Cum se integrează iRedMail Roundcube cu Samba4 AD DC - Partea 12
Roundcube, unul dintre cei mai folosiți agenți de utilizare webmail din Linux, oferă o interfață web modernă pentru ca utilizatorii finali să interacționeze cu toate serviciile de e-mail pentru a citi, compune și trimite e-mailuri. Roundcube acceptă o varietate de protocoale de e-mail, inclusiv cele securizate, cum ar fi IMAPS, POP3S sau trimitere.
În acest subiect vom discuta despre cum să configurați Roundcube în iRedMail cu IMAPS și trimitere porturi securizate pentru a prelua și trimite e-mailuri pentru conturile Samba4 AD, cum să accesați interfața web iRedMail Roundcube dintr-un browser și să adăugați un alias de adresă web, cum să activați Samba4 Integrarea AD pentru agenda globală de adrese LDAP și cum să dezactivați unele servicii iRedMail inutile.
Cerințe
- Cum se instalează iRedMail pe CentOS 7 pentru integrarea Samba4 AD
- Configurați iRedMail pe CentOS 7 pentru integrarea Samba4 AD
Pasul 1: Declarați adresa de e-mail pentru conturile de domeniu în Samba4 AD DC
1. Pentru a trimite și a primi e-mail pentru conturile de domeniu Samba4 AD DC, trebuie să editați fiecare cont de utilizator și să setați în mod explicit e-mailul depus cu adresa de e-mail corespunzătoare, deschizând Instrumentul ADUC de la o mașină Windows cu instrumente RSAT instalate și conectate la Samba4 AD, așa cum este ilustrat în imaginea de mai jos.
2. În mod similar, pentru a utiliza liste de e-mail, trebuie să creați grupuri în ADUC, să adăugați adresa de e-mail corespunzătoare pentru fiecare grup și să atribuiți conturile de utilizator adecvate ca membri ai grupului.
Cu această configurare creată ca o listă de e-mail, toate căsuțele poștale ale membrilor unui grup Samba4 AD vor primi e-mailuri destinate unei adrese de e-mail a unui grup AD. Utilizați capturile de ecran de mai jos ca ghid pentru a declara e-mailurile înregistrate pentru un cont de grup Samba4 și pentru a adăuga utilizatori de domeniu ca membri ai grupului.
Asigurați-vă că toți membrii conturilor adăugate la un grup au adresa de e-mail declarată.
În acest exemplu, toate e-mailurile trimise la adresa de e-mail [email declarată pentru grupul „Administratori de domeniu” vor fi primite de fiecare căsuță poștală de membru al acestui grup.
3. O metodă alternativă pe care o puteți folosi pentru a declara adresa de e-mail pentru un cont Samba4 AD este crearea unui utilizator sau a unui grup cu linia de comandă a instrumentului samba direct de la una dintre consola AD DC și specificați adresa de e-mail cu indicatorul --mail-address.
Utilizați una dintre următoarele sintaxe de comandă pentru a crea un utilizator cu adresa de e-mail specificată:
samba-tool user add [email --surname=your_surname --given-name=your_given_name your_ad_user
Creați un grup cu adresa de e-mail specificată:
samba-tool group add [email your_ad_group
Pentru a adăuga membri într-un grup:
samba-tool group addmembers your_group user1,user2,userX
Pentru a lista toate câmpurile de comandă samba-tool disponibile pentru un utilizator sau un grup, utilizați următoarea sintaxă:
samba-tool user add -h
samba-tool group add -h
Pasul 3: Securizare Roundcube Webmail
4. Înainte de a modifica fișierul de configurare Roundcube, mai întâi, utilizați comanda netstat transmisă prin filtrul egrep pentru a enumera socket-urile pe care Dovecot și Postfix le ascultă și pentru a vă asigura că porturile securizate corespunzător (993 pentru IMAPS și 587 pentru trimitere) sunt active și activate.
netstat -tulpn| egrep 'dovecot|master'
5. Pentru a impune recepția și transferul de corespondență între serviciile Roundcube și iRedMail pe porturile IMAP și SMTP securizate, deschideți fișierul de configurare Roundcube aflat în /var/www/roundcubemail/config/config.inc.php și asigurați-vă că modificați următoarele rânduri, pentru localhost în acest caz, așa cum se arată în fragmentul de mai jos:
// For IMAPS
$config['default_host'] = 'ssl://127.0.0.1';
$config['default_port'] = 993;
$config['imap_auth_type'] = 'LOGIN';
// For SMTP
$config['smtp_server'] = 'tls://127.0.0.1';
$config['smtp_port'] = 587;
$config['smtp_user'] = '%u';
$config['smtp_pass'] = '%p';
$config['smtp_auth_type'] = 'LOGIN';
Această configurare este foarte recomandată în cazul în care Roudcube este instalat pe o gazdă la distanță decât cea care oferă servicii de e-mail (daemoni IMAP, POP3 sau SMTP).
6. În continuare, nu închideți fișierul de configurare, căutați și faceți următoarele mici modificări pentru ca Roundcube să fie vizitat doar prin protocolul HTTPS, pentru a ascunde numărul versiunii și pentru a adăuga automat numele domeniului pentru conturile care se autentifică în interfața web.
$config['force_https'] = true;
$config['useragent'] = 'Your Webmail'; // Hide version number
$config['username_domain'] = 'domain.tld'
7. De asemenea, dezactivați următoarele pluginuri: managesieve și parola adăugând un comentariu (//) în față din linia care începe cu $config['plugins'].
Utilizatorii își vor schimba parola de la o mașină Windows sau Linux conectată la Samba4 AD DC odată ce se autentifică și se autentifică la domeniu. Un administrator de sistem va gestiona la nivel global toate regulile de filtrare pentru conturile de domeniu.
// $config['plugins'] = array('managesieve', 'password');
8. În cele din urmă, salvați și închideți fișierul de configurare și vizitați Roundcube Webmail deschizând un browser și navigați la adresa IP iRedMail sau la locația FQDN/mail prin protocolul HTTPS.
Prima dată când vizitați Roundcube, ar trebui să apară o alertă în browser datorită Certificatului autosemnat pe care îl folosește serverul web. Acceptați certificatul și conectați-vă cu acreditările unui cont Samba AD.
https://iredmail-FQDN/mail
Pasul 3: Activați contactele Samba AD în Roundcube
9. Pentru a configura Agenda de adrese LDAP globală Samba AD să apară Contacte Roundcube, deschideți din nou fișierul de configurare Roundcube pentru editare și efectuați următoarele modificări:
Navigați în partea de jos a fișierului și identificați secțiunea care începe cu „# Agendă de adrese LDAP globală cu AD”, ștergeți tot conținutul acestuia până la sfârșitul fișierului și înlocuiți-l cu următorul bloc de cod:
Global LDAP Address Book with AD.
#
$config['ldap_public']["global_ldap_abook"] = array(
'name' => 'tecmint.lan',
'hosts' => array("tecmint.lan"),
'port' => 389,
'use_tls' => false,
'ldap_version' => '3',
'network_timeout' => 10,
'user_specific' => false,
'base_dn' => "dc=tecmint,dc=lan",
'bind_dn' => "[email ",
'bind_pass' => "your_password",
'writable' => false,
'search_fields' => array('mail', 'cn', 'sAMAccountName', 'displayname', 'sn', 'givenName'),
'fieldmap' => array(
'name' => 'cn',
'surname' => 'sn',
'firstname' => 'givenName',
'title' => 'title',
'email' => 'mail:*',
'phone:work' => 'telephoneNumber',
'phone:mobile' => 'mobile',
'department' => 'departmentNumber',
'notes' => 'description',
),
'sort' => 'cn',
'scope' => 'sub',
'filter' => '(&(mail=*)(|(&(objectClass=user)(!(objectClass=computer)))(objectClass=group)))',
'fuzzy_search' => true,
'vlv' => false,
'sizelimit' => '0',
'timelimit' => '0',
'referrals' => false,
);
În acest bloc de cod înlocuiți name, hosts, base_dn, bind_dn și bind_pass valorile în consecință.
10. După ce ați făcut toate modificările necesare, salvați și închideți fișierul, conectați-vă la interfața de webmail Roundcube și accesați meniul Agendă.
Apăsați pe numele Agendă globală de adrese aleasă și ar trebui să fie vizibilă o listă de contacte cu toate conturile de domeniu (utilizatori și grupuri) cu adresa de e-mail specificată.
Pasul 4: Adăugați un alias pentru interfața Roundcube Webmail
11. Pentru a vizita Roundcube la o adresă web cu următorul formular https://webmail.domain.tld în loc de vechea adresă furnizată implicit de iRedMail, trebuie să faceți următoarele modificări.
De la o mașină Windows conectată cu instrumentele RSAT instalate, deschideți DNS Manager și adăugați o nouă înregistrare CNAME pentru iRedMail FQDN, denumită webmail, așa cum este ilustrat în imaginea următoare.
12. Apoi, pe computerul iRedMail, deschideți fișierul de configurare SSL al serverului web Apache aflat în /etc/httpd/conf.d/ssl.conf și modificați directiva DocumentRoot pentru a indica /var/www/roundcubemail/ calea sistemului.
extras din fișierul /etc/httpd/conf.d/ssl.conf:
DocumentRoot “/var/www/roundcubemail/”
Reporniți demonul Apache pentru a aplica modificările.
systemctl restart httpd
13. Acum, îndreptați browserul către următoarea adresă și ar trebui să apară interfața Roundcube. Acceptați eroarea certificatului autosemnat pentru a continua pe pagina de autentificare. Înlocuiți domain.tld din acest exemplu cu propriul nume de domeniu.
https://webmail.domain.tld
Pasul 5: Dezactivează serviciile iRedMail neutilizate
14. Deoarece demonii iRedMail sunt configurați pentru a interoga serverul LDAP Samba4 AD DC pentru informații despre cont și alte resurse, puteți opri și dezactiva în siguranță unele servicii locale pe mașina iRedMail, cum ar fi serverul de baze de date LDAP și serviciul iredpad prin emitând următoarele comenzi.
systemctl stop slapd iredpad
systemctl disable slapd iredpad
15. De asemenea, dezactivați unele activități programate efectuate de iRedMail, cum ar fi backupul bazei de date LDAP și înregistrările de urmărire iRedPad, adăugând un comentariu (#) în fața fiecărei linii din fișierul crontab așa cum este ilustrat în captura de ecran de mai jos.
crontab -e
Pasul 6: Folosiți Alias de e-mail în Postfix
16. Pentru a redirecționa toate e-mailurile generate local (destinate postmasterului și ulterior redirecționate către contul root) către un anumit cont Samba4 AD, deschideți fișierul de configurare al aliasurilor Postfix aflat în /etc/postfix/aliases< și modificați linia rădăcină după cum urmează:
root: [email
17. Aplicați fișierul de configurare al aliasurilor, astfel încât Postfix să îl poată citi în propriul format, executând comanda newaliases și testați dacă e-mailul este trimis către contul de e-mail al domeniului corespunzător, lansând următoarea comandă.
echo “Test mail” | mail -s “This is root’s email” root
18. După ce e-mailul a fost trimis, conectați-vă la Roundcube webmail cu contul de domeniu pe care l-ați configurat pentru redirecționarea e-mailului și verificați ca e-mailurile trimise anterior să fie primite în Inboxul contului dvs.
Asta-i tot! Acum, aveți un server de e-mail complet funcțional integrat cu Samba4 Active Directory. Conturile de domeniu pot trimite și primi e-mail pentru domeniul lor intern sau pentru alte domenii externe.
Configurațiile utilizate în acest tutorial pot fi aplicate cu succes pentru a integra un server iRedMail într-un Windows Server 2012 R2 sau 2016 Active Directory.