V praxi přinese mapování účtů z Apple Open Directory výhodu online spolupráce Kerio MailServeru a Apple Open Directory. Vytvoření, změna nebo zrušení uživatelského účtu (resp. skupiny) v databázi Open Directory se okamžitě promítnou do aplikace Kerio MailServer.
Pokud účet vytvoříte v programu Kerio Administration Console, zobrazí se upozornění, že účet bude vytvořen pouze lokálně — nebude tedy duplikován do databáze Open Directory.
V případě nedostupnosti Open Directory serveru nebude možné se k aplikaci Kerio MailServer přihlásit. Pro tento případ doporučujeme vytvořit alespoň jeden lokální administrativní účet s právy pro čtení i zápis.
Při zakládání uživatelského účtu v Apple Open Directory je nutno uživatelské jméno zapsat v ASCII. Pokud bude uživatelské jméno obsahovat národní znaky, může se stát, že se uživatel nebude moci přihlásit ke svému účtu.
Prakticky budete ke zprovoznění mapování účtů potřebovat nastavit mapování v administračním rozhraní a nainstalovat na doménový server speciální rozšíření Kerio Open Directory Extension. Průvodce těmito nastaveními najdete v následujících článcích.
V administračním rozhraní Kerio MailServeru se přepněte do sekce Domény, vyberte potřebnou doménu a otevřete její nastavení. Pak se přepněte do záložky Adresářová služba:
Volba zapíná/vypíná spolupráci s LDAP databází (je-li tato volba vypnuta, v doméně bude možno vytvořit pouze lokální účty).
Typ LDAP databáze, kterou bude tato doména používat. Mapování účtů z Apple Open Directory má dvě varianty, které se liší typem ověřování. V Apple Open Directory je možné využít dva typy ověřování. Prvním je ověřování proti password serveru, druhým ověřování přes systém Kerberos.
Ověřování proti password serveru má jednu zásadní výhodu. Není třeba provádět žádná speciální nastavení na serveru, kde je nainstalován Kerio MailServer. Nevýhod tohoto ověřování je však více:
Ověřování je zastaralé a méně bezpečné.
Uživatelé si nemohou sami změnit své uživatelské heslo (v rozhraní Kerio WebMail).
Firma Apple ukončuje podporu tohoto typu ověřování.
Využít této metody ověřování lze pouze pokud je Kerio MailServer nainstalován na systému Mac OS X.
Ověřování proti Kerberos serveru je modernější a bezpečnější. Ověřování touto metodou však vyžaduje nastavení na serveru, kam je nainstalován Kerio MailServer. Tato nastavení jsou podrobně popsána v kapitole 27 Ověřování přes Kerberos.
Závěrem je třeba připomenout, že v administrační konzoli
Kerio MailServeru, v sekci , v nastavení domény v záložce
Upřesnění musí být vyplněn název Kerberos oblasti, proti
které se bude mailserver ověřovat. Tento název musí souhlasit s názvem
Kerberos oblasti uvedeným v souboru
/Library/Preferences/edu.mit.Kerberos
. V opačném
případě nebude nastavení funkční. Podrobný popis nastavení ověřování proti
Kerberos serveru na systémech Mac OS X najdete v kapitole 27.3 Kerio MailServer na systému Mac OS X).
DNS jméno nebo IP adresa serveru, na němž LDAP databáze běží.
Služba LDAP standardně používá pro komunikaci port 389
(standardní port zabezpečené verze LDAPS je 636). Je-li třeba použít pro
komunikaci mezi Kerio MailServerem a LDAP databází
nestandardní port, je nutné jej doplnit k názvu nebo IP adrese serveru
(např.: mail1.firma.cz:12345
nebo
212.100.12.5:12345
).
Pokud pro připojení využíváte zabezpečenou verzi služby LDAP, musí být do položky doplněno vždy DNS jméno kvůli ověřovací proceduře SSL certifikátu.
Jméno uživatele, který má práva pro čtení LDAP databáze. Může
to být buď uživatel root
nebo je možno použít administrátora
Open Directory (admin
pro Mac
OS X 10.3 či diradmin
pro Mac OS X
10.4 a vyšší). V případě použití administrátora je nutné se
ujistit, že se jedná o administrátora Apple Open Directory
a ne o systémového administrátora na počítači, kde je Apple Open
Directory spuštěna.
Pro připojení k databázi Apple Open Directory musí být vyplněno uživatelské jméno ve tvaru:
uid=xxx,cn=xxx,dc=xxx
uid
— jméno uživatele, pod kterým
se připojujete do systému.
cn
— jméno kontejneru
s uživateli (téměř vždy složka users
).
dc
— jména domény i každé její
subdomény (například mail1.firma.cz →
dc=mail1,dc=firma,dc=cz
)
Heslo uživatele, který má práva pro čtení LDAP databáze.
Při komunikaci mezi LDAP databází a Kerio MailServerem jsou posílána i data velmi citlivá na bezpečnost (například uživatelská hesla). Z toho důvodu je možné tuto komunikaci zabezpečit SSL.
SSL šifrování má na server vyšší nároky ohledně výkonu (rychlost internetové linky, výkon procesoru). Zejména v případě navazování mnoha spojení při komunikaci mezi LDAP databází a Kerio MailServerem, nebo v případě velkého množství uživatelů v LDAP databázi může komunikaci výrazně zpomalovat. Zatěžuje-li SSL šifrování server neúměrně, doporučujeme využít pouze nezabezpečenou verzi služby LDAP.
DNS jméno nebo IP adresa záložního serveru, na němž je spuštěna LDAP databáze.
Pokud pro připojení využíváte zabezpečenou verzi služby LDAP, musí být do položky doplněno vždy DNS jméno kvůli ověřovací proceduře SSL certifikátu.
Pokud je zvolen v položce Typ adresářové
služby Apple Open Directory, doplňte do této
položky příponu ve tvaru dc=subdomena,dc=domena
.
Tlačítkem Test připojení je možno vyzkoušet správnost nastavených parametrů. Testovány jsou položky jméno nebo adresa serveru (zda je možno se k němu připojit) a uživatelské jméno a heslo (zda je možné ověření).
Výše popsaná spolupráce s LDAP databází nijak nesouvisí s vestavěným LDAP serverem — ten je určen pro přístup k adresáři kontaktů z poštovních klientů (podrobnosti vizte kapitolu 21 LDAP server). Jestliže je Kerio MailServer nainstalován na stejném počítači jako Apple Open Directory, je třeba z důvodu zabránění kolize změnit číslo portu služby LDAP ( ).
Kerio Open Directory Extension je rozšíření adresářové služby Apple Open Directory o možnost mapování účtů do Kerio MailServeru (rozšiřuje schéma LDAP databáze o položky Kerio MailServeru). V praxi to znamená, že při vytváření, změnách nebo rušení uživatelských účtů a skupin v databázi Apple Open Directory se změny okamžitě promítnou do Kerio MailServeru. Navíc budou mít uživatelé Kerio MailServeru k dispozici kontakty LDAP databáze Apple Open Directory ve svých poštovních schránkách (ve veřejné složce Kontakty).
Instalační balík s Kerio Open Directory Extension je možno získat zdarma na produktových stránkách společnosti Kerio Technologies.
Instalace Kerio Open Directory Extension probíhá standardně pomocí průvodce.
Při použití konfigurace Mac OS X serverů typu Master/Replica je nutné Kerio Open Directory Extension nainstalovat jak na master server, tak na všechny jeho replica servery. V opačném případě nebude mapování účtů funkční.
Existuje-li následující konfigurace:
používáte-li Kerio Open Directory Extension ve verzi 6.6 a vyšší,
servery jsou spuštěny na Mac OS X 10.5.3 a vyšších,
Replica servery byly vytvořeny poté, co bylo rozšíření Kerio Open Directory Extension nainstalováno na Master server,
pak si Replica servery rozšíření automaticky stáhnou z Master serveru při vytváření.
Nainstalujete-li přes předchozí návod Kerio Open Directory Extension na Replica servery manuálně, nastavení nebude nijak poškozeno.
Kerio Open Directory Extension lze nainstalovat na operační systém Mac OS X 10.4 Tiger a vyšší.
Apple Open Directory je adresářová služba standardně dodávaná se systémy Mac OS X Server. Tato adresářová služba je obdobou Active Directory firmy Microsoft. Stejně jako Active Directory umožňuje uchovávat informace o objektech v síti (uživatelích, skupinách, počítačích atd.), ověřovat uživatele atd.
Informace o uživatelích a skupinách v Apple Open Directory jsou uloženy v LDAP databázi Open LDAP. Výhodou mapování účtů do Kerio MailServeru je, že jsou uživatelské účty a skupiny udržovány na jednom místě a nemusí být importovány a spravovány v Apple Open Directory a Kerio MailServeru zároveň. Pouze v případě, že je potřeba definovat konfiguraci specifickou pro poštovní schránky (např. kvótu schránky nebo přeposílání pošty), musí být provedena v Kerio MailServeru (kapitola 8 Uživatelské účty).
Při zakládání uživatelského účtu v Apple Open Directory je nutno uživatelské jméno zapsat v ASCII. Pokud bude uživatelské jméno obsahovat národní znaky, může se stát, že se uživatel nebude moci přihlásit ke svému účtu.
Na Mac OS X Serveru obvykle nejsou kromě instalace Kerio Open Directory Extension nutná žádná další nastavení. Jediným omezením je nutnost uložení uživatelských jmen v ASCII. Pokud bude uživatelské jméno obsahovat národní znaky, může se stát, že se uživatel nebude moci přihlásit ke svému účtu.
V Kerio MailServeru je třeba provést následující:
V nastavení domény musí být povoleno a nastaveno mapování uživatelských účtů z adresářové služby Apple Open Directory.
V nastavení domény musí být nastaveno ověřování uživatelů přes Kerberos (více vizte kapitolu 7.7 Ověřování uživatelů z domény).
V nastavení uživatele musí být nastaveno ověřování uživatelů přes Kerberos (více vizte kapitolu 8.2 Založení uživatelského účtu).
Chcete-li, aby se kontakt uživatele nezobrazoval ve veřejné složce s Kontakty, odškrtněte v administračním rozhraní Kerio MailServeru v sekci v nastavení uživatele volbu Publikovat ve veřejném adresáři.