7.7  Ověřování uživatelů z domény

Ověřování uživatelů z dané domény lze nastavit v administračním rozhraní v sekci Domény. V záložce Upřesnění v nastavení domény je možno nastavit parametry ověřování uživatelů. Při definici každého uživatele lze zvolit, jakým způsobem bude ověřován (vizte kapitolu 8.2  Založení uživatelského účtu). V jedné e-mailové doméně tedy mohou být různí uživatelé ověřováni různými metodami.

Nastavení domény — parametry pro ověřování uživatelů

Obrázek 7.8. Nastavení domény — parametry pro ověřování uživatelů


Linux PAM

Tato volba je v Kerio Administration Console zobrazena pouze v instalaci pro operační systémy Linux.

PAM (Pluggable Authentication Modules) jsou autentizační moduly, které umí ověřit uživatele z domény (např. firma.cz) proti linuxovému serveru, na kterém je Kerio MailServer spuštěn. Do této položky se zadává jméno PAM služby (konfiguračního souboru), která bude pro ověřování uživatelů v této doméně použita. Součástí instalace Kerio MailServeru je konfigurační soubor pro PAM službu keriomail (najdete ho v adresáři /etc/pam.d/keriomail), který doporučujeme používat. Podrobnosti o konfiguraci PAM najdete v dokumentaci k vaší distribuci Linuxu.

Kerberos 5

Kerberos je protokol pro autorizaci a autentizaci (více najdete na stránkách: http://web.mit.edu/Kerberos/). Kerio MailServer využívá tento protokol pro autentizaci uživatelů proti Kerberos serveru (např. v Active Directory).

Do položky v dialogu se zadává název oblasti (domény) systému Kerberos (Kerberos realm), v níž mají být uživatele ověřováni. Od verze Kerio MailServer 6.0.9 se jméno Kerberos oblasti automaticky zadává velkými písmeny.

Jsou-li uživatelské účty fyzicky uloženy v Active Directory nebo Open Directory (vizte záložku Adresářová služba), je třeba do této položky zadat jméno Active Directory případně Open Directory domény. Při konfiguraci Active Directory nebo Open Directory v záložce Adresářová služba bude tato položka automaticky vyplněna.

Upozornění

Pokud používáte Open Directory nebo samostatný Kerberos server, důkladně zkontrolujte, zda Kerberos realm doplněný v záložce Upřesnění je shodný s názvem Kerberos oblasti, který je uveden v souboru /Library/Preferences/edu.mit.Kerberos. Konkrétně musí souhlasit s hodnotou default_realm v tomto souboru. Příslušný řádek tedy může vypadat například takto default_realm = FIRMA.CZ

Nastavení ověřování na jednotlivých platformách je popsáno v kapitole 27  Ověřování přes Kerberos.

Doména Windows NT

NT doména, v níž budou uživatelé ověřováni. Počítač, na němž Kerio MailServer běží, musí být přidán do této domény.

Příklad:

Pro doménu firma.cz je NT doménou FIRMA.

Svázat s IP adresou

Každý uživatel se ke Kerio MailServeru může připojit přes libovolné rozhraní. Avšak každou doménu lze svázat s jednou IP adresou. Svázání IP adresy s doménou přinese ten efekt, že uživatelé z domény, kteří se připojí přes IP adresu svázanou s touto doménou, nemusejí při přihlašování uvádět uživatelské jméno včetně domény (například jnovak@firma.cz), ale stačí jej uvést samostatně (například jnovak), jako by se přihlašovali k primární doméně.

Správnou funkčnost svazování domén s IP adresou podmiňuje požadavek navázat nejvýše jednu doménu na každou IP adresu. V opačném případě server nepozná, do které domény uživatelské jméno bez domény patří.

Příklad: Počítač, na němž Kerio MailServer běží, má dvě rozhraní: 192.168.1.10 zapojené do sítě firmy Firma a 192.168.2.10 do sítě firmy JinaFirma. V lokální doméně jinafirma.cz (nejedná se o primární doménu) je vytvořen uživatelský účet novak.

Doména jinafirma.cz je svázána s IP adresou 192.168.2.10. Uživatelé z domény jinafirma.cz se mohou z firmy přihlašovat ke službám Kerio MailServeru uživatelským jménem bez uvedení domény.

Poznámka: Budou-li se přes toto rozhraní připojovat uživatelé z primární domény, budou se muset přihlašovat celou e-mailovou adresou.

Řešení případných problémů externího ověřování

Pokud nastane s některou z ověřovacích metod problém, lze v Kerio MailServeru nastavit záznam externího ověřování uživatelů:

  1. Otevřeme v Kerio Administration Console sekci Záznamy a vybereme záznam Debug.

  2. V okně záznamu pravým tlačítkem myši otevřeme kontextové menu a vybereme položku Zprávy.

  3. Otevře se okno Zaznamenávané informace, kde zaškrtneme volbu User Authentication.

  4. Změnu potvrdíme tlačítkem OK.

Po vyřešení problému doporučujeme logování opět vypnout.