Jak zintegrować iRedMail Roundcube z Samba4 AD DC — część 12
Roundcube, jeden z najczęściej używanych programów poczty internetowej w systemie Linux, oferuje nowoczesny interfejs sieciowy umożliwiający użytkownikom końcowym interakcję ze wszystkimi usługami pocztowymi w celu czytania, tworzenia i wysyłania wiadomości e-mail. Roundcube obsługuje różne protokoły pocztowe, w tym protokoły zabezpieczone, takie jak IMAPS, POP3S lub przesyłanie.
W tym temacie omówimy, jak skonfigurować Roundcube w iRedMail z IMAPS i zabezpieczonymi portami przesyłania, aby pobierać i wysyłać wiadomości e-mail dla kont Samba4 AD, jak uzyskać dostęp do interfejsu sieciowego iRedMail Roundcube z przeglądarki i dodać alias adresu internetowego, jak włączyć Samba4 Integracja AD z globalną książką adresową LDAP i sposób wyłączania niektórych niepotrzebnych usług iRedMail.
Wymagania
- Jak zainstalować iRedMail na CentOS 7 w celu integracji Samba4 AD
- Skonfiguruj iRedMail na CentOS 7 pod kątem integracji Samba4 AD
Krok 1: Zadeklaruj adres e-mail dla kont domenowych w Samba4 AD DC
1. Aby wysyłać i odbierać pocztę dla kont domeny Samba4 AD DC, musisz edytować każde konto użytkownika i jawnie ustawić adres e-mail złożony z prawidłowego adresu e-mail, otwierając Narzędzie ADUC z komputera z systemem Windows z zainstalowanymi narzędziami RSAT i dołączonymi do Samba4 AD, jak pokazano na poniższym obrazku.
2. Podobnie, aby korzystać z list mailingowych, musisz utworzyć grupy w ADUC, dodać odpowiedni adres e-mail dla każdej grupy i przypisać odpowiednie konta użytkowników jako członków grupy.
Po utworzeniu tej konfiguracji jako listy mailowej, skrzynki pocztowe wszystkich członków grupy AD Samba4 będą otrzymywać pocztę przeznaczoną na adres e-mail grupy AD. Skorzystaj z poniższych zrzutów ekranu jako przewodnika, jak zadeklarować adres e-mail zarejestrowany dla konta grupowego Samba4 i dodać użytkowników domeny jako członków grupy.
Upewnij się, że wszyscy członkowie kont dodanych do grupy mają zadeklarowany adres e-mail.
W tym przykładzie wszystkie wiadomości wysłane na adres [email zadeklarowany w grupie „Administratorzy domeny” zostaną odebrane przez skrzynki pocztowe każdego członka tej grupy.
3. Alternatywną metodą zadeklarowania adresu e-mail dla konta Samba4 AD jest utworzenie użytkownika lub grupy za pomocą wiersza poleceń samba-tool bezpośrednio z jednej z konsoli AD DC i podaj adres e-mail za pomocą flagi --mail-address.
Użyj jednej z poniższych składni poleceń, aby utworzyć użytkownika z określonym adresem e-mail:
samba-tool user add [email --surname=your_surname --given-name=your_given_name your_ad_user
Utwórz grupę z podanym adresem e-mail:
samba-tool group add [email your_ad_group
Aby dodać członków do grupy:
samba-tool group addmembers your_group user1,user2,userX
Aby wyświetlić listę wszystkich dostępnych pól poleceń samba-tool dla użytkownika lub grupy, użyj następującej składni:
samba-tool user add -h
samba-tool group add -h
Krok 3: Bezpieczna poczta internetowa Roundcube
4. Przed zmodyfikowaniem pliku konfiguracyjnego Roundcube najpierw użyj polecenia netstat przesłanego przez filtr egrep, aby wyświetlić listę gniazd, których nasłuchują Dovecot i Postfix, i upewnij się, że porty są odpowiednio zabezpieczone (993 dla IMAPS i 587 dla przesyłania) są aktywne i włączone.
netstat -tulpn| egrep 'dovecot|master'
5. Aby wymusić odbiór poczty i transfer między usługami Roundcube i iRedMail na zabezpieczonych portach IMAP i SMTP, otwórz plik konfiguracyjny Roundcube znajdujący się w /var/www/roundcubemail/config/config.inc.php i upewnij się, że zmieniłeś następujące wiersze, w tym przypadku localhost, jak pokazano w poniższym fragmencie:
// For IMAPS
$config['default_host'] = 'ssl://127.0.0.1';
$config['default_port'] = 993;
$config['imap_auth_type'] = 'LOGIN';
// For SMTP
$config['smtp_server'] = 'tls://127.0.0.1';
$config['smtp_port'] = 587;
$config['smtp_user'] = '%u';
$config['smtp_pass'] = '%p';
$config['smtp_auth_type'] = 'LOGIN';
Ta konfiguracja jest wysoce zalecana w przypadku, gdy Roudcube jest zainstalowany na zdalnym hoście niż ten, który udostępnia usługi pocztowe (demony IMAP, POP3 lub SMTP).
6. Następnie nie zamykaj pliku konfiguracyjnego, wyszukaj i dokonaj następujących drobnych zmian, aby Roundcube można było odwiedzać tylko poprzez protokół HTTPS, aby ukryć numer wersji i automatycznie dodać nazwę domeny dla kont logujących się w interfejsie internetowym.
$config['force_https'] = true;
$config['useragent'] = 'Your Webmail'; // Hide version number
$config['username_domain'] = 'domain.tld'
7. Wyłącz także następujące wtyczki: managesieve i password, dodając komentarz (//) z przodu linii zaczynającej się od $config['plugins'].
Użytkownicy zmienią swoje hasło na komputerze z systemem Windows lub Linux podłączonym do Samba4 AD DC po zalogowaniu się i uwierzytelnieniu w domenie. Administrator systemu będzie globalnie zarządzał wszystkimi regułami sita dla kont domeny.
// $config['plugins'] = array('managesieve', 'password');
8. Na koniec zapisz i zamknij plik konfiguracyjny i odwiedź Roundcube Webmail, otwierając przeglądarkę i przejdź do adresu IP iRedMail lub lokalizacji FQDN/poczty za pośrednictwem protokołu HTTPS.
Przy pierwszej wizycie w Roundcube w przeglądarce powinien pojawić się alert dotyczący certyfikatu z podpisem własnym, którego używa serwer WWW. Zaakceptuj certyfikat i zaloguj się przy użyciu danych uwierzytelniających konta Samba AD.
https://iredmail-FQDN/mail
Krok 3: Włącz kontakty Samba AD w Roundcube
9. Aby skonfigurować globalną książkę adresową LDAP Samba AD tak, aby wyświetlała się w Kontaktach Roundcube, otwórz ponownie plik konfiguracyjny Roundcube do edycji i wprowadź następujące zmiany:
Przejdź na dół pliku i znajdź sekcję zaczynającą się od „#Globalna książka adresowa LDAP z AD”, usuń całą jej zawartość aż do końca pliku i zastąp ją następującym blokiem kodu:
Global LDAP Address Book with AD.
#
$config['ldap_public']["global_ldap_abook"] = array(
'name' => 'tecmint.lan',
'hosts' => array("tecmint.lan"),
'port' => 389,
'use_tls' => false,
'ldap_version' => '3',
'network_timeout' => 10,
'user_specific' => false,
'base_dn' => "dc=tecmint,dc=lan",
'bind_dn' => "[email ",
'bind_pass' => "your_password",
'writable' => false,
'search_fields' => array('mail', 'cn', 'sAMAccountName', 'displayname', 'sn', 'givenName'),
'fieldmap' => array(
'name' => 'cn',
'surname' => 'sn',
'firstname' => 'givenName',
'title' => 'title',
'email' => 'mail:*',
'phone:work' => 'telephoneNumber',
'phone:mobile' => 'mobile',
'department' => 'departmentNumber',
'notes' => 'description',
),
'sort' => 'cn',
'scope' => 'sub',
'filter' => '(&(mail=*)(|(&(objectClass=user)(!(objectClass=computer)))(objectClass=group)))',
'fuzzy_search' => true,
'vlv' => false,
'sizelimit' => '0',
'timelimit' => '0',
'referrals' => false,
);
W tym bloku kodu zamień name, hosts, base_dn, bind_dn i bind_pass odpowiednio wartości.
10. Po dokonaniu wszystkich wymaganych zmian zapisz i zamknij plik, zaloguj się do interfejsu poczty internetowej Roundcube i przejdź do menu Książki adresowej.
Kliknij wybraną nazwę w Globalnej książce adresowej i powinna być widoczna lista kontaktów wszystkich kont domeny (użytkowników i grup) z określonymi adresami e-mail.
Krok 4: Dodaj alias dla interfejsu poczty internetowej Roundcube
11. Aby odwiedzić Roundcube pod adresem internetowym z następującym formularzem https://webmail.domain.tld zamiast starego adresu domyślnie podawanego przez iRedMail, musisz dokonać następujące zmiany.
Na połączonym komputerze z systemem Windows i zainstalowanymi narzędziami RSAT otwórz Menedżera DNS i dodaj nowy rekord CNAME dla nazwy FQDN iRedMail o nazwie webmail, jak pokazano na poniższym obrazku.
12. Następnie na komputerze iRedMail otwórz plik konfiguracyjny SSL serwera WWW Apache znajdujący się w /etc/httpd/conf.d/ssl.conf i zmień dyrektywę DocumentRoot tak, aby wskazywała /var/www/roundcubemail/ ścieżka systemowa.
plik /etc/httpd/conf.d/ssl.conf fragment:
DocumentRoot “/var/www/roundcubemail/”
Uruchom ponownie demona Apache, aby zastosować zmiany.
systemctl restart httpd
13. Teraz wskaż w przeglądarce następujący adres, a powinien pojawić się interfejs Roundcube. Zaakceptuj błąd certyfikatu z podpisem własnym, aby kontynuować stronę logowania. Zamień plik domain.tld z tego przykładu na własną nazwę domeny.
https://webmail.domain.tld
Krok 5: Wyłącz nieużywane usługi iRedMail
14. Ponieważ demony iRedMail są skonfigurowane tak, aby wysyłały zapytania do serwera Samba4 AD DC LDAP w celu uzyskania informacji o koncie i innych zasobów, możesz bezpiecznie zatrzymać i wyłączyć niektóre usługi lokalne na komputerze iRedMail, takie jak serwer bazy danych LDAP i usługa iredpad, korzystając z wydając następujące polecenia.
systemctl stop slapd iredpad
systemctl disable slapd iredpad
15. Wyłącz także niektóre zaplanowane zadania wykonywane przez iRedMail, takie jak tworzenie kopii zapasowych bazy danych LDAP i rejestry śledzenia iRedPad, dodając komentarz (#) przed każdą linią pliku crontab jak pokazano na poniższym zrzucie ekranu.
crontab -e
Krok 6: Użyj aliasu pocztowego w Postfix
16. Aby przekierować całą lokalnie generowaną pocztę (przeznaczoną dla postmastera, a następnie przekierowaną na konto root) na określone konto Samba4 AD, otwórz plik konfiguracyjny aliasów Postfix znajdujący się w /etc/postfix/aliases< i zmodyfikuj linię główną w następujący sposób:
root: [email
17. Zastosuj plik konfiguracyjny aliasów, aby Postfix mógł go odczytać we własnym formacie, wykonując polecenie newaliases i sprawdź, czy poczta zostanie wysłana na konto e-mail właściwej domeny, wydając poniższe polecenie.
echo “Test mail” | mail -s “This is root’s email” root
18. Po wysłaniu wiadomości zaloguj się do poczty internetowej Roundcube przy użyciu konta domeny, które skonfigurowałeś do przekierowywania poczty i sprawdź, czy poprzednio wysłana poczta powinna dotrzeć do skrzynki odbiorczej Twojego konta.
To wszystko! Teraz masz w pełni działający serwer pocztowy zintegrowany z Samba4 Active Directory. Konta domenowe mogą wysyłać i odbierać pocztę w swojej domenie wewnętrznej lub w innych domenach zewnętrznych.
Konfiguracje użyte w tym samouczku można z powodzeniem zastosować do integracji serwera iRedMail z usługą Windows Server 2012 R2 lub 2016 Active Directory.