Postfix + Dovecot + Squirrelmail ja paikalliset käyttäjät - SME Networks

Sarjan yleinen hakemisto: Tietokoneverkot pk-yrityksille: Johdanto

Tämä artikkeli on jatkoa ja viimeinen minisarja:

• Squid + PAM -todennus CentOS 7: ssä.
• Paikallinen käyttäjien ja ryhmien hallinta
• NSD: n autoritaarinen DNS-palvelin + Shorewall
• Prosody IM ja paikalliset käyttäjät
  

Hei ystävät ja ystävät!

Los Harrastajat he haluavat oman postipalvelimen. He eivät halua käyttää palvelimia, joissa "yksityisyys" on kysymysmerkkien välissä. Palvelun toteuttamisesta pienellä palvelimellasi vastaava henkilö ei ole aiheen asiantuntija ja yrittää aluksi asentaa tulevan ja täydellisen sähköpostipalvelimen ytimen. Onko "yhtälöitä" tehdä täysi postipalvelin, on vähän vaikea ymmärtää ja soveltaa. 😉

Reunuksen merkinnät

• On oltava selvää, mitä toimintoja kukin Mailserveriin liittyvä ohjelma suorittaa. Aloitusoppaana annamme kokonaisen sarjan hyödyllisiä linkkejä ilmoitettuun tarkoitukseen, jossa he vierailevat.
• Täydellisen postipalvelun toteuttaminen manuaalisesti ja tyhjästä on väsyttävä prosessi, ellet kuulu "valittuihin", jotka suorittavat tämän tyyppisiä tehtäviä päivittäin. Postipalvelimen muodostavat - yleensä - erilaiset ohjelmat, jotka käsittelevät erikseen SMTP, POP / IMAP, Viestien paikallinen tallennus, tehtävien käsittely Roskapostista, Virustorjunta jne. Kaikkien näiden ohjelmien on oltava yhteydessä toisiinsa oikein.
• Ei ole olemassa yhtä kokoa kaikille tai "parhaita käytäntöjä" käyttäjien hallinnoinnissa. mihin ja miten viestejä tallennetaan tai miten kaikki komponentit toimivat yhtenä kokonaisuutena.
• Postipalvelimen kokoaminen ja virittäminen on yleensä haitallista esimerkiksi oikeuksien ja tiedostojen omistajien valinnassa, tietyn prosessin vastuuhenkilön valinnassa ja joissakin esoteerisissa määritystiedostoissa tehdyissä pienissä virheissä.
• Ellet tiedä hyvin, mitä olet tekemässä, lopputulos on epävarma tai hieman toimimaton postipalvelin. Se, että toteutuksen lopussa se ei toimi, on mahdollisesti vähiten pahuutta.
• Internetistä löytyy hyvä määrä reseptejä postipalvelimen tekemisestä. Yksi täydellisimmistä -hyvin henkilökohtaisesta mielestäni- on kirjoittajan tarjoama ivar abrahamsen kolmastoista painoksessa tammikuussa 2017 «Postipalvelimen määrittäminen GNU / Linux-järjestelmään".
• Suosittelemme myös lukemaan artikkelin «Postipalvelin Ubuntu 14.04: Postfix, Dovecot, MySQL«, tai «Postipalvelin Ubuntu 16.04: Postfix, Dovecot, MySQL".
• Totta. Paras asiakirja täältä löytyy englanniksi.
  • Vaikka emme koskaan tee Mailserveria uskollisesti Miten… Kuten edellisessä kappaleessa mainittiin, pelkästään sen noudattaminen vaihe vaiheelta antaa meille erittäin hyvän käsityksen siitä, mitä kohtaamme.
• Jos haluat saada täydellisen postipalvelimen vain muutamassa vaiheessa, voit ladata kuvan iRedOS-0.6.0-CentOS-5.5-i386.isotai etsi nykyaikaisempaa, olipa se iRedOS tai iRedMail. Se on tapa, jota suosittelen henkilökohtaisesti.

Aiomme asentaa ja konfiguroida:

• postfix palvelimena Mvalkosipuli Transport Aherrasmies (SMTP).
• Dovecot POP - IMAP-palvelimena.
• Sertifikaatit yhteyksille TLS.
• squirrelmail web-käyttöliittymänä käyttäjille.
• DNS-tietue suhteessa «Lähettäjän toimintakehys"Tai SPF.
• Moduulin luominen Diffie Hellman -ryhmä lisätä SSL-varmenteiden turvallisuutta.

Vielä on tehtävä:

Ainakin seuraavat palvelut jäävät toteuttamatta:

• Postharmaa: Postfix-palvelimen käytännöt harmaille listoille ja hylkää roskapostin.
  
• Amavisd-uusi: komentosarja, joka luo käyttöliittymän MTA: n, virustarkistimien ja sisältösuodattimien välille.
• Clamav Antivirus: virustorjuntaohjelma
• SpamAssassin: poista roskaposti
• Partaveitsi (pyzor): Roskapostin sieppaus hajautetun ja yhteistyöverkon kautta. Vipul Razor -verkko ylläpitää päivitettyä luetteloa roskapostin tai roskapostin levittämisestä.
• DNS - tietue "DomainKeys Identified Mail" tai dkim laajennus.

paketit postgrey, amavisd-new, clamav, spamassassin, partakone y pyzor Ne löytyvät ohjelman arkistoista. Löydämme myös ohjelman openkim.

• DNS-tietueiden "SPF" ja "DKIM" oikea ilmoittaminen on välttämätöntä, jos emme halua, että muut postipalvelut, kuten sähköpostipalvelimet, julistetaan vain ei-toivotuiksi tai roskapostin tai roskapostin tuottajiksi. gmail, Yäh, Hotmail, jne.

Alustavat tarkastukset

Muista, että tämä artikkeli on jatkoa muille, jotka alkavat vuonna Squid + PAM -todennus CentOS 7: ssä.

Ens32 LAN-liitäntä kytketty sisäiseen verkkoon

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan DNS1=127.0.0.1
ZONE = julkinen

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

Ens34 WAN-liitäntä kytketty Internetiin

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE=ens34 ONBOOT=kyllä ​​BOOTPROTO=staattinen HWADDR=00:0c:29:da:a3:e7 NM_CONTROLLED=ei IPADDR=172.16.10.10 NETMASK=255.255.255.0 # ADSL-reititin ja # tämä liitäntä # on kytketty seuraavaan osoitteeseen IP GATEWAY=172.16.10.1 DOMAIN=desdelinux.fan DNS1=127.0.0.1
ZONE = ulkoinen

DNS-tarkkuus lähiverkosta

[root@linuxbox ~]# cat /etc/resolv.conf 
search desdelinux.fan
nameserver 127.0.0.1
nameserver 172.16.10.30

[root@linuxbox ~]# host mail
email.desdelinux.fan on linuxboxin alias.desdelinux.tuuletin. linuxbox.desdelinux.fanin osoite on 192.168.10.5 linuxbox.desdelinux.fanipostia käsittelee 1 posti.desdelinux.tuuletin.

[root@linuxbox ~]# host mail.desdelinux.tuuletin
email.desdelinux.fan on linuxboxin alias.desdelinux.tuuletin. linuxbox.desdelinux.fanin osoite on 192.168.10.5 linuxbox.desdelinux.fanipostia käsittelee 1 posti.desdelinux.tuuletin.

DNS-tarkkuus Internetistä

buzz@sysadmin:~$ host mail.desdelinux.fan 172.16.10.30
Using domain server:
Name: 172.16.10.30
Address: 172.16.10.30#53
Aliases: 

mail.desdelinux.fan is an alias for desdelinux.tuuletin.
desdelinux.fanin osoite on 172.16.10.10
desdelinux.fanipostia käsittelee 10 posti.desdelinux.tuuletin.

Problemas al resolver localmente el nombre de host «desdelinux.tuuletin"

Jos sinulla on ongelmia isäntänimen selvittämisessä «desdelinux.tuuletin"alkaen LAN, yritä kommentoida tiedostorivi /etc/dnsmasq.conf missä se ilmoitetaan local=/desdelinux.fan/. Käynnistä sitten Dnsmasq uudelleen.

[root @ linuxbox ~] # nano /etc/dnsmasq.conf # Kommentoi alla olevaa riviä:
# local=/desdelinux.fan/

[root @ linuxbox ~] # service dnsmasq käynnistä uudelleen
Uudelleenohjaus kohtaan / bin / systemctl käynnistä dnsmasq.service uudelleen

[root @ linuxbox ~] # service dnsmasq -tila

[root@linuxbox ~]# host desdelinux.tuuletin
desdelinux.fanin osoite on 172.16.10.10
desdelinux.fanipostia käsittelee 10 posti.desdelinux.tuuletin.

Postfix ja Dovecot

Postfixin ja Dovecotin erittäin laaja dokumentaatio löytyy osoitteesta:

[root @ linuxbox ~] # ls /usr/share/doc/postfix-2.10.1/
bounce.cf.default LISENSSILUETTELO-Postfix-SASL-RedHat.txt-YHTEENSOPIVUUS main.cf.default TLS_ACKNOWLEDGEMENTS -esimerkkejä README_FILES TLS_LICENSE

[root @ linuxbox ~] # ls /usr/share/doc/dovecot-2.2.10/
TEKIJÄT COPYING.MIT dovecot-openssl.cnf UUTISET wiki KOPIOINTI ChangeLog example-config README COPYING.LGPL dokumentaatio.txt mkcert.sh solr-schema.xml

CentOS 7: ssä Postfix MTA asennetaan oletuksena, kun valitsemme infrastruktuuripalvelimen vaihtoehdon. Meidän on varmistettava, että SELinux-konteksti sallii kirjoittamisen Potfixiin paikallisessa viestijonossa:

[root @ linuxbox ~] # getsebool -a | grep postfix
postfix_local_write_mail_spool -> on

Palomuurin muutoksetD

Käyttämällä graafista käyttöliittymää palomuurin määrittämiseen meidän on taattava, että seuraavat palvelut ja portit ovat käytössä jokaiselle vyöhykkeelle:

# ------------------------------------------------- -----
# Korjaa palomuuriD
# ------------------------------------------------- -----
# Palomuuri
# Julkinen vyöhyke: http, https, imap, pop3, smtp-palvelut
# Julkinen alue: portit 80, 443, 143, 110, 25

# Ulkoinen vyöhyke: http, https, imap, pop3s, smtp-palvelut
# Ulkoinen vyöhyke: portit 80, 443, 143, 995, 25

Asennamme Dovecot ja tarvittavat ohjelmat

[root @ linuxbox ~] # yum asenna dovecot mod_ssl procmail telnet

Pienin Dovecot-kokoonpano

[root @ linuxbox ~] # nano /etc/dovecot/dovecot.conf
protokollat =imap pop3 lmtp
kuunnella =*, ::
sisäänkirjautumistervehdys = Dovecot on valmis!

Poistamme nimenomaisesti Dovecotin selkokielisen todennuksen:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-auth.conf 
disable_plaintext_auth = kyllä

Julistamme ryhmälle tarvittavat oikeudet vuorovaikutukseen Dovecotin kanssa ja viestien sijainnin:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-mail.conf
mail_location = mbox: ~ / mail: INBOX = / var / mail /% u
mail_privileged_group = posti
mail_access_groups = posti

Sertifikaatit Dovecotille

Dovecot luo testivarmenteet automaattisesti tiedostossa olevien tietojen perusteella /etc/pki/dovecot/dovecot-openssl.cnf. Jotta uudet sertifikaatit luodaan vaatimusten mukaisesti, meidän on suoritettava seuraavat vaiheet:

[root @ linuxbox ~] # cd / etc / pki / dovecot /
[root @ linuxbox dovecot] # nano dovecot-openssl.cnf
[ req ]
default_bits = 1024
encrypt_key = yes
distinguished_name = req_dn
x509_extensions = cert_type
prompt = no
[ req_dn ]
# country (2 letter code)
C=CU
# State or Province Name (full name)
ST=Cuba
# Locality Name (eg. city)
L=Habana
# Organization (eg. company)
O=DesdeLinux.Fan
# Organizational Unit Name (eg. section)
OU=Entusiastas
# Common Name (*.example.com is also possible)
CN=*.desdelinux.fan
# E-mail contact
emailAddress=buzz@desdelinux.fan
[ cert_type ]
nsCertType = server

Poistamme testitodistukset

[root @ linuxbox dovecot] # rm certs / dovecot.pem 
rm: poistetaanko tavallinen tiedosto "certs / dovecot.pem"? (kyllä ​​/ ei) y
[root @ linuxbox dovecot] # rm private / dovecot.pem 
rm: poistetaanko tavallinen tiedosto "private / dovecot.pem"? (kyllä ​​/ ei) y

Kopioimme ja toteutamme käsikirjoituksen mkcert.sh dokumentaatiohakemistosta

[root @ linuxbox dovecot] # cp /usr/share/doc/dovecot-2.2.10/mkcert.sh. [root @ linuxbox dovecot] # bash mkcert.sh 
Generating a 1024 bit RSA private key
......++++++
................++++++
writing new private key to '/etc/pki/dovecot/private/dovecot.pem'
-----
subject= /C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiastas/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan
SHA1 Fingerprint=5F:4A:0C:44:EC:EC:EF:95:73:3E:1E:37:D5:05:F8:23:7E:E1:A4:5A

[root @ linuxbox dovecot] # ls -l sertifikaatit /
yhteensä 4 -rw -------. 1 juurijuuri 1029 22. toukokuuta 16:08 dovecot.pem
[root @ linuxbox dovecot] # ls -l yksityinen /
yhteensä 4 -rw -------. 1 juurijuuri 916 22. toukokuuta 16:08 dovecot.pem

[root @ linuxbox dovecot] # service dovecot käynnistyy uudelleen
[root @ linuxbox dovecot] # palvelun dovecot-tila

Sertifikaatit Postfixille

[root@linuxbox ~]# cd /etc/pki/tls/
[root@linuxbox tls]# openssl req -sha256 -x509 -nodes -newkey rsa:4096 -days 1825 \
-out certs/desdelinux.fan.crt -keyout private/desdelinux.fan.key

Generating a 4096 bit RSA private key
.........++
..++
writing new private key to 'private/dominio.tld.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CU
State or Province Name (full name) []:Cuba
Locality Name (eg, city) [Default City]:Habana
Organization Name (eg, company) [Default Company Ltd]:DesdeLinux.Fan
Organizational Unit Name (eg, section) []:Entusiastas
Common Name (eg, your name or your server's hostname) []:desdelinux.fan Sähköpostiosoite []:buzz@desdelinux.tuuletin

Pienin Postfix-kokoonpano

Lisätään tiedoston loppuun / Etc / aliases seuraava:

juuri: buzz

Muutosten voimaantulemiseksi suoritamme seuraavan komennon:

[root @ linuxbox ~] # newaliaasia

Postifx-määritykset voidaan tehdä muokkaamalla tiedostoa suoraan /etc/postfix/main.cf tai komennolla postconf -e huolehtimalla siitä, että kaikki parametrit, joita haluamme muokata tai lisätä, näkyvät konsolin yhdellä rivillä:

• Jokaisen on ilmoitettava ymmärrettävät ja tarvitsemansa vaihtoehdot!.

[root@linuxbox ~]# postconf -e 'myhostname = desdelinux.fan'
[root@linuxbox ~]# postconf -e 'mydomain = desdelinux.fan'
[root @ linuxbox ~] # postconf -e 'myorigin = $ mydomain'
[root @ linuxbox ~] # postconf -e 'inet_interfaces = kaikki'
[root @ linuxbox ~] # postconf -e 'mydestination = $ myhostname, localhost. $ mydomain, localhost, $ mydomain, mail. $ mydomain, www. $ mydomain, ftp. $ mydomain'

[root @ linuxbox ~] # postconf -e 'mynetworks = 192.168.10.0/24, 172.16.10.0/24, 127.0.0.0/8'
[root @ linuxbox ~] # postconf -e 'mailbox_command = / usr / bin / procmail -a "$ Laajennus"'
[root @ linuxbox ~] # postconf -e 'smtpd_banner = $ myhostname ESMTP $ postinimi ($ mail_version)'

Lisätään tiedoston loppuun /etc/postfix/main.cf alla annetut vaihtoehdot. Jokaisen merkityksen tuntemiseksi suosittelemme lukemaan mukana olevat asiakirjat.

biff = ei
append_dot_mydomain = ei
viive_varoitusaika = 4h
readme_directory = ei
smtpd_tls_cert_file=/etc/pki/certs/desdelinux.fan.crt
smtpd_tls_key_file=/etc/pki/private/desdelinux.fan.key
smtpd_use_tls = yes
smtpd_tls_session_cache_database = btree: $ {data_directory} / smtpd_scache
smtp_tls_session_cache_database = btree: $ {data_directory} / smtp_scache
smtpd_relay_restrictions = allow_mynetworks allow_sasl_authenticated defer_unauth_destination

# Postilaatikon enimmäiskoko 1024 megatavua = 1 g ja g
mailbox_size_limit = 1073741824

vastaanottaja_raja = +
maximal_queue_lifetime = 7 p
header_checks = regexp: / etc / postfix / header_checks
body_checks = regexp: / etc / postfix / body_checks

# Tilit, jotka lähettävät kopion saapuvasta postista toiselle tilille
recipient_bcc_maps = hash: / etc / postfix / accounts_ forwarding_copy

Seuraavat rivit ovat tärkeitä sen määrittämiseksi, kuka voi lähettää sähköpostia ja välittää muita palvelimia, jotta emme määritä vahingossa "avointa välitystä", joka sallii valtuuttamattomien käyttäjien lähettää sähköpostia. Meidän on käytettävä Postfix-ohjesivuja ymmärtämään, mitä kukin vaihtoehto tarkoittaa.

• Jokaisen on ilmoitettava ymmärrettävät ja tarvitsemansa vaihtoehdot!.

smtpd_helo_restrictions = allow_mynetworks,
 warn_if_reject reject_non_fqdn_hostname,
 reject_invalid_hostname,
 sallia

smtpd_sender_restrictions = allow_sasl_authenticated,
 load_mynetworks,
 warn_if_reject reject_non_fqdn_sender,
 reject_unknown_sender_domain,
 reject_unauth_pipelining,
 sallia

smtpd_client_restrictions = reject_rbl_client sbl.spamhaus.org,
 reject_rbl_client blackholes.easynet.nl

# HUOMAUTUS: Vaihtoehto "check_policy_service inet: 127.0.0.1: 10023"
# mahdollistaa Postgrey-ohjelman, eikä meidän pitäisi sisällyttää sitä
# muuten aiomme käyttää Postgreyä

smtpd_recipient_restrictions = reject_unauth_pipelining,
 load_mynetworks,
 allow_sasl_authenticated,
 reject_non_fqdn_recipient,
 reject_unknown_recipient_domain,
 reject_unauth_destination,
 check_policy_service inet: 127.0.0.1: 10023,
 sallia

smtpd_data_restrictions = reject_unauth_pipelining

smtpd_relay_restrictions = reject_unauth_pipelining,
 load_mynetworks,
 allow_sasl_authenticated,
 reject_non_fqdn_recipient,
 reject_unknown_recipient_domain,
 reject_unauth_destination,
 check_policy_service inet: 127.0.0.1: 10023,
 sallia
 
smtpd_helo_required = kyllä
smtpd_delay_reject = kyllä
disable_vrfy_command = kyllä

Luomme tiedostot / etc / postfix / body_checks y / etc / postfix / accounts_forwarding_copyja muokkaamme tiedostoa / etc / postfix / header_checks.

• Jokaisen on ilmoitettava ymmärrettävät ja tarvitsemansa vaihtoehdot!.
  

[root @ linuxbox ~] # nano / etc / postfix / body_checks
# Jos tätä tiedostoa muokataan, postikarttaa ei tarvitse suorittaa # # Testaa säännöt suorittamalla pääkäyttäjänä: # postmap -q 'super new v1agra' regexp: / etc / postfix / body_checks
# Pitäisi palata: # Hylkää säännön nro 2 roskapostin esto
/ viagra / Hylkää sääntö # 1 Viestirungon roskapostin torjunta
/ super new v [i1] agra / Hylkää säännön nro 2 roskapostin esto

[root @ linuxbox ~] # nano / etc / postfix / accounts_ forwarding_copy
# Muokkaamisen jälkeen sinun on suoritettava: # postmap / etc / postfix / accounts_ forwarding_copy
# ja tiedosto luodaan tai mitataan: # /etc/postfix/accounts_forwarding_copy.db
# ------------------------------------------
# UNA sola cuenta para reenviar una copia BCC
# BCC = Black Carbon Copy
# Ejemplo:
# webadmin@desdelinux.fan buzz@desdelinux.tuuletin

[root @ linuxbox ~] # postmap / etc / postfix / accounts_ forwarding_copy

[root @ linuxbox ~] # nano / etc / postfix / header_checks
# Lisää tiedoston loppuun # EI VAADI Postmapia, koska ne ovat säännöllisiä lausekkeita
/ ^ Aihe: =? Big5? / Hylkää kiinalainen koodaus, jota tämä palvelin ei hyväksy
/ ^ Aihe: =? EUC-KR? / Hylkää korealainen koodaus, jota tämä palvelin ei salli
/ ^ Aihe: ADV: / Hylkää tämä palvelin ei hyväksy mainoksia
/^From :.*\@.*\.cn/ Hylkää Valitettavasti kiinalaista postia ei sallita täällä
/^From :.*\@.*\.kr/ Hylkää Valitettavasti korealaista postia ei sallita täällä
/^From :.*\@.*\.tr/ Hylkää Valitettavasti turkkilaista postia ei sallita täällä
/^From :.*\@.*\.ro/ Hylkää Valitettavasti romanialaista postia ei sallita täällä
/^(Vastaanotettu|Message-Id|X-(Mailer|Sender)):.*\b(AutomaMail|E-Broadcaster|Emailer Platinum | Thunder Server | eMarksman | Extractor | e-Merge | stealth [^.] | Global Messenger | GroupMaster | Mailcast | MailKing | Match10 | MassE-Mail | massmail \ .pl | News Breaker | Powermailer | Quick Shot | Ready Aim Fire | WindoZ | WorldMerge | Yourdora | Lite) \ b / Hylkää Ei massapostittajia sallittu.
/ ^ Lähettäjä: "spammer / Hylkää
/ ^ Lähettäjä: "spam / Hylkää
/^Aihe :.*viagra/ HÄVITÄ
# Vaaralliset laajennukset
/ name = [^> Iluminación * \. (lepakko | cmd | exe | com | pif | reg | scr | vb | vbe | vbs) / Hylkää Hylkää Emme hyväksy liitteitä näillä laajennuksilla

Tarkistamme syntaksin, käynnistämme Apache ja Postifx uudelleen ja otamme Dovecot käyttöön ja käynnistämme sen

[root @ linuxbox ~] # postfix-tarkistus
[root @ linuxbox ~] #

[root @ linuxbox ~] # systemctl käynnistä httpd uudelleen
[root @ linuxbox ~] # systemctl-tila httpd

[root @ linuxbox ~] # systemctl käynnistä postfix uudelleen
[root @ linuxbox ~] # systemctl-tilan jälkikorjaus

[root @ linuxbox ~] # systemctl-tila dovecot
● dovecot.service - Dovecot IMAP / POP3 -sähköpostipalvelin Ladattu: ladattu (/usr/lib/systemd/system/dovecot.service; poistettu käytöstä; toimittajan esiasetus: poistettu käytöstä) Aktiivinen: passiivinen (kuollut)

[root @ linuxbox ~] # systemctl ota käyttöön dovecot
[root @ linuxbox ~] # systemctl Käynnistä dovecot
[root @ linuxbox ~] # systemctl käynnistä dovecot uudelleen
[root @ linuxbox ~] # systemctl-tila dovecot

Konsolitason tarkastukset

• Ennen kuin jatkat muiden ohjelmien asennusta ja määritystä, on erittäin tärkeää tarkistaa SMTP- ja POP-palvelujen vähimmäistarkastukset.

Paikallinen itse palvelimelta

Lähetämme sähköpostin paikalliselle käyttäjälle Legolas.

[root @ linuxbox ~] # echo "Hei. Tämä on testiviesti" | mail -s "Test" legolas

Tarkistamme postilaatikon Legolas.

[root @ linuxbox ~] # openssl s_client -crlf -yhteys 127.0.0.1:110 -starttls pop3

Viestin jälkeen Dovecot on valmis! jatkamme:

---
+ OK Dovecot on valmis!
USER legolas
+OK
PASS legolas
+OK Logged in.
STAT
+OK 1 559
LIST
+OK 1 messages:
1 559
.
RETR 1
+OK 559 octets
Return-Path: <root@desdelinux.fan>
X-Original-To: legolas
Delivered-To: legolas@desdelinux.fan
Received: by desdelinux.fan (Postfix, from userid 0)
    id 7EA22C11FC57; Mon, 22 May 2017 10:47:10 -0400 (EDT)
Date: Mon, 22 May 2017 10:47:10 -0400
To: legolas@desdelinux.fan
Subject: Prueba
User-Agent: Heirloom mailx 12.5 7/5/10
MIME-Version: 1.0
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: 7bit
Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan>
From: root@desdelinux.fan (root)

Hola. Este es un mensaje de prueba
.
QUIT
DONE
[root @ linuxbox ~] #

Kauko-ohjaimet lähiverkossa olevasta tietokoneesta

Lähetetään uusi viesti Legolas toisesta lähiverkon tietokoneesta. Huomaa, että TLS-suojaus EI ole ehdottoman välttämätöntä pk-yritysverkossa.

buzz @ sysadmin: ~ $ sendemail -f buzz@deslinux.fan \
-t legolas@desdelinux.tuuletin\
-u "Hei" \
-m "Terveisiä Legolas ystäväsi Buzzilta" \
-s mail.desdelinux.fan -o tls=no
22. toukokuuta 10:53:08 sysadmin sendemail [5866]: Sähköpostin lähetys onnistui!

Jos yritämme muodostaa yhteyden telnet Lähiverkossa olevasta isännästä - tai tietysti Internetistä - Dovecotiin tapahtuu seuraava, koska poistamme selkeän tekstin todennuksen käytöstä:

buzz@sysadmin:~$ telnet mail.desdelinux.fan 110Trying 192.168.10.5...
Connected to linuxbox.desdelinux.fan.
Escape character is '^]'.
+OK ¡Dovecot está Listo!
user legolas
-ERR [AUTH] Pelkän tekstin todennus on kielletty suojaamattomissa (SSL / TLS) -yhteyksissä.
lopeta + OK Uloskirjautuminen Ulkomainen isäntä on sulkenut yhteyden.
buzz @ sysadmin: ~ $

Meidän on tehtävä se läpi openssl. Komennon täydellinen ulostulo olisi:

buzz@sysadmin:~$ openssl s_client -crlf -connect mail.desdelinux.fan:110 -starttls pop3
CONNECTED (00000003)
depth=0 C = CU, ST = Cuba, L = Habana, O = DesdeLinux.Fan, OU = Entusiastas, CN = *.desdelinux.fan, emailAddress = buzz@desdelinux.tuuletin
vahvista virhe: num = 18: itse allekirjoitettu varmenne vahvista palautus: 1
depth=0 C = CU, ST = Cuba, L = Habana, O = DesdeLinux.Fan, OU = Entusiastas, CN = *.desdelinux.fan, emailAddress = buzz@desdelinux.fan
verify return:1
---
Certificate chain
 0 s:/C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiastas/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan
   i:/C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiastas/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan
---
Server certificate
-----BEGIN CERTIFICATE-----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=
-----END CERTIFICATE-----
subject=/C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiastas/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan
issuer=/C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiastas/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan
---
No client certificate CA names sent
Server Temp Key: ECDH, secp384r1, 384 bits
---
SSL handshake has read 1342 bytes and written 411 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 1024 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: C745B4A0236204E16234CB15DC9CDBC3D084125FF5989F5DB6C5295BF4E2D73A
    Session-ID-ctx: 
    Master-Key: 1904D204C564B76361CEA50373F8879AF793AF7D7506C04473777F6F3503A9FD919CD1F837BC67BFF29E309F352526F5
    Key-Arg   : None
    Krb5 Principal: None
    PSK identity: None
    PSK identity hint: None
    TLS session ticket lifetime hint: 300 (seconds)
    TLS session ticket:
    0000 - 4e 3a f8 29 7a 4f 63 72-ee f7 a6 4f fc ec 7e 1c   N:.)zOcr...O..~.
    0010 - 2c d4 be a8 be 92 2e ae-98 7e 87 6d 45 c5 17 a8   ,........~.mE...
    0020 - db 3a 86 80 df 8b dc 8d-f8 1f 68 6e db a7 e3 86   .:........hn....
    0030 - 08 35 e5 eb 98 b8 a4 98-68 b1 ea f7 72 f7 c1 79   .5......h...r..y
    0040 - 89 4a 28 e3 85 a4 8b da-e9 7a 29 c7 77 bf 22 0d   .J(......z).w.".
    0050 - bd 5c f6 61 8c a1 14 bd-cb 31 27 66 7a dc 51 28   .\.a.....1'fz.Q(
    0060 - b7 de 35 bd 2b 0f d4 ec-d3 e0 14 c8 65 03 b1 35   ..5.+.......e..5
    0070 - 38 34 f8 de 48 da ae 31-90 bd f6 b0 e6 9c cf 19   84..H..1........
    0080 - f5 42 56 13 88 b0 8c db-aa ee 5a d7 1b 2c dd 71   .BV.......Z..,.q
    0090 - 7a f1 03 70 90 94 c9 0a-62 e5 0f 9c bf dc 3c a0   z..p....b.....<.

    Start Time: 1495484262
    Timeout   : 300 (sec)
    Verify return code: 18 (self signed certificate)
---
+ OK Dovecot on valmis!
KÄYTTÄJÄ legolas
+ OK
PASS legolas
+ OK kirjautunut sisään.
LIST
+ OK 1 viestit: 1 1021.
RETR 1
+OK 1021 octets
Return-Path: <buzz@deslinux.fan>
X-Original-To: legolas@desdelinux.fan
Delivered-To: legolas@desdelinux.fan
Received: from sysadmin.desdelinux.fan (gateway [172.16.10.1])
    by desdelinux.fan (Postfix) with ESMTP id 51886C11E8C0
    for <legolas@desdelinux.fan>; Mon, 22 May 2017 15:09:11 -0400 (EDT)
Message-ID: <919362.931369932-sendEmail@sysadmin>
From: "buzz@deslinux.fan" <buzz@deslinux.fan>
To: "legolas@desdelinux.fan" <legolas@desdelinux.fan>
Subject: Hola
Date: Mon, 22 May 2017 19:09:11 +0000
X-Mailer: sendEmail-1.56
MIME-Version: 1.0
Content-Type: multipart/related; boundary="----MIME delimiter for sendEmail-365707.724894495"

This is a multi-part message in MIME format. To properly display this message you need a MIME-Version 1.0 compliant Email program.

------MIME delimiter for sendEmail-365707.724894495
Content-Type: text/plain;
        charset="iso-8859-1"
Content-Transfer-Encoding: 7bit

Saludos Legolas de tu amigo Buzz

------MIME delimiter for sendEmail-365707.724894495--
.
PALUU
+ OK Uloskirjautuminen. suljettu
buzz @ sysadmin: ~ $

squirrelmail

squirrelmail on web-asiakas, joka on kirjoitettu kokonaan PHP: llä. Se sisältää alkuperäisen PHP-tuen IMAP- ja SMTP-protokollille ja tarjoaa parhaan yhteensopivuuden käytössä olevien selainten kanssa. Se toimii oikein missä tahansa IMAP-palvelimessa. Siinä on kaikki toiminnot, joita tarvitset sähköpostiohjelmasta, mukaan lukien MIME-tuki, osoitekirja ja kansionhallinta.

[root @ linuxbox ~] # yum asenna orava
[root @ linuxbox ~] # service httpd käynnistä uudelleen

[root @ linuxbox ~] # nano /etc/squirrelmail/config.php
$domain            = 'desdelinux.fan';
$imapServerAddress   = 'mail.desdelinux.fan';
$ imapPort = 143;
$smtpServerAddress   = 'desdelinux.fan';

[root @ linuxbox ~] # service httpd lataa uudelleen

DNS-lähetyskäytännön kehystyö tai SPF-tietue

Artikkelissa NSD: n autoritaarinen DNS-palvelin + Shorewall vimos en que la Zona «desdelinux.fan» quedaba configurada de la forma siguiente:

root@ns:~# nano /etc/nsd/desdelinux.fan.zone
$ORIGIN desdelinux.fan.
$TTL 3H
@       IN      SOA     ns.desdelinux.fan.      root.desdelinux.fan. (
                                        1       ; serial
                                        1D      ; refresh
                                        1H      ; retry
                                        1W      ; expire
                                        3H )    ; minimum or
                                                ; Negative caching time to live
;
@       IN      NS      ns.desdelinux.fan.
@       IN      MX      10 mail.desdelinux.tuuletin.
@       IN      TXT     "v=spf1 a:mail.desdelinux.fan -all"
;
; Registro para resolver consultas dig desdelinux.fan
@       IN      A       172.16.10.10
;
ns      IN      A       172.16.10.30
mail    IN      CNAME   desdelinux.fan.
chat    IN      CNAME   desdelinux.fan.
www     IN      CNAME   desdelinux.fan.
;
; Registros SRV relativos al XMPP
_xmpp-server._tcp IN SRV  0 0 5269 desdelinux.fan.
_xmpp-client._tcp   IN SRV  0 0 5222 desdelinux.fan.
_jabber._tcp        IN SRV  0 0 5269 desdelinux.tuuletin.

Siinä rekisteri ilmoitetaan:

@       IN      TXT     "v=spf1 a:mail.desdelinux.fan -all"

Jotta sama parametri olisi määritetty SME-verkolle tai lähiverkolle, meidän on muutettava Dnsmasq-määritystiedostoa seuraavasti:

# Registros TXT. Podemos declarar también un registro SPF
txt-record=desdelinux.fan,"v=spf1 a:mail.desdelinux.fan -all"

Sitten käynnistämme palvelun uudelleen:

[root @ linuxbox ~] # service dnsmasq käynnistä uudelleen
[root@linuxbox ~]# service dnsmasq status

[root@linuxbox ~]# host -t TXT mail.desdelinux.fan
mail.desdelinux.fan is an alias for desdelinux.tuuletin.
desdelinux.fan descriptive text "v=spf1 a:mail.desdelinux.fan -all"

Itse allekirjoitetut varmenteet ja Apache tai httpd

Vaikka selaimesi kertoo sinulle, että « email.desdelinux.tuuletin Olet määrittänyt verkkosivustosi väärin. Estääksesi tietojesi varastamisen, Firefox ei ole muodostanut yhteyttä tähän verkkosivustoon ”, aiemmin luotu varmenne Se on voimassaja antaa asiakkaan ja palvelimen välisten kirjautumistietojen liikkua salattuina, kun olemme hyväksyneet varmenteen.

Halutessasi ja tapana yhtenäistää varmenteet voit ilmoittaa Apachelle samat varmenteet, jotka ilmoitit Postfixille, mikä on oikein.

[root @ linuxbox ~] # nano /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/pki/tls/certs/desdelinux.fan.crt
SSLCertificateKeyFile /etc/pki/tls/private/desdelinux.fan.key

[root @ linuxbox ~] # palvelun httpd uudelleen
[root @ linuxbox ~] # palvelu httpd-tila

Diffie-Hellman-ryhmä

Turvallisuusaihe vaikeutuu joka päivä Internetissä. Yksi yleisimmistä yhteyksien hyökkäyksistä SSL, onko hän pattitilanne ja suojautua sitä vastaan ​​on tarpeen lisätä epätyypillisiä parametreja SSL-kokoonpanoon. Tätä varten on RFC 3526 «Lisää modulaarista eksponentiaalista (MODP) diffie-hellman ryhmät Internet-avaimenvaihtoon (IKE)".

[root @ linuxbox ~] # cd / etc / pki / tls /
[root @ linuxbox tls] # openssl dhparam -out private / dhparams.pem 2048
[root @ linuxbox tls] # chmod 600 private / dhparams.pem

Asennetun Apache-version mukaan käytämme tiedostosta Diffie-Helman-ryhmää /etc/pki/tls/dhparams.pem. Jos kyseessä on versio 2.4.8 tai uudempi, meidän on lisättävä tiedostoon /etc/httpd/conf.d/ssl.conf seuraava rivi:

SSLOpenSSLConfCmd DHParameters "/etc/pki/tls/private/dhparams.pem"

Käyttämämme Apache-versio on:

[root @ linuxbox tls] # yum info httpd
Ladatut laajennukset: fastestmirror, langpacks Peilien nopeuksien lataaminen välimuistissa olevasta isäntätiedostosta Asennetut paketit Nimi: httpd Arkkitehtuuri: x86_64
Versio: 2.4.6
Julkaisu: 45.el7.centos Koko: 9.4 M Tietovarasto: asennettu arkistosta: Base-Repo-yhteenveto: Apache HTTP -palvelimen URL-osoite: http://httpd.apache.org/ Lisenssi: ASL 2.0 Kuvaus: Apache HTTP -palvelin on tehokas , tehokas ja laajennettavissa: verkkopalvelin.

Koska meillä on versio ennen 2.4.8, lisätään aiemmin luodun CRT-varmenteen loppuun Diffie-Helman-ryhmän sisältö:

[root @ linuxbox tls] # kissa yksityinen / dhparams.pem >> certs/desdelinux.fan.crt

Jos haluat tarkistaa, että DH-parametrit on lisätty oikein CRT-varmenteeseen, suorita seuraavat komennot:

[root @ linuxbox tls] # kissa yksityinen / dhparams.pem 
----- DH-PARAMETRIEN ALOITTAMINEN -----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- LOPETA DH-PARAMETRIT -----

[root@linuxbox tls]# cat certs/desdelinux.fan.crt 
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN DH PARAMETERS-----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- LOPETA DH-PARAMETRIT -----

Näiden muutosten jälkeen meidän on käynnistettävä Postfix- ja httpd-palvelut uudelleen:

[root @ linuxbox tls] # service postfix käynnistetään uudelleen
[root @ linuxbox tls] # palvelun jälkikorjauksen tila
[root @ linuxbox tls] # service httpd käynnistä uudelleen
[root @ linuxbox tls] # palvelun httpd-tila

Diffie-Helman-ryhmän sisällyttäminen TLS-varmenteihimme saattaa tehdä HTTPS-yhteyden muodostamisen hieman hitaammaksi, mutta turvallisuuden lisääminen on sen arvoista.

Tarkistetaan Orava

Despues että varmenteet on luotu oikein ja että tarkistamme niiden oikean toiminnan samalla tavalla kuin konsolikomennoilla, osoita haluamasi selain URL-osoitteeseen http://mail.desdelinux.fan/webmail ja se muodostaa yhteyden web-asiakasohjelmaan vastaavan varmenteen hyväksymisen jälkeen. Huomaa, että vaikka määrität HTTP-protokollan, sinut ohjataan HTTPS: ään, ja tämä johtuu CentOS: n Squirrelmailin tarjoamista oletusasetuksista. Katso tiedosto /etc/httpd/conf.d/squirrelmail.conf.

Tietoja käyttäjien postilaatikoista

Dovecot luo IMAP-postilaatikot kansioon koti jokaisen käyttäjän kohdalla:

[root @ linuxbox ~] # ls -la /home/legolas/mail/.imap/
yhteensä 12 drwxrwx ---. 5 legolas mail 4096 22. toukokuuta 12:39. drwx ------. 3 legolas legolas 75. toukokuuta 22 11:34 .. -rw -------. 1 legolas legolas 72. toukokuuta 22 11:34 dovecot.mailbox.log -rw -------. 1 legolas legolas 8. toukokuuta 22 12:39 dovecot-uidvalidity -r - r - r--. 1 legolas legolas 0 toukokuuta 22 10:12 dovecot-uidvalidity.5922f1d1 drwxrwx ---. 2 legolas mail 56 22. toukokuuta 10:23 INBOX drwx ------. 2 legolas legolas 56. toukokuuta 22, 12:39 Lähetetty drwx ------. 2 legolas legolas 30. toukokuuta 22 11:34 Roskakori

Ne tallennetaan myös kansioon / var / mail /

[root @ linuxbox ~] # vähemmän / var / mail / legolas
From MAILER_DAEMON  Mon May 22 10:28:00 2017
Date: Mon, 22 May 2017 10:28:00 -0400
From: Mail System Internal Data <MAILER-DAEMON@linuxbox>
Subject: DON'T DELETE THIS MESSAGE -- FOLDER INTERNAL DATA
Message-ID: <1495463280@linuxbox>
X-IMAP: 1495462351 0000000008
Status: RO

This text is part of the internal format of your mail folder, and is not
a real message.  It is created automatically by the mail system software.
If deleted, important folder data will be lost, and it will be re-created
with the data reset to initial values.

From root@desdelinux.fan  Mon May 22 10:47:10 2017
Return-Path: <root@desdelinux.fan>
X-Original-To: legolas
Delivered-To: legolas@desdelinux.fan
Received: by desdelinux.fan (Postfix, from userid 0)
        id 7EA22C11FC57; Mon, 22 May 2017 10:47:10 -0400 (EDT)
Date: Mon, 22 May 2017 10:47:10 -0400
To: legolas@desdelinux.fan
Subject: Prueba
User-Agent: Heirloom mailx 12.5 7/5/10
MIME-Version: 1.0
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: 7bit
Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan>
From: root@desdelinux.fan (root)
X-UID: 7                                                  
Status: RO

Hola. Este es un mensaje de prueba

From buzz@deslinux.fan  Mon May 22 10:53:08 2017
Return-Path: <buzz@deslinux.fan>
X-Original-To: legolas@desdelinux.fan
Delivered-To: legolas@desdelinux.fan
Received: from sysadmin.desdelinux.fan (gateway [172.16.10.1])
        by desdelinux.fan (Postfix) with ESMTP id C184DC11FC57
        for <legolas@desdelinux.fan>; Mon, 22 May 2017 10:53:08 -0400 (EDT)
Message-ID: <739874.219379516-sendEmail@sysadmin>
From: "buzz@deslinux.fan" <buzz@deslinux.fan>
To: "legolas@desdelinux.fan" <legolas@desdelinux.fan>
Subject: Hola
Date: Mon, 22 May 2017 14:53:08 +0000
X-Mailer: sendEmail-1.56
MIME-Version: 1.0
Content-Type: multipart/related; boundary="----MIME delimiter for sendEmail-794889.899510057
/ var / mail / legolas

PAM-minisarjayhteenveto

Olemme tarkastelleet Mailserverin ydintä ja painottaneet hieman turvallisuutta. Toivomme, että artikkeli toimii syöttökohtana aiheeseen, joka on yhtä monimutkainen ja altis virheiden tekemiselle kuin Mail Serverin manuaalinen käyttöönotto.

Käytämme paikallista käyttäjän todennusta, koska jos luemme tiedoston oikein /etc/dovecot/conf.d/10-auth.conf, näemme, että lopulta se sisältyy -oletuksena- järjestelmän käyttäjien todennustiedosto ! include auth-system.conf.ext. Juuri tämä tiedosto kertoo meille otsikossa, että:

[root @ linuxbox ~] # vähemmän /etc/dovecot/conf.d/auth-system.conf.ext
# Todennus järjestelmän käyttäjille. Sisältyy 10-todennuksesta. # # # # PAM-todennus. Suosittu nykyään useimmissa järjestelmissä.
# PAM: ää käytetään tyypillisesti joko userdb passwd tai userdb staattinen. # MUISTA: Tarvitset /etc/pam.d/dovecot -tiedoston, joka on luotu PAM # -todennusta varten, jotta se todella toimii. passdb {driver = pam # [session = yes] [setcred = yes] [Fail_show_msg = yes] [max_requests = ] # [välimuistin avain = ] [ ] #args = dovecot}

Ja toinen tiedosto on olemassa /etc/pam.d/dovecot:

[root @ linuxbox ~] # kissa /etc/pam.d/dovecot 
#% PAM-1.0 -varmennus vaaditaan pam_nologin. Joten todennukseen sisältyy salasanan todennustili sisälly salasanan todennustoiminto sisältää salasanan todennuksen

Mitä yritämme kertoa PAM-todennuksesta?

• CentOS, Debian, Ubuntu ja monet muut Linux-jakelut asentavat Postifxin ja Dovecotin paikallisen todennuksen ollessa oletusarvoisesti käytössä.
• Monissa Internetin artikkeleissa MySQL - ja viime aikoina MariaDB - tallentavat käyttäjiä ja muuta Mailserveria koskevia tietoja. MUTTA nämä ovat palvelimia TUHANNILLE KÄYTTÄJILLE, eivät klassiselle pk-yritysverkostolle, jossa on - ehkä - satoja käyttäjiä.
• Todennus PAM: n kautta on välttämätöntä ja riittävä verkkopalvelujen tarjoamiseksi, kunhan ne toimivat yhdellä palvelimella, kuten olemme nähneet tässä minisarjassa.
• LDAP-tietokantaan tallennetut käyttäjät voidaan kartoittaa ikään kuin he olisivat paikallisia käyttäjiä, ja PAM-todennusta voidaan käyttää tarjoamaan verkkopalveluja eri Linux-palvelimilta, jotka toimivat LDAP-asiakkaina, keskitetystodennuspalvelimeen. Tällä tavoin toimisimme LDAP-palvelimen keskustietokantaan tallennettujen käyttäjien tunnistetietojen kanssa, eikä tietokannan ylläpito ole välttämätöntä paikallisten käyttäjien kanssa.

  

  

  

Seuraavaan seikkailuun asti!