27.2  Kerio MailServer na systému Linux

Ověřování proti Active Directory

Před nastavením přihlašování uživatelů do Linuxu přes Kerberos doporučujeme nejprve zkontrolovat správnou funkci ověřování proti doméně (přihlášením se do systému účtem definovaným v Active Directory).

Dále je nutno zajistit následující:

  1. Počítač s Kerio MailServerem musí mít nastavený jako primární DNS server doménový řadič Active Directory domény.

    Pokud konfigurace sítě vyžaduje ověřování proti více doménovým řadičům zároveň, přidáme jako DNS servery všechny doménové řadiče, proti kterým se bude Kerio MailServer ověřovat.

  2. Na počítači s Kerio MailServerem musí být synchronizován čas s Active Directory.

Dále je nutné pro správnou funkci ověřování nastavit soubor /etc/krb5.conf

Příklad nastavení souboru krb5.conf:

			 [logging] 
      default = FILE:/var/log/krb5libs.log 
      kdc = FILE:/var/log/krb5kdc.log 
      admin_server = FILE:/var/log/kadmind.log
			 
    [libdefaults] 
      ticket_lifetime = 24000 
      default_realm = FIRMA.CZ 
      dns_lookup_realm = false 
     dns_lookup_kdc = yes 

    [realms] 
     FIRMA.CZ = { 
      kdc = server.firma.cz
		    admin_server = server.firma.cz 
      default_domain = firma.cz
     } 

    [domain_realm]
		   .firma.cz = FIRMA.CZ 
     firma.cz = FIRMA.CZ 

    [kdc] 
     profile = /var/kerberos/krb5kdc/kdc.conf 

    [appdefaults] 
     pam = { 
      debug = false
		    ticket_lifetime = 36000 
      renew_lifetime = 36000 
      forwardable = true 
      krb4_convert = false 
     }

Pokud je ověřování proti Kerberos serveru plně funkční, potom je možné nastavit ověřování v Kerio MailServeru. Tato nastavení lze provést v sekci Konfigurace → Domény, v záložkách Adresářová služba a Upřesnění.

Ověřování proti Open Directory

Před nastavením přihlašování uživatelů do Linuxu přes Kerberos doporučujeme nejprve zkontrolovat správnou funkci ověřování proti doméně (přihlášením se do systému účtem definovaným v Open Directory). Pokud se toto nepodaří, zkontrolujte prosím následující:

  1. Kerio MailServer musí být členem Kerberos oblasti (Open Directory domény), proti které se ověřuje. Pokud Kerio MailServer nebude členem oblasti, pak Kerberos nebude fungovat a uživatelé budou muset používat lokální heslo — tedy jiné než mají nastaveno v doméně.

  2. počítač s Kerio MailServerem musí mít správně nastavenou službu DNS.

  3. na počítači s Kerio MailServerem musí být synchronizován čas s Open Directory.

Dále je nutné pro správnou funkci ověřování nastavit soubor /etc/krb5.conf

Příklad nastavení souboru krb5.conf:

			 [logging] 
      default = FILE:/var/log/krb5libs.log 
      kdc = FILE:/var/log/krb5kdc.log 
      admin_server = FILE:/var/log/kadmind.log
			 
    [libdefaults] 
      ticket_lifetime = 24000 
      default_realm = FIRMA.CZ 
      dns_lookup_realm = false 
     dns_lookup_kdc = yes 

    [realms] 
     FIRMA.CZ = { 
      kdc = server.firma.cz
		    admin_server = server.firma.cz 
      default_domain = firma.cz
     } 

    [domain_realm]
		   .firma.cz = FIRMA.CZ 
     firma.cz = FIRMA.CZ 

    [kdc] 
     profile = /var/kerberos/krb5kdc/kdc.conf 

    [appdefaults] 
     pam = { 
      debug = false
		    ticket_lifetime = 36000 
      renew_lifetime = 36000 
      forwardable = true 
      krb4_convert = false 
     }

Je-li ověřování proti Kerberos serveru plně funkční, potom je možné nastavit ověřování v Kerio MailServeru. Tato nastavení lze provést v sekci Konfigurace → Domény, v záložkách Adresářová služba a Upřesnění.

Ověřování proti samostatnému Kerberos serveru (KDC)

Chcete-li použít pro ověřování samostatný Kerberos server (Key Distribution Center), potom bude nutno udržovat databázi uživatelských jmen a hesel v Key Distribution Center i v Kerio MailServeru.

Před nastavením přihlašování uživatelů do Linuxu přes Kerberos doporučujeme nejprve zkontrolovat správnou funkci ověřování proti Kerberos oblasti (přihlášením se do systému účtem definovaným v Key Distribution Center. Pokud se toto nepodaří, zkontrolujte prosím následující:

  1. Kerio MailServer musí být členem Kerberos oblasti, proti které se ověřuje:

    • na stanici musí být nainstalován Kerberos klient,

    • jména a hesla všech uživatelů založených v Kerio MailServeru musí být definována v Key Distribution Center (pokud se mají ověřovat přes Kerberos).

  2. Počítač s Kerio MailServerem musí mít správně nastavenou službu DNS (Key Distribution Center se orientuje na základě DNS dotazů).

  3. Na počítači s Kerio MailServerem musí být synchronizován čas s Key Distribution Center (všechny počítače v Kerberos oblasti musí mít synchronizovaný čas).

Dále je nutné pro správnou funkci ověřování nastavit soubor /etc/krb5.conf

Příklad nastavení souboru krb5.conf:

			 [logging] 
      default = FILE:/var/log/krb5libs.log 
      kdc = FILE:/var/log/krb5kdc.log 
      admin_server = FILE:/var/log/kadmind.log
			 
    [libdefaults] 
      ticket_lifetime = 24000 
      default_realm = FIRMA.CZ 
      dns_lookup_realm = false 
     dns_lookup_kdc = yes 

    [realms] 
     FIRMA.CZ = { 
      kdc = server.firma.cz
		    admin_server = server.firma.cz 
      default_domain = firma.cz
     } 

    [domain_realm]
		   .firma.cz = FIRMA.CZ 
     firma.cz = FIRMA.CZ 

    [kdc] 
     profile = /var/kerberos/krb5kdc/kdc.conf 

    [appdefaults] 
     pam = { 
      debug = false
		    ticket_lifetime = 36000 
      renew_lifetime = 36000 
      forwardable = true 
      krb4_convert = false 
     }

Vyzkoušet si, že je Kerio MailServer schopen ověřovat se proti Key Distribution Center, je možné pomocí utility kinit. Stačí otevřít terminál (příkazovou řádku) a zadat následující příkaz:

kinit -S host/nazev_KMS@KERBEROS_REALM uzivatelske_jmeno

například:

kinit -S host/mail.firma.cz@FIRMA.CZ jnovak

Pokud dotaz proběhl v pořádku, budete požádáni o heslo zadaného uživatele. Pokud ne, jako odpověď bude doručeno chybové hlášení.

Teprve poté doporučujeme provést příslušná nastavení v Kerio MailServeru (více vizte kapitolu 7.7  Ověřování uživatelů z domény).