27.3  Kerio MailServer na systému Mac OS X

Ověřování proti Active Directory

Pokud je Kerio MailServer nainstalován na systému Mac OS X a uživatelské účty jsou mapovány z Active Directory, potom je nutno provést následující nastavení:

Konfigurace DNS

Aby se mohl systém Mac OS X připojit do Active Directory, nastavíme převod DNS jmen počítačů z Active Directory. Z tohoto důvodu nastavíme Active Directory jako primární DNS server:

Konfigurace DNS

Obrázek 27.3. Konfigurace DNS


  1. Otevřeme aplikaci System Preferences a klikneme na ikonku Network (vizte obrázek 27.3  Konfigurace DNS).

  2. Otevře se okno Network. V záložce TCP/IP doplníme do položky DNS servers IP adresu Active Directory serveru.

    Pokud konfigurace sítě vyžaduje ověřování proti více doménovým řadičům zároveň, potom přidáme jako DNS servery všechny doménové řadiče, proti kterým se bude Kerio MailServer ověřovat.

Připojení počítače s Kerio MailServerem do Active Directory domény

Počítač do Active Directory domény připojíme pomocí utility Directory Access (Applications → Utilities), která je standardní součástí systémů Apple Mac OS X. Konfigurace je následující:

  1. Otevřeme aplikaci Directory Access a zaškrtneme v záložce Services službu Active Directory (více vizte obrázek 27.4  Directory Access — záložka Services). Nejprve ovšem zadáme jméno a heslo pro ověření. Uživatel, který bude provádět v aplikaci změny, musí mít nastavena práva k administraci systému.

    Directory Access — záložka Services

    Obrázek 27.4. Directory Access — záložka Services


  2. Po zaškrtnutí služby klikneme na tlačítko Configure a do dialogu doplníme název Active Directory domény (vizte obrázek 27.5  Directory Access — konfigurace).

    Directory Access — konfigurace

    Obrázek 27.5. Directory Access — konfigurace


  3. Klikneme na tlačítko Bind a nastavíme jméno a heslo administrátora Active Directory, který může přidat počítač do Active Directory domény (vizte obrázek 27.6  Directory Access — zadání jména a hesla administrátora).

    Directory Access — zadání jména a hesla administrátora

    Obrázek 27.6. Directory Access — zadání jména a hesla administrátora


Je-li vše nastaveno správně, počítač se po několika vteřinách do domény úspěšně připojí.

Nastavení Kerberosu

Jakmile se Mac OS X úspěšně připojí k Active Directory doméně, vytvoří se v adresáři /Library/Preferences/ speciální soubor edu.mit.Kerberos. Přesvědčte se, že soubor byl vytvořen, a že byl vytvořen správně. Pro porovnání uvádíme následující příklad obsahu souboru:

# WARNING This file is automatically created by Active Directory 
# do not make changes to this file; 
# autogenerated from : /Active Directory/firma.cz 
# generation_id : 0 
[libdefaults] 
        default_realm = FIRMA.CZ
		  ticket_lifetime = 600 
        dns_fallback = no 
[realms]
        FIRMA.CZ = { 
                   kdc = server.firma.cz.:88 
                   admin_server = server.firma.cz. 
        } 

Vyzkoušet si, že Kerio MailServer je schopen ověřovat se proti Active Directory, je možné pomocí utility kinit. Stačí otevřít terminál (příkazovou řádku) a zadat následující příkaz:

kinit -S host/nazev_KMS@KERBEROS_REALM uzivatelske_jmeno

například:

kinit -S host/mail.firma.cz@FIRMA.CZ jnovak

Pokud dotaz proběhl v pořádku, budete požádáni o heslo zadaného uživatele. Pokud ne, jako odpověď bude doručeno chybové hlášení.

Ověřování proti Open Directory

Kerio MailServer je možno nainstalovat buď na stejný server, kde je umístěna také adresářová služba Apple Open Directory nebo je možno Kerio MailServer nainstalovat na jakýkoliv jiný server.

Je-li Kerio MailServer umístěn na stejném serveru jako Open Directory, potom není nutné kromě instalace Kerio Open Directory Extension provádět jakoukoliv další konfiguraci. Je-li však fyzicky umístěn na jiném stroji, pak je třeba nastavit externí ověřování přes Kerberos do Open Directory.

Kerio MailServer je možno nainstalovat na server se systémem Mac OS X 10.3 a vyšší. Nastavení probíhá na obou verzích systému velmi podobně. Z toho důvodu zde bude popsán postup pouze pro verzi Mac OS X 10.4 s tím, že případné odchylky nastavení na systému Mac OS X 10.3 budou explicitně zmíněny.

Nastavení externího ověřování se provádí pomocí speciální aplikace Directory Access, která se nachází v Applications → Utilities → Directory Access. Tato aplikace v podstatě slouží k vytvoření speciálního ověřovacího souboru edu.mit.Kerberos, který najdete v adresáři /Library/Preferences. Aby ověřování fungovalo správně, je třeba provést následující nastavení:

  1. Otevřeme aplikaci Directory Access.

  2. V první záložce Services zaškrtneme položku LDAPv3 (vizte obrázek 27.7  Directory Access — Výběr služby LDAP).

    Directory Access — Výběr služby LDAP

    Obrázek 27.7. Directory Access — Výběr služby LDAP


  3. V záložce Services označíme kurzorem položku LDAPv3 a stiskneme tlačítko Configure umístěné pod seznamem služeb.

  4. V dialogu, který se otevřel, najdeme tlačítko New a stiskneme ho.

  5. Otevře se okno pro zadání názvu nebo IP adresy serveru. Doplníme IP adresu nebo DNS název serveru, kde je spuštěna služba Apple Open Directory. Po zadání serveru klikneme v levém dolním rohu na tlačítko Manual (v systému Mac OS X 10.3 toto není potřeba) a doplníme libovolný název do pole Configuration name (položka slouží pouze pro lepší orientaci).

  6. Konfiguraci uložíme a v menu LDAP Mappings nastavíme Open Directory Server.

  7. Po zvolení Open Directory Server se automaticky otevře okno pro zadání přípony pro hledání (Search Base Suffix). Příponu pro hledání je třeba vyplnit tak, jak to zobrazuje příklad na obrázku 27.8  Directory Access — Nastavení serveru s Open Directory:

    od.firma.cz → dc=od,dc=firma,dc=cz

    Directory Access — Nastavení serveru s Open Directory

    Obrázek 27.8. Directory Access — Nastavení serveru s Open Directory


    Z výše uvedeného příkladu tedy vyplývá, že příponu je třeba vždy zapsat ve tvaru dc=subdomena,dc=domena. Kolik subdomén v názvu server obsahuje, tolik jich je nutno do přípony zapsat.

  8. Nyní je třeba nastavit serveru s Open Directory ověřování. K tomuto účelu nám dobře poslouží záložka Authentication (vizte obrázek 27.9  Directory Access — Nastavení ověřování).

    Directory Access — Nastavení ověřování

    Obrázek 27.9. Directory Access — Nastavení ověřování


  9. V menu Search musí být zvolena možnost Custom path.

  10. Do seznamu Directory Domains je třeba zadat název serveru s Open Directory. Klikneme na tlačítko Add. Aplikace Directory Access automaticky doplní název Open Directory, který jsme zadali v předchozí záložce. Nabídnutý název serveru stačí pouze potvrdit.

  11. Celé nastavení uložíme tlačítkem Apply.

Directory Access vytvoří v adresáři /Library/Preferences soubor edu.mit.Kerberos. Tento soubor je nutno zkontrolovat, zda jsou v něm uvedena správná data. Soubor by měl obsahovat následující parametry:

			 # WARNING This file is automatically created by Open Directory 
    # do not make changes to this file; 
    # autogenerated from : /Open Directory/firma.cz 
    # generation_id : 0 
    [libdefaults] 
           default_realm = FIRMA.CZ
			        ticket_lifetime = 600 
           dns_fallback = no 
    [realms]
           FIRMA.CZ = { 
                    kdc = server.firma.cz.:88 
                    admin_server = server.firma.cz. 
           } 

Vyzkoušet si, že je Kerio MailServer schopen ověřovat se proti Kerberos serveru, je možné pomocí utility kinit. Stačí otevřít terminál (příkazovou řádku) a zadat následující příkaz:

kinit -S host/KMS_hostname@KERBEROS_REALM username@REALM

například:

kinit -S host/od.firma.cz@FIRMA.CZ jnovak@FIRMA.CZ

Pokud dotaz proběhl v pořádku, budete požádáni o heslo zadaného uživatele. Pokud ne, jako odpověď bude doručeno chybové hlášení.

Nyní stačí provést nastavení v Kerio MailServeru:

  • V administrační konzoli Kerio MailServeru v sekci Domény nastavíme záložky Adresářová služba a Upřesnění (v poli Kerberos 5 musí být zadán realm Apple Open Directory).

    Upozornění

    Kerberos realm doplněný v záložce Upřesnění musí být shodný s názvem Kerberos oblasti, který je uveden v souboru /Library/Preferences/edu.mit.Kerberos. Konkrétně musí souhlasit s hodnotou default_realm v tomto souboru. Příslušný řádek tedy může vypadat například takto default_realm = FIRMA.CZ

  • V administrační konzoli Kerio MailServeru nastavíme uživatelským účtům typ ověřování Apple Open Directory.

Ověřování proti samostatnému Kerberos serveru (KDC)

Chcete-li použít pro ověřování samostatný Kerberos server (Key Distribution Center), potom bude nutno udržovat databázi uživatelských jmen a hesel v Key Distribution Center i v Kerio MailServeru.

Před nastavením přihlašování uživatelů do Kerio MailServeru přes Kerberos doporučujeme nejprve zkontrolovat správnou funkci ověřování proti Kerberos oblasti (přihlášením se do systému účtem definovaným v Key Distribution Center na počítači, kam budete Kerio MailServer instalovat. Pokud se toto nepodaří, zkontrolujte prosím následující:

  1. Kerio MailServer musí být členem Kerberos oblasti, proti které se ověřuje:

    • na stanici musí být nainstalován Kerberos klient,

    • jména a hesla všech uživatelů založených v Kerio MailServeru musí být definována v Key Distribution Center (pokud se mají ověřovat přes Kerberos).

  2. Počítač s Kerio MailServerem musí mít správně nastavenou službu DNS (Key Distribution Center se orientuje na základě DNS dotazů).

  3. Na počítači s Kerio MailServerem musí být synchronizován čas s Key Distribution Center (všechny počítače v Kerberos oblasti musí mít synchronizovaný čas).

Ověřit správnou funkci Kerberosu lze zkontrolováním souboru /Library/Preferences/edu.mit.Kerberos. Tento soubor by měl obsahovat následující parametry:

# WARNING This file is automatically created by KERBEROS 
# do not make changes to this file; 
# autogenerated from : /KERBEROS/firma.cz 
# generation_id : 0 
    [libdefaults] 
            default_realm = FIRMA.CZ
			   ticket_lifetime = 600 
            dns_fallback = no 
    [realms]
            FIRMA.CZ = { 
                     kdc = server.firma.cz.:88 
                     admin_server = server.firma.cz. 
           } 

Vyzkoušet si, že Kerio MailServer je schopen ověřovat se proti Kerberosu, je možné pomocí utility kinit. Stačí otevřít terminál (příkazovou řádku) a zadat následující příkaz:

kinit -S host/KMS_hostname@KERBEROS_REALM username@REALM

například:

kinit -S host/mail.firma.cz@FIRMA.CZ jnovak@FIRMA.CZ

Pokud dotaz proběhl v pořádku, budete požádáni o heslo zadaného uživatele. Pokud ne, jako odpověď bude doručeno chybové hlášení.

Potom teprve doporučujeme nastavit ověřování v Kerio MailServeru v sekci Konfigurace → Domény, v záložce Upřesnění (více vizte kapitolu 7.7  Ověřování uživatelů z domény).