kerio MailServeru nastavit záznam externího ověřování uživatelů:
Otevřeme v Kerio Administration Console sekci Záznamy a vybereme záznam Debug.
V okně záznamu pravým tlačítkem myši otevřeme kontextové menu a vybereme položku Zprávy.
Otevře se okno Zaznamenávané informace, kde zaškrtneme volbu User Authentication.
Změnu potvrdíme tlačítkem OK.
Po vyřešení problému doporučujeme logování opět vypnout.