V případě ověřování v Active Directory je třeba uvést název Active Directory domény v Kerio MailServeru. Toto lze nastavit v Kerio Administration Console v nastavení domény (vizte obrázek 27.1 Doplnění Active Directory domény do Kerio MailServeru).
Kromě uvedení názvu domény v dialogu Upřesnění (vizte obrázek 27.1 Doplnění Active Directory domény do Kerio MailServeru) je třeba zajistit aby:
Kerio MailServer byl členem domény, proti které se ověřuje. Pokud Kerio MailServer nebude členem domény, pak Kerberos nebude fungovat a uživatelé budou muset používat lokální heslo — tedy jiné než mají nastaveno v doméně.
Kerio MailServer používal jako primární DNS server doménový řadič (Active Directory Controller) — to by mělo být automaticky zajištěno přidáním počítače do domény (vizte bod 1).
Pokud konfigurace sítě vyžaduje ověřování proti více doménovým řadičům zároveň, potom přidáme jako DNS servery všechny doménové řadiče, proti kterým se bude Kerio MailServer ověřovat. V tomto případě je však vyžadována speciální konfigurace DNS serverů. Buď je třeba nastavit DNS servery tak, že si budou navzájem dotazy přeposílat (pokud daný dotaz není nalezen ve vlastní databázi, je přeposlán dalšímu doménovému řadiči) nebo musí mít všechny DNS servery nadřazený společný primární DNS server.
byl synchronizován čas Kerio MailServeru a Active Directory — to by mělo být automaticky zajištěno přidáním počítače do domény (vizte bod 1).
V případě ověřování v Open Directory je třeba uvést Kerberos realm v Kerio MailServeru (vizte obrázek 27.1 Doplnění Active Directory domény do Kerio MailServeru).
Kromě uvedení názvu Open Directory domény (Kerberos realm) v Kerio MailServeru je třeba zajistit aby:
byl Kerio MailServer členem Open Directory domény, proti které se ověřuje. Pokud Kerio MailServer nebude členem domény, pak Kerberos nebude fungovat a uživatelé budou muset používat lokální heslo — tedy jiné než mají nastaveno v doméně.
počítač s Kerio MailServerem měl správně nastavený DNS server (IP adresa nebo DNS jméno počítače, na kterém je spuštěn Apple Open Directory).
byl synchronizován čas Kerio MailServeru a Open Directory — to by mělo být automaticky zajištěno přidáním počítače do domény (vizte bod 1).
Chcete-li použít pro ověřování samostatný Kerberos server (Key Distribution Center), potom bude nutno udržovat databázi uživatelských jmen a hesel v Key Distribution Center i v Kerio MailServeru.
Kromě uvedení názvu Kerberos oblasti (Kerberos realm) v Kerio MailServeru (vizte obrázek 27.1 Doplnění Active Directory domény do Kerio MailServeru) je třeba zajistit následující:
Kerio MailServer musí být členem Kerberos oblasti, proti které se ověřuje. Jména a hesla všech uživatelů založených v Kerio MailServeru musí být definována v Key Distribution Center (pokud se mají ověřovat přes Kerberos).
Počítač s Kerio MailServerem musí mít správně nastavený DNS server (Key Distribution Center vyhledává na základě DNS dotazů).
Počítač s Kerio MailServerem musí mít synchronizován čas s Key Distribution Center (všechny počítače v Kerberos oblasti musí mít synchronizován čas).
Vyzkoušet si, že Kerio MailServer je schopen ověřovat se proti Key Distribution Center, je možné pomocí utility Kerbtray.
Kontrolu lze provést z počítače, kam budete instalovat Kerio MailServer. Ze systému MS Windows zkontrolujeme ověřování pomocí utility Kerbtray (vizte obrázek 27.2 Kerberos lístky zobrazené v aplikaci Kerbtray), která je k dispozici zdarma na stránkách firmy Microsoft. Pokud po instalaci a spuštění aplikace Kerbtray nenalezne žádné přidělené lístky (tickety), potom ověřování funkční není a je třeba jej v KDC nastavit a spustit.
Teprve poté doporučujeme nastavit ověřování v Kerio MailServeru v sekci , v záložce Upřesnění (více vizte kapitolu 7.7 Ověřování uživatelů z domény).