Pokud je Kerio MailServer nainstalován na systému Mac OS X a uživatelské účty jsou mapovány z Active Directory, potom je nutno provést následující nastavení:
Konfigurace DNS
Aby se mohl systém Mac OS X připojit do Active Directory, nastavíme převod DNS jmen počítačů z Active Directory. Z tohoto důvodu nastavíme Active Directory jako primární DNS server:
Otevřeme aplikaci System Preferences a klikneme na ikonku Network (vizte obrázek 27.3 Konfigurace DNS).
Otevře se okno Network. V záložce TCP/IP doplníme do položky DNS servers IP adresu Active Directory serveru.
Pokud konfigurace sítě vyžaduje ověřování proti více doménovým řadičům zároveň, potom přidáme jako DNS servery všechny doménové řadiče, proti kterým se bude Kerio MailServer ověřovat.
Připojení počítače s Kerio MailServerem do Active Directory domény
Počítač do Active Directory domény připojíme pomocí utility Directory Access (Applications → Utilities), která je standardní součástí systémů Apple Mac OS X. Konfigurace je následující:
Otevřeme aplikaci Directory Access a zaškrtneme v záložce Services službu Active Directory (více vizte obrázek 27.4 Directory Access — záložka Services). Nejprve ovšem zadáme jméno a heslo pro ověření. Uživatel, který bude provádět v aplikaci změny, musí mít nastavena práva k administraci systému.
Po zaškrtnutí služby klikneme na tlačítko Active Directory domény (vizte obrázek 27.5 Directory Access — konfigurace).
a do dialogu doplníme názevKlikneme na tlačítko Active Directory, který může přidat počítač do Active Directory domény (vizte obrázek 27.6 Directory Access — zadání jména a hesla administrátora).
a nastavíme jméno a heslo administrátoraJe-li vše nastaveno správně, počítač se po několika vteřinách do domény úspěšně připojí.
Nastavení Kerberosu
Jakmile se Mac OS X úspěšně připojí k Active
Directory doméně, vytvoří se v adresáři
/Library/Preferences/
speciální soubor
edu.mit.Kerberos
. Přesvědčte se, že soubor byl vytvořen, a
že byl vytvořen správně. Pro porovnání uvádíme následující příklad obsahu
souboru:
# WARNING This file is automatically created by Active Directory # do not make changes to this file; # autogenerated from : /Active Directory/firma.cz # generation_id : 0 [libdefaults] default_realm = FIRMA.CZ ticket_lifetime = 600 dns_fallback = no [realms] FIRMA.CZ = { kdc = server.firma.cz.:88 admin_server = server.firma.cz. }
Vyzkoušet si, že Kerio MailServer je schopen
ověřovat se proti Active Directory, je možné pomocí
utility kinit
. Stačí otevřít terminál (příkazovou řádku) a
zadat následující příkaz:
kinit -S host/nazev_KMS@KERBEROS_REALM
uzivatelske_jmeno
například:
kinit -S host/mail.firma.cz@FIRMA.CZ jnovak
Pokud dotaz proběhl v pořádku, budete požádáni o heslo zadaného uživatele. Pokud ne, jako odpověď bude doručeno chybové hlášení.
Kerio MailServer je možno nainstalovat buď na stejný server, kde je umístěna také adresářová služba Apple Open Directory nebo je možno Kerio MailServer nainstalovat na jakýkoliv jiný server.
Je-li Kerio MailServer umístěn na stejném serveru jako Open Directory, potom není nutné kromě instalace Kerio Open Directory Extension provádět jakoukoliv další konfiguraci. Je-li však fyzicky umístěn na jiném stroji, pak je třeba nastavit externí ověřování přes Kerberos do Open Directory.
Kerio MailServer je možno nainstalovat na server se systémem Mac OS X 10.3 a vyšší. Nastavení probíhá na obou verzích systému velmi podobně. Z toho důvodu zde bude popsán postup pouze pro verzi Mac OS X 10.4 s tím, že případné odchylky nastavení na systému Mac OS X 10.3 budou explicitně zmíněny.
Nastavení externího ověřování se provádí pomocí speciální aplikace
Directory Access, která se nachází
v . Tato aplikace v podstatě slouží k vytvoření
speciálního ověřovacího souboru edu.mit.Kerberos
, který
najdete v adresáři /Library/Preferences
. Aby ověřování
fungovalo správně, je třeba provést následující nastavení:
Otevřeme aplikaci Directory Access.
V první záložce Services zaškrtneme položku LDAPv3 (vizte obrázek 27.7 Directory Access — Výběr služby LDAP).
V záložce Services označíme kurzorem položku LDAPv3 a stiskneme tlačítko umístěné pod seznamem služeb.
V dialogu, který se otevřel, najdeme tlačítko New a stiskneme ho.
Otevře se okno pro zadání názvu nebo IP adresy serveru. Doplníme IP adresu nebo DNS název serveru, kde je spuštěna služba Apple Open Directory. Po zadání serveru klikneme v levém dolním rohu na tlačítko (v systému Mac OS X 10.3 toto není potřeba) a doplníme libovolný název do pole Configuration name (položka slouží pouze pro lepší orientaci).
Konfiguraci uložíme a v menu LDAP Mappings nastavíme Open Directory Server.
Po zvolení Open Directory Server se automaticky otevře okno pro zadání přípony pro hledání (Search Base Suffix). Příponu pro hledání je třeba vyplnit tak, jak to zobrazuje příklad na obrázku 27.8 Directory Access — Nastavení serveru s Open Directory:
od.firma.cz →
dc=od,dc=firma,dc=cz
Z výše uvedeného příkladu tedy vyplývá, že příponu je třeba
vždy zapsat ve tvaru dc=subdomena,dc=domena
. Kolik subdomén
v názvu server obsahuje, tolik jich je nutno do přípony zapsat.
Nyní je třeba nastavit serveru s Open Directory ověřování. K tomuto účelu nám dobře poslouží záložka Authentication (vizte obrázek 27.9 Directory Access — Nastavení ověřování).
V menu Search musí být zvolena možnost Custom path.
Do seznamu Directory Domains je třeba zadat název serveru s Open Directory. Klikneme na tlačítko . Aplikace Directory Access automaticky doplní název Open Directory, který jsme zadali v předchozí záložce. Nabídnutý název serveru stačí pouze potvrdit.
Celé nastavení uložíme tlačítkem
.
Directory Access vytvoří v adresáři
/Library/Preferences
soubor
edu.mit.Kerberos
. Tento soubor je nutno zkontrolovat, zda
jsou v něm uvedena správná data. Soubor by měl obsahovat následující
parametry:
# WARNING This file is automatically created by Open Directory # do not make changes to this file; # autogenerated from : /Open Directory/firma.cz # generation_id : 0 [libdefaults] default_realm = FIRMA.CZ ticket_lifetime = 600 dns_fallback = no [realms] FIRMA.CZ = { kdc = server.firma.cz.:88 admin_server = server.firma.cz. }
Vyzkoušet si, že je Kerio MailServer schopen
ověřovat se proti Kerberos serveru, je možné pomocí utility
kinit
. Stačí otevřít terminál (příkazovou řádku) a zadat
následující příkaz:
kinit -S host/KMS_hostname@KERBEROS_REALM
username@REALM
například:
kinit -S host/od.firma.cz@FIRMA.CZ
jnovak@FIRMA.CZ
Pokud dotaz proběhl v pořádku, budete požádáni o heslo zadaného uživatele. Pokud ne, jako odpověď bude doručeno chybové hlášení.
Nyní stačí provést nastavení v Kerio MailServeru:
V administrační konzoli Kerio MailServeru v sekci Domény nastavíme záložky Adresářová služba a Upřesnění (v poli Kerberos 5 musí být zadán realm Apple Open Directory).
Kerberos realm doplněný v záložce
Upřesnění musí být shodný s názvem Kerberos oblasti,
který je uveden v souboru
/Library/Preferences/edu.mit.Kerberos
. Konkrétně musí
souhlasit s hodnotou default_realm
v tomto
souboru. Příslušný řádek tedy může vypadat například takto
default_realm = FIRMA.CZ
V administrační konzoli Kerio MailServeru nastavíme uživatelským účtům typ ověřování Apple Open Directory.
Chcete-li použít pro ověřování samostatný Kerberos server (Key Distribution Center), potom bude nutno udržovat databázi uživatelských jmen a hesel v Key Distribution Center i v Kerio MailServeru.
Před nastavením přihlašování uživatelů do Kerio MailServeru přes Kerberos doporučujeme nejprve zkontrolovat správnou funkci ověřování proti Kerberos oblasti (přihlášením se do systému účtem definovaným v Key Distribution Center na počítači, kam budete Kerio MailServer instalovat. Pokud se toto nepodaří, zkontrolujte prosím následující:
Kerio MailServer musí být členem Kerberos oblasti, proti které se ověřuje:
na stanici musí být nainstalován Kerberos klient,
jména a hesla všech uživatelů založených v Kerio MailServeru musí být definována v Key Distribution Center (pokud se mají ověřovat přes Kerberos).
Počítač s Kerio MailServerem musí mít správně nastavenou službu DNS (Key Distribution Center se orientuje na základě DNS dotazů).
Na počítači s Kerio MailServerem musí být synchronizován čas s Key Distribution Center (všechny počítače v Kerberos oblasti musí mít synchronizovaný čas).
Ověřit správnou funkci Kerberosu lze zkontrolováním souboru
/Library/Preferences/edu.mit.Kerberos
. Tento soubor by měl
obsahovat následující parametry:
# WARNING This file is automatically created by KERBEROS # do not make changes to this file; # autogenerated from : /KERBEROS/firma.cz # generation_id : 0 [libdefaults] default_realm = FIRMA.CZ ticket_lifetime = 600 dns_fallback = no [realms] FIRMA.CZ = { kdc = server.firma.cz.:88 admin_server = server.firma.cz. }
Vyzkoušet si, že Kerio MailServer je schopen
ověřovat se proti Kerberosu, je možné pomocí utility kinit
.
Stačí otevřít terminál (příkazovou řádku) a zadat následující příkaz:
kinit -S host/KMS_hostname@KERBEROS_REALM
username@REALM
například:
kinit -S host/mail.firma.cz@FIRMA.CZ
jnovak@FIRMA.CZ
Pokud dotaz proběhl v pořádku, budete požádáni o heslo zadaného uživatele. Pokud ne, jako odpověď bude doručeno chybové hlášení.
Potom teprve doporučujeme nastavit ověřování v Kerio MailServeru v sekci , v záložce Upřesnění (více vizte kapitolu 7.7 Ověřování uživatelů z domény).