Postfix + Dovecot + Squirrelmail i lokalni korisnici - SMB mreže

Opći indeks serije: Računalne mreže za mala i srednja poduzeća: Uvod

Ovaj je članak nastavak i posljednji mini-serijal:

• Squid + PAM provjera autentičnosti na CentOS 7.
• Lokalno upravljanje korisnicima i grupama
• NSD autoritarni DNS poslužitelj + zidni zid
• Prosody IM i lokalni korisnici
  

Pozdrav prijatelji i prijatelji!

The Entuzijasta žele imati vlastiti poslužitelj pošte. Ne žele koristiti poslužitelje na kojima je "Privatnost" između upitnika. Osoba zadužena za implementaciju usluge na vašem malom poslužitelju nije specijalist za tu temu i u početku će pokušati instalirati jezgru budućeg i cjelovitog poslužitelja pošte. Je li to da su "jednadžbe" za izradu punog poslužitelja pošte pomalo teško razumjeti i primijeniti. 😉

Bilješke na marginama

• Potrebno je biti jasan koje funkcije obavlja svaki program uključen u poslužitelj pošte. Kao početni vodič dajemo čitav niz korisnih poveznica s navedenom svrhom da ih posjetimo.
• Implementacija kompletne usluge pošte ručno i od nule naporan je postupak, osim ako ste jedan od "Odabranih" koji svakodnevno obavljaju ovu vrstu zadatka. Poslužitelj pošte obično se sastoji od različitih programa koji se zasebno obrađuju SMTP, POP / IMAP, Lokalno spremanje poruka, zadaci vezani uz postupanje s SPAM, Antivirus itd. SVI ovi programi moraju međusobno pravilno komunicirati.
• Ne postoji jedna veličina koja odgovara svima ili "najbolji primjeri iz prakse" o upravljanju korisnicima; gdje i kako pohraniti poruke ili kako učiniti da sve komponente rade kao jedinstvena cjelina.
• Okupljanje i podešavanje poštanskog poslužitelja obično je neugodno u pitanjima kao što su dozvole i vlasnici datoteka, odabir korisnika koji će biti zadužen za određeni postupak i u malim pogreškama u nekim ezoteričnim konfiguracijskim datotekama.
• Ako dobro ne znate što radite, krajnji rezultat bit će nesiguran ili pomalo nefunkcionalan poslužitelj pošte. Da na kraju provedbe Ne uspije, bit će moguće manje zlo.
• Na Internetu možemo pronaći dobar broj recepata kako napraviti Mail Server. Jedan od najcjelovitijih -po mom vrlo osobnom mišljenju- onaj je koji nudi autor ivar abrahamsen u svom trinaestom izdanju iz siječnja 2017. «Kako postaviti poslužitelj pošte na GNU / Linux sustavu”.
• Također preporučujemo čitanje članka «Poslužitelj pošte na Ubuntu 14.04: Postfix, Dovecot, MySQL«, ili "Poslužitelj pošte na Ubuntu 16.04: Postfix, Dovecot, MySQL”.
• Pravi. Najbolja dokumentacija u tom pogledu može se naći na engleskom jeziku.
  • Iako nikada ne stvaramo poslužitelj pošte koji bi se vjerno vodio Kako da ... spomenuta u prethodnom odlomku, sama činjenica da ga slijedimo korak po korak dat će nam vrlo dobru ideju s čime ćemo se suočiti.
• Ako želite imati cjeloviti poslužitelj pošte u samo nekoliko koraka, možete preuzeti sliku iRedOS-0.6.0-CentOS-5.5-i386.iso, ili potražite moderniju, bilo da je to iRedOS ili iRedMail. To je način koji osobno preporučujem.

Instalirat ćemo i konfigurirati:

• post popraviti kao poslužitelj Mdrugo Transport Agospodin (SMTP).
• Golubinjak kao POP - IMAP poslužitelj.
• Potvrde za povezivanje putem TLS.
• Vjeverica kao web sučelje za korisnike.
• DNS zapis u odnosu na «Okvir politike pošiljatelja"Ili SPF.
• Generiranje modula Grupa Diffie Hellman radi povećanja sigurnosti SSL certifikata.

Treba još učiniti:

Preostale bi biti implementirane barem sljedeće usluge:

• postgrey: Postfix pravila poslužitelja za sive popise i odbacivanje neželjene pošte.
  
• Amavisd-novo: skripta koja stvara sučelje između MTA-e i skenera za viruse i filtera sadržaja.
• Clamav antivirus: antivirusni paket
• SpamAssassin: ekstrakt neželjene pošte
• britva (pyzor): Hvatanje neželjene pošte putem distribuirane i suradničke mreže. Mreža Vipul Razor održava ažurirani katalog širenja neželjene pošte ili neželjene pošte.
• DNS zapis "DomainKeys Identified Mail" ili DKIM.

paketi postgrey, amavisd-new, clamav, spamassassin, britva y pyzor Nalaze se u spremištima programa. Pronaći ćemo i program openkim.

• Ispravna deklaracija DNS zapisa "SPF" i "DKIM" bitna je ako ne želimo da naš poslužitelj pošte tek počne raditi, da ga druge poštanske usluge kao što su npr. Proglase nepoželjnim ili proizvođačem neželjene pošte. gmail, Yahoo, Hotmailitd.

Početne provjere

Imajte na umu da je ovaj članak nastavak ostalih koji počinju u Squid + PAM provjera autentičnosti na CentOS 7.

Ens32 LAN sučelje povezano s unutarnjom mrežom

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan
DNS1=127.0.0.1
ZONA = javna

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

Ens34 WAN sučelje povezano s Internetom

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
UREĐAJ = ens34 ONBOOT = da BOOTPROTO = statički HWADDR = 00: 0c: 29: da: a3: e7 NM_CONTROLLED = ne IPADDR = 172.16.10.10 NETMASK = 255.255.255.0 # ADSL usmjerivač povezan je na # ovo sučelje s # sljedećom adresom IP GATEWAY = 172.16.10.1 DOMEN = desdelinux.fan DNS1 = 127.0.0.1
ZONA = vanjska

DNS rezolucija s LAN-a

[root @ linuxbox ~] # cat /etc/resolv.conf pretraga s linux.fan nameserver 127.0.0.1 nameserver 172.16.10.30 [root @ linuxbox ~] # host mail
mail.desdelinux.fan pseudonim je za linuxbox.desdelinux.fan. linuxbox.desdelinux.fan ima adresu 192.168.10.5 linuxbox.desdelinux.fan poštu obrađuje 1 mail.desdelinux.fan.

[root @ linuxbox ~] # host mail.fromlinux.fan
mail.desdelinux.fan pseudonim je za linuxbox.desdelinux.fan. linuxbox.desdelinux.fan ima adresu 192.168.10.5 linuxbox.desdelinux.fan poštu obrađuje 1 mail.desdelinux.fan.

DNS rezolucija s Interneta

buzz @ sysadmin: ~ $ host mail.fromlinux.fan 172.16.10.30
Korištenje poslužitelja domene: Ime: 172.16.10.30 Adresa: 172.16.10.30 # 53 pseudonimi: mail.desdelinux.fan pseudonim je za desdelinux.fan.
s linux.fan ima adresu 172.16.10.10
s poštom desdelinux.fan obrađuje se 10 mail.desdelinux.fan.

Problemi s lokalnim rješavanjem imena hosta "desdelinux.fan"

Ako imate problema s rješavanjem imena hosta «fromlinux.fan" od LAN, pokušajte komentirati redak datoteke /etc/dnsmasq.conf gdje je proglašeno lokalno = / iz linux.fan /. Nakon toga ponovno pokrenite Dnsmasq.

[root @ linuxbox ~] # nano /etc/dnsmasq.conf # Komentirajte donji redak:
# lokalno = / desdelinux.fan /

[root @ linuxbox ~] # ponovno pokretanje usluge dnsmasq
Preusmjeravanje na / bin / systemctl ponovno pokrenite dnsmasq.service

[root @ linuxbox ~] # status dnsmasq usluge

[root @ linuxbox ~] # domaćin s linux.fan
desdelinux.fan ima adresu 172.16.10.10 desdelinux.fan poštu obrađuje 10 mail.desdelinux.fan.

Postfix i Dovecot

Vrlo opsežnu dokumentaciju Postfixa i Dovecota možete pronaći na:

[root @ linuxbox ~] # ls /usr/share/doc/postfix-2.10.1/
bounce.cf.default LICENCA README-Postfix-SASL-RedHat.txt KOMPATIBILNOST main.cf.default TLS_ACKNOWLEDGEMENTS primjeri README_FILES TLS_LICENSE

[root @ linuxbox ~] # ls /usr/share/doc/dovecot-2.2.10/
AUTORI KOPIRANJE.MIT dovecot-openssl.cnf VIJESTI wiki KOPIRANJE ChangeLog primjer-konfiguracija README COPYING.LGPL documentation.txt mkcert.sh solr-schema.xml

U CentOS 7 Postfix MTA je instaliran prema zadanim postavkama kada odaberemo opciju Infrastructure Server. Moramo potvrditi da kontekst SELinux dopušta pisanje u Potfix u lokalni red poruka:

[root @ linuxbox ~] # getsebool -a | grep postfix
postfix_local_write_mail_spool -> on

Izmjene u vatroziduD

Koristeći grafičko sučelje za konfiguriranje FirewallD-a, moramo osigurati da su sljedeće usluge i priključci omogućeni za svaku zonu:

# ------------------------------------------------- -----
# Ispravci u vatroziduD
# ------------------------------------------------- -----
# Vatrozid
# Javna zona: http, https, imap, pop3, smtp usluge
# Javna zona: luke 80, 443, 143, 110, 25

# Vanjska zona: http, https, imap, pop3s, smtp usluge
# Vanjska zona: luke 80, 443, 143, 995, 25

Instaliramo Dovecot i potrebne programe

[root @ linuxbox ~] # yum instaliraj dovecot mod_ssl procmail telnet

Minimalna konfiguracija Dovecot

[root @ linuxbox ~] # nano /etc/dovecot/dovecot.conf
protokoli =imap pop3 lmtp
slušati =*, ::
prijava_pozdrav = Golubinjak je spreman!

Izričito onemogućujemo Dovecotovu autentifikaciju otvorenog teksta:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-auth.conf 
disable_plaintext_auth = da

Izjavljujemo Grupu s potrebnim privilegijama za interakciju s Dovecot-om i lokacijom poruka:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-mail.conf
mail_location = mbox: ~ / mail: INBOX = / var / mail /% u
mail_privileged_group = pošta
mail_access_groups = pošta

Potvrde za Dovecot

Dovecot automatski generira vaše testne potvrde na temelju podataka u datoteci /etc/pki/dovecot/dovecot-openssl.cnf. Da bismo generirali nove certifikate u skladu s našim zahtjevima, moramo izvršiti sljedeće korake:

[root @ linuxbox ~] # cd / etc / pki / dovecot /
[root @ linuxbox dovecot] # nano dovecot-openssl.cnf
[req] default_bits = 1024 encrypt_key = yes known_name = req_dn x509_extensions = cert_type prompt = ne [req_dn] # država (dvoslovni kod) C = CU # Država ili pokrajina (puno ime) ST = Cuba # Naziv lokacije (npr. grad ) L = Habana # Organizacija (npr. Tvrtka) O = FromLinux.Fan # Naziv organizacijske jedinice (npr. Odjeljak) OU = Ljubitelji # Uobičajeno ime (* .example.com je također moguć) CN = *. Desdelinux.fan # E -mail kontakt emailAddress=buzz@desdelinux.fan [cert_type] nsCertType = poslužitelj

Uklanjamo potvrde o ispitivanju

[root @ linuxbox dovecot] # rm certs / dovecot.pem 
rm: izbrisati redovnu datoteku "certs / dovecot.pem"? (g / n) g
[root @ linuxbox dovecot] # rm private / dovecot.pem 
rm: izbrisati redovitu datoteku "private / dovecot.pem"? (g / n) g

Kopiramo i izvršavamo skriptu mkcert.sh iz direktorija dokumentacije

[root @ linuxbox dovecot] # cp /usr/share/doc/dovecot-2.2.10/mkcert.sh. [root @ linuxbox dovecot] # bash mkcert.sh 
Generiranje 1024-bitnog RSA privatnog ključa ...... ++++++ ................ ++++++ pisanje novog privatnog ključa u '/ etc / pki / dovecot / private / dovecot.pem '----- subject = /C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN=*.desdelinux.fan/emailAddress= buzz@desdelinux.fan SHA1 Otisak prsta = 5F: 4A: 0C: 44: EC: EC: EF: 95: 73: 3E: 1E: 37: D5: 05: F8: 23: 7E: E1: A4: 5A

[root @ linuxbox dovecot] # ls -l certs /
ukupno 4 -rw -------. 1 korijen korijena 1029 22. svibnja 16:08 dovecot.pem
[root @ linuxbox dovecot] # ls -l privatno /
ukupno 4 -rw -------. 1 korijen korijena 916 22. svibnja 16:08 dovecot.pem

[root @ linuxbox dovecot] # restart uslužnog goluba
[root @ linuxbox dovecot] # status dovecot usluge

Potvrde za Postfix

[root @ linuxbox ~] # cd / etc / pki / tls / [root @ linuxbox tls] # openssl req -sha256 -x509 -nodes -newkey rsa: 4096 -days 1825 \ -out certs / desdelinux.fan.crt -keyout privatno / desdelinux.fan.key

Generiranje 4096-bitnog RSA privatnog ključa ......... ++ .. ++ pisanje novog privatnog ključa u 'private / domain.tld.key' ----- Upravo će se od vas tražiti da unesete podatke koji će biti uključeni u vaš zahtjev za certifikatom. Ono što ćete unijeti je ono što se naziva istaknuto ime ili DN. Puno je polja, ali možete ostaviti neka prazna. Za neka polja bit će zadana vrijednost, Ako unesete '.', Polje će ostati prazno. ----- Naziv države (dvoslovni kod) [XX]: Naziv države ili provincije CU (puno ime) []: Naziv lokaliteta Kube (npr. Grad) [Zadani grad]: Naziv organizacije Habana (npr. Tvrtka) [ Zadana tvrtka Ltd]: desdeLinux.Fan Naziv organizacijske jedinice (npr. Odjeljak) []: Uobičajeno ime entuzijasta (npr. Vaše ime ili ime hosta vašeg poslužitelja) []: desdelinux.fan Adresa e-pošte []: buzz@desdelinux.fan

Minimalna konfiguracija Postfix-a

Dodamo na kraj datoteke / etc / aliasi sljedeći:

korijen: zujanje

Da bi promjene stupile na snagu izvršavamo sljedeću naredbu:

[root @ linuxbox ~] # novih imena

Konfiguracija Postifx može se izvršiti izravnim uređivanjem datoteke /etc/postfix/main.cf ili po naredbi postkonf -e vodeći računa da se svi parametri koje želimo izmijeniti ili dodati odraze u jednom retku konzole:

• Svatko se mora izjasniti o mogućnostima koje razumije i treba!.

[root @ linuxbox ~] # postconf -e 'myhostname = desdelinux.fan'
[root @ linuxbox ~] # postconf -e 'mojadomena = desdelinux.fan'
[root @ linuxbox ~] # postconf -e 'myorigin = $ mojadomena'
[root @ linuxbox ~] # postconf -e 'inet_interfaces = sve'
[root @ linuxbox ~] # postconf -e 'mydestination = $ myhostname, localhost. $ mydomain, localhost, $ mydomain, mail. $ mydomain, www. $ mydomain, ftp. $ mydomain'

[root @ linuxbox ~] # postconf -e 'mynetworks = 192.168.10.0/24, 172.16.10.0/24, 127.0.0.0/8'
[root @ linuxbox ~] # postconf -e 'mailbox_command = / usr / bin / procmail -a "$ EXTENSION"'
[root @ linuxbox ~] # postconf -e 'smtpd_banner = $ myhostname ESMTP $ mail_name ($ mail_version)'

Dodamo na kraj datoteke /etc/postfix/main.cf opcije dane u nastavku. Da biste znali značenje svakog od njih, preporučujemo čitanje pripadajuće dokumentacije.

biff = ne
append_dot_mydomain = br
vrijeme_odgode_upozorenja = 4h
readme_directory = br
smtpd_tls_cert_file = / etc / pki / certs / desdelinux.fan.crt
smtpd_tls_key_file = / etc / pki / private / desdelinux.fan.key
smtpd_use_tls = da
smtpd_tls_session_cache_database = btree: $ {data_directory} / smtpd_scache
smtp_tls_session_cache_database = btree: $ {direktorij podataka} / smtp_scache
smtpd_relay_restrictions = dozvola_mojih mreža dozvola_sasl_authenticated defer_unauth_destination

# Maksimalna veličina poštanskog sandučića 1024 megabajta = 1 g i g
poštanski_mest_veličine_limit = 1073741824

primatelj_delimiter = +
životni vijek maksimalnog_reda = 7d
header_checks = regularni izraz: / etc / postfix / header_checks
body_checks = regularni izraz: / etc / postfix / body_checks

# Računi koji kopiju dolazne pošte šalju na drugi račun
primatelj_bcc_maps = hash: / etc / postfix / accounts_ forwarding_copy

Sljedeći su redovi važni kako bi se utvrdilo tko može slati poštu i prenositi podatke na druge poslužitelje, kako ne bismo slučajno konfigurirali "otvoreni relej" koji neautentificiranim korisnicima omogućuje slanje pošte. Moramo pregledati stranice pomoći za Postfix da bismo razumjeli što svaka opcija znači.

• Svatko se mora izjasniti o mogućnostima koje razumije i treba!.

smtpd_helo_restrictions = dozvoli_moju mrežu,
 warn_if_reject reject_non_fqdn_hostname,
 odbiti_nevažeće_ime hosta,
 dopustiti

smtpd_sender_restrictions = dozvola_sasl_authenticated,
 dozvola_mojih mreža,
 upozoriti_ako_odbaci odbaciti_non_fqdn_sender,
 odbiti_nepoznati_domena_pošiljatelja,
 reject_unauth_pipelining,
 dopustiti

smtpd_client_restrictions = odbiti_rbl_client sbl.spamhaus.org,
 reject_rbl_client crne rupe.easynet.nl

# NAPOMENA: Opcija "check_policy_service inet: 127.0.0.1: 10023"
# omogućuje program Postgrey i ne bismo ga trebali uključiti
# inače ćemo koristiti Postgrey

smtpd_recipient_restrictions = odbaci_nautinu_pipeliniranje,
 dozvola_mojih mreža,
 dozvola_sasl_authenticated,
 odbiti_ne_fqdn_primatelj,
 odbiti_nepoznati_primatelj_domena,
 odbiti_naut_na_odredbu,
 check_policy_service inet: 127.0.0.1: 10023,
 dopustiti

smtpd_data_restrictions = odbaci_nautinu_pipeliranje

smtpd_relay_restrictions = odbaci_nautinu_pipeliranje,
 dozvola_mojih mreža,
 dozvola_sasl_authenticated,
 odbiti_ne_fqdn_primatelj,
 odbiti_nepoznati_primatelj_domena,
 odbiti_naut_na_odredbu,
 check_policy_service inet: 127.0.0.1: 10023,
 dopustiti
 
smtpd_helo_required = da
smtpd_delay_reject = da
disable_vrfy_command = da

Mi stvaramo datoteke / etc / postfix / body_checks y / etc / postfix / accounts_forwarding_copyi mijenjamo datoteku / etc / postfix / header_checks.

• Svatko se mora izjasniti o mogućnostima koje razumije i treba!.
  

[root @ linuxbox ~] # nano / etc / postfix / body_checks
# Ako je ova datoteka izmijenjena, nije potrebno # pokretati poštansku kartu # Da biste testirali pravila, pokrenite kao root: # postmap -q 'super novi v1agra' regularni izraz: / etc / postfix / body_checks
# Trebalo bi se vratiti: # ODBIJI Pravilo # 2 Tijelo poruke protiv neželjene pošte
/ viagra / ODBIJANJE Pravilo # 1 protiv neželjene pošte poruke
/ super new v [i1] agra / ODBIJANJE Pravilo # 2 Anti Spam tijela poruke

[root @ linuxbox ~] # nano / etc / postfix / accounts_ forwarding_copy
# Nakon izmjene morate izvršiti: # poštanska karta / etc / postfix / accounts_ forwarding_copy
# i datoteka se kreira ili mjeri: # /etc/postfix/accounts_forwarding_copy.db
# ------------------------------------------ # Jedan račun za prosljeđivanje BCC kopija # BCC = Crna karbonska kopija # Primjer: # webadmin@desdelinux.fan buzz@desdelinux.fan

[root @ linuxbox ~] # poštanska karta / etc / postfix / accounts_ forwarding_copy

[root @ linuxbox ~] # nano / etc / postfix / header_checks
# Dodaj na kraju datoteke # NE POTREBUje poštansku kartu jer su regularni izrazi
/ ^ Predmet: =? Big5? / ODBIJI Kinesko kodiranje ovaj poslužitelj ne prihvaća
/ ^ Predmet: =? EUC-KR? / REJECT Korejsko kodiranje nije dopušteno na ovom poslužitelju
/ ^ Predmet: ADV: / REJECT Oglašavanje koje ovaj poslužitelj ne prihvaća
/^Od:.*\@.*\.cn/ ODBIJI Žao nam je, kineska pošta ovdje nije dopuštena
/^Od:.*\@.*\.kr/ ODBIJI Žao nam je, korejska pošta ovdje nije dopuštena
/^Od:.*\@.*\.tr/ ODBIJI Žao nam je, turska pošta ovdje nije dopuštena
/^Od:.*\@.*\.ro/ ODBIJI Žao nam je, rumunjska pošta ovdje nije dopuštena
/^(Received|Message-Id|X-(Mailer|Sender)):.*\b(AutoMail|E-Broadcaster|Emailer Platinum | Thunder Server | eMarksman | Extractor | e-Merge | iz stealth [^.] | Global Messenger | GroupMaster | Mailcast | MailKing | Match10 | MassE-Mail | massmail \ .pl | Prekidač vijesti | Powermailer | Brzi udarac | Spremni za ciljanje požara | WindoZ | WorldMerge | Yourdora | Lite) \ b / ODBIJATI Nisu dopušteni masovni poštari.
/ ^ Od: "neželjena pošta / ODBIJANJE
/ ^ Od: "neželjena pošta / ODBIJANJE
/^Predmet :.*viagra/ ODBACI
# Opasna proširenja
/ name = [^> Iluminación * \. (bat | cmd | exe | com | pif | reg | scr | vb | vbe | vbs) / ODBIJATI ODBIJANJE Ne prihvaćamo privitke s ovim proširenjima

Provjeravamo sintaksu, ponovno pokrećemo Apache i Postifx te omogućujemo i pokrećemo Dovecot

[root @ linuxbox ~] # provjera postfiksa
[root @ linuxbox ~] #

[root @ linuxbox ~] # systemctl ponovno pokrenite httpd
[root @ linuxbox ~] # systemctl status httpd

[root @ linuxbox ~] # systemctl ponovno pokreni postfix
[root @ linuxbox ~] # postfiks statusa systemctl

[root @ linuxbox ~] # systemctl status dovecot
L

[root @ linuxbox ~] # systemctl omogući dovecot
[root @ linuxbox ~] # systemctl start dovecot
[root @ linuxbox ~] # systemctl ponovno pokrenite dovecot
[root @ linuxbox ~] # systemctl status dovecot

Provjere na razini konzole

• Prije nastavka instalacije i konfiguracije drugih programa vrlo je važno izvršiti minimalno potrebne provjere SMTP i POP usluga.

Lokalno sa samog poslužitelja

Lokalnom korisniku šaljemo e-poštu Legolas.

[root @ linuxbox ~] # echo "Zdravo. Ovo je probna poruka" | mail-i "Test" legolas

Provjeravamo poštanski sandučić legole.

[root @ linuxbox ~] # openssl s_client -crlf -connect 127.0.0.1:110 -starttls pop3

Nakon poruke Golubinjak je spreman! nastavljamo:

---
+ U redu Dovecot je spreman!
KORISNIČKE legole + OK PASS legole + OK Prijavljeni. STAT + OK 1 559 LIST + OK 1 poruke: 1 559. RETR 1 + OK 559 okteta Povratni put: X-Original-To: legolas Isporučeno-To: legolas@desdelinux.fan Primljeno: desdelinux.fan (Postfix, s korisničkog broja 0) id 7EA22C11FC57; Ponedjeljak, 22. svibnja 2017. 10:47:10 -0400 (EDT) Datum: ponedjeljak, 22. svibnja 2017. 10:47:10 -0400 Za: legolas@desdelinux.fan Predmet: Test korisničkog agenta: Heirloom mailx 12.5 7/5 / 10 MIME-inačica: 1.0 Sadržaj: tekst / običan; charset = us-ascii Content-Transfer-Encoding: 7bit Id poruke: <20170522144710.7EA22C11FC57@desdelinux.fan> Od: root@desdelinux.fan (root) Pozdrav. Ovo je testna poruka. PRESTANAK
[root @ linuxbox ~] #

Daljinski upravljači s računala na LAN-u

Pošaljite još jednu poruku Legolas s drugog računala na LAN-u. Imajte na umu da TLS sigurnost NIJE nužno potrebna unutar MSP mreže.

buzz @ sysadmin: ~ $ sendemail -f buzz@deslinux.fan \
-t legolas@desdelinux.fan \
-u "Pozdrav" \
-m "Pozdrav Legolas od vašeg prijatelja Buzza" \
-s mail.desdelinux.fan -o tls = br
22. svibnja 10:53:08 sysadmin sendemail [5866]: E-pošta je uspješno poslana!

Ako se pokušamo povezati telnet Od domaćina na LAN-u - ili s Interneta, naravno - do Dovecota, dogodit će se sljedeće jer onemogućujemo autentifikaciju otvorenog teksta:

buzz @ sysadmin: ~ $ telnet mail.fromlinux.fan 110Pokušaj 192.168.10.5 ...
Povezano s linuxbox.fromlinux.fan. Znak za bijeg je '^]'. + U redu Dovecot je spreman! korisničke legole
-ERR [AUTH] Autentifikacija otvorenog teksta nije dopuštena na nesigurnim (SSL / TLS) vezama.
quit + OK Odjava Veza je prekinuta od strane domaćina.
buzz @ sysadmin: ~ $

Moramo to učiniti do kraja openssl. Kompletni izlaz naredbe bio bi:

buzz @ sysadmin: ~ $ openssl s_client -crlf -connect mail.desdelinux.fan:110 -starttls pop3
POVEZAN (00000003)
dubina = 0 C = CU, ST = Kuba, L = Havana, O = FromLinux.Fan, OU = Ljubitelji, CN = * .fromlinux.fan, emailAddress = buzz@fromlinux.fan
pogreška provjere: num = 18: samopotpisani certifikat provjera povrata: 1
dubina = 0 C = CU, ST = Kuba, L = Havana, O = FromLinux.Fan, OU = Ljubitelji, CN = * .fromlinux.fan, emailAddress = buzz@fromlinux.fan provjeri povratak: 1
--- Lanac certifikata 0 s: /C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN = *. Desdelinux.fan/emailAddress=buzz@desdelinux.fan i: / C =CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan --- Potvrda poslužitelja ----- POČNI CERTIFIKAT-- --- MIICyzCCAjSgAwIBAgIJAKUHI / 2ZD + MeMA0GCSqGSIb3DQEBBQUAMIGbMQswCQYD VQQGEwJDVTENMAsGA1UECBMEQ3ViYTEPMA0GA1UEBxMGSGFiYW5hMRcwFQYDVQQK Ew5EZXNkZUxpbnV4LkZhbjEUMBIGA1UECxMLRW50dXNpYXN0YXMxGTAXBgNVBAMU ECouZGVzZGVsaW51eC5mYW4xIjAgBgkqhkiG9w0BCQEWE2J1enpAZGVzZGVsaW51 eC5mYW4wHhcNMTcwNTIyMjAwODEwWhcNMTgwNTIyMjAwODEwWjCBmzELMAkGA1UE BhMCQ1UxDTALBgNVBAgTBEN1YmExDzANBgNVBAcTBkhhYmFuYTEXMBUGA1UEChMO RGVzZGVMaW51eC5GYW4xFDASBgNVBAsTC0VudHVzaWFzdGFzMRkwFwYDVQQDFBAq LmRlc2RlbGludXguZmFuMSIwIAYJKoZIhvcNAQkBFhNidXp6QGRlc2RlbGludXgu ZmFuMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC7wckAiNNfYSz5hdePzKuZ Bnk m2MMuhGDvwrDSPDEcVutznbZSgJ9bvTo445TR + + + + nBmqxzJbpc OZ80lujS2hP XR7E9eWIXxr4fP4HpRrCA8NxlthEsapVMSHW lnPBqF2b / Bt2eYyR7g JhtlP6gRG V57MmgL8BdYAJLvxqxDIxQIDAQABoxUwEzARBglghkgBhvhCAQEEBAMCBkAwDQYJ KoZIhvcNAQEFBQADgYEAAuYU1nIXTbXtddW + QkLskum7ESryHZonKOCelfn2vnRl 8oAgHg7Hbtg / e6sR / W9m3DObP5DEp3lolKKIKor7ugxtfA4PBtmgizddfDKKMDql LT + MV5 / DP1pjQbxTsaLlZfveNxfLRHkQY13asePy4fYJFOIZ4OojDEGQ6 / VQBI8 = ----- ----- END POTVRDA predmet = / C = CU / ST = Kuba / L Havani / O = DesdeLinux.Fan /OU=Entusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan izdavač = / C = CU / ST = Cuba / L = Habana / O = DesdeLinux.Fan / OU = Entusiasts / CN = *. Desdelinux .fan / emailAddress = buzz @ desdelinux.fan --- Nisu poslana imena CA certifikata klijenta Ključ privremene adrese poslužitelja: ECDH, secp384r1, 384 bita --- SSL rukovanje pročitalo je 1342 bajta i napisalo 411 bajtova --- Novo, TLSv1 / SSLv3 , Šifra je ECDHE-RSA-AES256-GCM-SHA384 Javni ključ poslužitelja je 1024 bit Sigurno pregovaranje IS podržano Kompresija: NONE Proširenje: NONE SSL-Sesija: Protokol: TLSv1.2 Šifra: ECDHE-RSA-AES256-GCM-SHA384 Sesija- ID: C745B4A0236204E16234CB15DC9CDBC3D084125FF5989F5DB6C5295BF4E2D73A ID sesije-ctx: Glavni ključ : 1904D204C564B76361CEA50373F8879AF793AF7D7506C04473777F6F3503A9FD919CD1F837BC67BFF29E309F352526F5 Ključ-Arg: Nema Krb5 Glavni: Nema PSK identitet: Nitko PSK identitet savjet: HS 300F0000F4A3FD8CD29F7BC4BFF63E72F7F6 Ključ-Arg: Nema Krb4 Glavni: Niti 7 PSK identitet: mig Nitko PSK identitet: HS 1TLS sjednici XNUMX sekundi XNUMX f nitko-XNUMX sjednica XNUMX tlf XNUMX sekunde ulaznica fXNUMXfXNUMX karta ec XNUMXe XNUMXc N :.) zOcr ... O .. ~.
 0010 - 2c d4 be a8 be 92 2e ae-98 7e 87 6d 45 c5 17 a8, ........ ~ .mE ...
 0020 - db 3a 86 80 df 8b dc 8d-f8 1f 68 6e db a7 e3 86 .: ........ hn ....
 0030 - 08 35 e5 eb 98 b8 a4 98-68 b1 ea f7 72 f7 c1 79 .5 ...... h ... r..y 0040 - 89 4a 28 e3 85 a4 8b da-e9 7a 29 c7 77 bf 22 0d .J (...... z) .w. ".
 0050 - bd 5c f6 61 8c a1 14 bd-cb 31 27 66 7a dc 51 28. \. A ..... 1'fz.Q (0060 - b7 de 35 bd 2b 0f d4 ec-d3 e0 14 c8 65 03 b1 35 ..5. + ....... e..5 0070 - 38 34 f8 de 48 da ae 31-90 bd f6 b0 e6 9c cf 19 84..H..1 ..... ...
 0080 - f5 42 56 13 88 b0 8c db-aa ee 5a d7 1b 2c dd 71 .BV ....... Z ..,. Q 0090 - 7a f1 03 70 90 94 c9 0a-62 e5 0f 9c bf dc 3c a0 z..p .... b ..... <.

+ U redu Dovecot je spreman!
KORISNIČKE legole
+ U redu
PROLAZI legole
+ U redu Prijavljeni.
POPIS
+ OK 1 poruke: 1 1021.
POVRATAK 1
+ OK 1021 okteta Povratni put: X-Original-To: legolas@desdelinux.fan Dostavljeno-To: legolas@desdelinux.fan Primljeno: od sysadmin.desdelinux.fan (gateway [172.16.10.1]) od strane desdelinux.fan (Postfix) s ESMTP id 51886C11E8C0 za ; Ponedjeljak, 22. svibnja 2017. 15:09:11 -0400 (EDT) ID poruke: <919362.931369932-sendEmail@sysadmin> Od: "buzz@deslinux.fan" Prima: "legolas@desdelinux.fan" Predmet: Pozdrav Datum: ponedjeljak, 22. svibnja 2017. 19:09:11 +0000 X-Mailer: sendEmail-1.56 MIME-verzija: 1.0 Vrsta sadržaja: više dijelova / srodno; border = "---- MIME graničnik za sendEmail-365707.724894495" Ovo je višedijelna poruka u MIME formatu. Da biste pravilno prikazali ovu poruku, potreban vam je program e-pošte kompatibilan s MIME-verzijom 1.0. ------ MIME graničnik za sendEmail-365707.724894495 Content-Type: text / plain; charset = "iso-8859-1" Kodiranje prijenosa sadržaja: 7-bitni pozdrav Legolas od vašeg prijatelja Buzza ------ MIME graničnik za sendEmail-365707.724894495--.
Quit
+ U redu Odjava. zatvoreno
buzz @ sysadmin: ~ $

Vjeverica

Vjeverica je web klijent napisan u cijelosti na PHP-u. Uključuje izvornu PHP podršku za protokole IMAP i SMTP i pruža maksimalnu kompatibilnost s različitim preglednicima koji se koriste. Radi ispravno na bilo kojem IMAP poslužitelju. Sadrži sve funkcije koje su vam potrebne od klijenta e-pošte, uključujući MIME podršku, adresar i upravljanje mapama.

[root @ linuxbox ~] # yum instaliranje vjeverice
[root @ linuxbox ~] # ponovno pokretanje usluge httpd

[root @ linuxbox ~] # nano /etc/squirrelmail/config.php
$ domena = 'desdelinux.fan';
$ imapServerAddress = 'mail.fromlinux.fan';
$ imapPort = 143;
$ smtpServerAddress = 'desdelinux.fan';

[root @ linuxbox ~] # ponovno učitavanje usluge httpd

DNS okvir za slanje pravila ili SPF zapis

U članku NSD autoritarni DNS poslužitelj + zidni zid Vidjeli smo da je zona "desdelinux.fan" konfigurirana na sljedeći način:

root @ ns: ~ # nano /etc/nsd/desdelinux.fan.zone
$ PORIJEKLO s linux.fan. $ TTL 3H @ IN SOA ns.fromlinux.fan. root.fromlinux.fan. (1; serijski 1D; osvježi 1H; pokušaj 1W; istječe 3H); minimum ili; Vrijeme negativnog predmemoriranja za život; @ IN NS ns.fromlinux.fan. @ IN MX 10 mail.fromlinux.fan.
@ U TXT "v = spf1 a: mail.desdelinux.fan -all"
; ; Prijavite se da biste riješili upite za kopanje s linux.fan @ IN A 172.16.10.10; ns U 172.16.10.30 mail IN CNAME s linux.fan. chatajte U CNAME s linux.fan. www IN CNAME s linux.fan. ; ; SRV zapisi povezani s XMPP-om
_xmpp-server._tcp U SRV 0 0 5269 s linux.fan. _xmpp-client._tcp U SRV 0 0 5222 s linux.fan. _jabber._tcp IN SRV 0 0 5269 s linux.fan.

U njemu je registar deklariran:

@ U TXT "v = spf1 a: mail.desdelinux.fan -all"

Da bi se isti parametar konfigurirao za SME mrežu ili LAN, moramo izmijeniti konfiguracijsku datoteku Dnsmasq na sljedeći način:

# TXT zapisa. Također možemo proglasiti SPF zapis txt-record = desdelinux.fan, "v = spf1 a: mail.desdelinux.fan -all"

Zatim ponovno pokrećemo uslugu:

[root @ linuxbox ~] # ponovno pokretanje usluge dnsmasq
[root @ linuxbox ~] # status dnsmasq usluge [root @ linuxbox ~] # host -t TXT mail. iz linux.fan mail. iz linux.fan je zamjensko ime za iz linux.fan. desdelinux.fan opisni tekst "v = spf1 a: mail.desdelinux.fan -all"

Samopotpisani certifikati i Apache ili httpd

Čak i ako vam preglednik kaže da je "Vlasnik mail.fromlinux.fan Pogrešno ste konfigurirali svoje web mjesto. Kako bi spriječio krađu vaših podataka, Firefox se nije povezao s ovom web stranicom ”, prethodno generiranim certifikatom VRIJEDIi omogućit će vjerodajnice između klijenta i poslužitelja da putuju šifrirano, nakon što prihvatimo certifikat.

Ako želite, i kao način objedinjavanja certifikata, možete deklarirati za Apache iste certifikate koje ste deklarirali za Postfix, što je točno.

[root @ linuxbox ~] # nano /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/pki/tls/certs/fromlinux.fan.crt
SSLCertificateKeyFile /etc/pki/tls/private/fromlinux.fan.key

[root @ linuxbox ~] # usluga httpd ponovno
[root @ linuxbox ~] # status httpd usluge

Diffie-Hellman grupa

Tema sigurnosti postaje sve teža svakim danom na Internetu. Jedan od najčešćih napada na veze SSLje logjam a za obranu od njega potrebno je u SSL konfiguraciju dodati nestandardne parametre. Za to postoji RFC-3526 «Modularniji eksponencijalni (MODP) Diffie–Hellman skupine za internetsku razmjenu ključeva (IKE)”.

[root @ linuxbox ~] # cd / etc / pki / tls /
[root @ linuxbox tls] # openssl dhparam -out private / dhparams.pem 2048
[root @ linuxbox tls] # chmod 600 private / dhparams.pem

Prema verziji Apachea koju smo instalirali, koristit ćemo Diffie-Helman Group iz datoteke /etc/pki/tls/dhparams.pem. Ako je riječ o verziji 2.4.8 ili novijoj, morat ćemo dodati datoteci /etc/httpd/conf.d/ssl.conf sljedeći redak:

SSLOpenSSLConfCmd DHParameters "/etc/pki/tls/private/dhparams.pem"

Verzija Apachea koju koristimo je:

[root @ linuxbox tls] # yum info httpd
Učitani dodaci: najbrže ogledalo, langpacks Učitavanje brzina zrcala iz predmemorirane datoteke hosta Instalirani paketi Naziv: httpd Arhitektura: x86_64
Verzija: 2.4.6
Izdanje: 45.el7.centos Veličina: 9.4 M Spremište: instalirano Iz spremišta: Base-Repo Sažetak: URL Apache HTTP poslužitelja: http://httpd.apache.org/ Licenca: ASL 2.0 Opis: Apache HTTP poslužitelj je moćan, učinkovit i proširiv: web poslužitelj.

Kako imamo verziju prije 2.4.8, dodajemo sadržaj Diffie-Helman Group na kraj prethodno generiranog CRT certifikata:

[root @ linuxbox tls] # mačka private / dhparams.pem >> certs / desdelinux.fan.crt

Ako želite provjeriti jesu li DH parametri ispravno dodani u CRT certifikat, izvršite sljedeće naredbe:

[root @ linuxbox tls] # mačka private / dhparams.pem 
----- POČNITE PARAMETRI DH -----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- ZAVRŠI PARAMETRE DH -----

[root @ linuxbox tls] # cert certs / desdelinux.fan.crt 
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN DH PARAMETERS-----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- ZAVRŠI PARAMETRE DH -----

Nakon ovih promjena moramo ponovno pokrenuti usluge Postfix i httpd:

[root @ linuxbox tls] # ponovno pokretanje postfix servisa
[root @ linuxbox tls] # status postfiksa usluge
[root @ linuxbox tls] # usluga httpd restart
[root @ linuxbox tls] # status httpd usluge

Uključivanje Diffie-Helman Grupe u naše TLS certifikate može usporiti povezivanje putem HTTPS-a, ali dodavanje sigurnosti se itekako isplati.

Provjeravanje Vjeverice

NAKON da su certifikati ispravno generirani i da provjeravamo njihov ispravan rad kao što smo to učinili pomoću naredbi konzole, usmerite željeni preglednik na URL http://mail.desdelinux.fan/webmail i povezat će se s web klijentom nakon prihvaćanja odgovarajućeg certifikata. Imajte na umu da ćete, iako odredite HTTP protokol, biti preusmjereni na HTTPS, a to je zbog zadanih postavki koje CentOS nudi za Squirrelmail. Pogledajte datoteku /etc/httpd/conf.d/squirrelmail.conf.

O korisničkim poštanskim sandučićima

Dovecot stvara IMAP poštanske sandučiće u mapi dom svakog korisnika:

[root @ linuxbox ~] # ls -la /home/legolas/mail/.imap/
ukupno 12 drwxrwx ---. 5 legola pošte 4096 22. svibnja 12:39. drwx ------. 3 legole legole 75 22. svibnja 11:34 .. -rw -------. 1 legola legola 72 22. svibnja 11:34 dovecot.mailbox.log -rw -------. 1 legola legola 8. svibnja 22 12:39 dovecot-uidvalidity -r - r - r--. 1 legola legola 0 22. svibnja 10:12 dovecot-uidvalidity.5922f1d1 drwxrwx ---. 2 legole mail 56 22. svibnja 10:23 INBOX drwx ------. 2 legole legole 56 22. svibnja 12:39 Poslano drwx ------. 2 legole legole 30. svibnja 22. 11:34 Smeće

Također su pohranjeni u / var / mail /

[root @ linuxbox ~] # manje / var / mail / legolas
Od MAILER_DAEMON ponedjeljak 22. svibnja 10:28:00 2017 Datum: ponedjeljak, 22. svibnja 2017. 10:28:00 -0400 Od: interni podaci poštanskog sustava Predmet: NE BRIŠI Ovu PORUKU - UNUTARNJI PODACI MAPE ID-a poruke: <1495463280 @ linuxbox> X-IMAP: 1495462351 0000000008 Status: RO Ovaj je tekst dio internog formata mape vaše pošte i nije stvarna poruka. Stvara ga automatski softver sustava pošte. Ako se izbrišu, bitni podaci mape bit će izgubljeni i ponovno stvoreni s vraćanjem podataka na početne vrijednosti. Od root@desdelinux.fan ponedjeljak 22. svibnja 10:47:10 2017. Put povratka: X-Original-To: legolas Isporučeno-To: legolas@desdelinux.fan Primljeno: desdelinux.fan (Postfix, s korisničkog broja 0) id 7EA22C11FC57; Ponedjeljak, 22. svibnja 2017. 10:47:10 -0400 (EDT) Datum: ponedjeljak, 22. svibnja 2017. 10:47:10 -0400 Za: legolas@desdelinux.fan Predmet: Test korisničkog agenta: Heirloom mailx 12.5 7/5 / 10 MIME-inačica: 1.0 Sadržaj: tekst / običan; charset = us-ascii Content-Transfer-Encoding: 7bit Id poruke: <20170522144710.7EA22C11FC57@desdelinux.fan> Od: root@desdelinux.fan (root) X-UID: 7 Status: RO Pozdrav. Ovo je probna poruka od buzz@deslinux.fan ponedjeljak 22. svibnja 10:53:08 2017. Put povratka: X-Original-To: legolas@desdelinux.fan Dostavljeno-To: legolas@desdelinux.fan Primljeno: od sysadmin.desdelinux.fan (gateway [172.16.10.1]) od desdelinux.fan (Postfix) s ESMTP id C184DC11FC57 za ; Ponedjeljak, 22. svibnja 2017. 10:53:08 -0400 (EDT) ID poruke: <739874.219379516-sendEmail@sysadmin> Od: "buzz@deslinux.fan" Prima: "legolas@desdelinux.fan" Predmet: Pozdrav Datum: ponedjeljak, 22. svibnja 2017. 14:53:08 +0000 X-Mailer: sendEmail-1.56 MIME-verzija: 1.0 Vrsta sadržaja: više dijelova / povezano; border = "---- MIME graničnik za sendEmail-794889.899510057
/ var / mail / legolas

Sažetak PAM miniserije

Pogledali smo srž poštanskog poslužitelja i stavili mali naglasak na sigurnost. Nadamo se da članak služi kao ulazna točka za temu koja je toliko komplicirana i podložna pogreškama, kao što je ručna implementacija poštanskog poslužitelja.

Koristimo lokalnu autentifikaciju korisnika jer ako datoteku ispravno čitamo /etc/dovecot/conf.d/10-auth.conf, vidjet ćemo da je na kraju uključeno -prema zadanim postavkama- datoteka za provjeru autentičnosti korisnika sustava ! uključuju auth-system.conf.ext. Upravo nam ova datoteka u zaglavlju kaže:

[root @ linuxbox ~] # manje /etc/dovecot/conf.d/auth-system.conf.ext
# Autentifikacija za korisnike sustava. Uključeno u 10-auth.conf. # # # # PAM provjera autentičnosti. Danas preferira većina sustava.
# PAM se obično koristi s userdb passwd ili userdb static. # ZAPAMTITE: Trebat će vam datoteka /etc/pam.d/dovecot stvorena da bi PAM # provjera autentičnosti stvarno funkcionirala. passdb {pokretač = pam # [sesija = da] [setcred = da] [neuspjeh_prikaza_msg = da] [max_requests = ] # [cache_key = ] [ ] #args = golubinjak}

A druga datoteka postoji /etc/pam.d/dovecot:

[root @ linuxbox ~] # cat /etc/pam.d/dovecot 
#% Potrebno PAM-1.0 autorizacija pam_nologin.so auth uključuju lozinku-autorizaciju računa uključuju lozinku-autorsku sesiju uključuju lozinku-autorizaciju

Što pokušavamo priopćiti o PAM provjeri autentičnosti?

• CentOS, Debian, Ubuntu i mnoge druge distribucije Linuxa instaliraju Postifx i Dovecot s lokalnom provjerom autentičnosti koja je omogućena prema zadanim postavkama.
• Mnogi članci na Internetu koriste MySQL - a odnedavno i MariaDB - za pohranu korisnika i ostalih podataka koji se tiču ​​poštanskog poslužitelja. ALI ovo su poslužitelji za TISUĆE KORISNIKA, a ne za klasičnu MSP mrežu s - možda - stotinama korisnika.
• Autentifikacija putem PAM-a neophodna je i dovoljna za pružanje mrežnih usluga sve dok rade na jednom poslužitelju kao što smo vidjeli u ovoj miniseriji.
• Korisnici pohranjeni u LDAP bazi podataka mogu se mapirati kao da su lokalni korisnici, a PAM provjera autentičnosti može se koristiti za pružanje mrežnih usluga s različitih Linux poslužitelja koji djeluju kao LDAP klijenti središnjem poslužitelju za provjeru autentičnosti. Na taj bismo način radili s vjerodajnicama korisnika pohranjenih u bazi podataka središnjeg LDAP poslužitelja, a NE bi bilo bitno održavati bazu podataka s lokalnim korisnicima.

Do sljedeće avanture!