User Tools

Site Tools


сервер_dovecot

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision
Previous revision
сервер_dovecot [2020/08/28 07:59]
val
сервер_dovecot [2021/10/14 09:51] (current)
val [Копируем ключи в системный keytab]
Line 11: Line 11:
 ==== Debian/​Ubuntu ==== ==== Debian/​Ubuntu ====
  
-=== Без поддержки GSSAPI ===+  * [[https://​help.ubuntu.com/​community/​Dovecot]]
  
-[[https://​help.ubuntu.com/​community/​Dovecot]] 
 <​code>​ <​code>​
 root@server:​~#​ apt install dovecot-imapd root@server:​~#​ apt install dovecot-imapd
 </​code>​ </​code>​
  
-=== C поддержкой GSSAPI === +
-<​code>​ +
-root@gate:​~#​ apt install dovecot-imapd dovecot-gssapi +
-</​code>​+
  
  
  
 ===== Настройка с использованием стандартных mailboxes и аутентификации открытым текстом ===== ===== Настройка с использованием стандартных mailboxes и аутентификации открытым текстом =====
 +
 +!!! Можно не делать,​ если удастся "​уговорить"​ Thunderbird использовать самоподписанные сертификаты (не удалось под Linux)
  
 <​code>​ <​code>​
Line 38: Line 36:
 ... ...
 ssl = no  ssl = no 
-... 
-#ssl_cert = ... 
-#ssl_key = ... 
 ... ...
 </​code><​code>​ </​code><​code>​
-server# ​cat /​etc/​dovecot/​conf.d/​10-mail.conf+server# ​less /​etc/​dovecot/​conf.d/​10-mail.conf
 </​code><​code>​ </​code><​code>​
 ... ...
Line 66: Line 61:
 ===== Kerberos GSSAPI аутентификация ===== ===== Kerberos GSSAPI аутентификация =====
  
 +<​code>​
 +# apt install dovecot-imapd dovecot-gssapi
 +</​code>​
 ==== Создаем ключи сервиса и копируем иx на сервер ==== ==== Создаем ключи сервиса и копируем иx на сервер ====
  
Line 74: Line 72:
 Добавляем пользователя в AD Добавляем пользователя в AD
 <​code>​ <​code>​
 +Login: gatesmtp
 Login: gateimap Login: gateimap
 Password: Pa$$w0rd Password: Pa$$w0rd
Line 84: Line 83:
 <​code>​ <​code>​
 C:​\>​ktpass -princ imap/​gate.corpX.un@CORPX.UN -mapuser gateimap -pass '​Pa$$w0rd'​ -out gateimap.keytab C:​\>​ktpass -princ imap/​gate.corpX.un@CORPX.UN -mapuser gateimap -pass '​Pa$$w0rd'​ -out gateimap.keytab
 +
 +C:​\>​ktpass -princ smtp/​gate.corpX.un@CORPX.UN -mapuser gatesmtp -pass '​Pa$$w0rd'​ -out gatesmtp.keytab
 </​code>​ </​code>​
  
Line 89: Line 90:
 <​code>​ <​code>​
 C:\>pscp gateimap.keytab root@gate: C:\>pscp gateimap.keytab root@gate:
 +
 +C:\>pscp gatesmtp.keytab root@gate:
 </​code>​ </​code>​
  
Line 112: Line 115:
 kadmin.local: ​ ktadd -k gateimap.keytab imap/​gate.CORPX.UN kadmin.local: ​ ktadd -k gateimap.keytab imap/​gate.CORPX.UN
  
 +kadmin.local: ​ addprinc -randkey smtp/​gate.corpX.un
 +kadmin.local: ​ addprinc -e rc4-hmac:​normal -randkey smtp/​gate.CORPX.UN
 +
 +kadmin.local: ​ ktadd -k gatesmtp.keytab smtp/​gate.corpX.un
 +kadmin.local: ​ ktadd -k gatesmtp.keytab smtp/​gate.CORPX.UN
 kadmin.local: ​ exit kadmin.local: ​ exit
 +</​code>​
 +
 +=== Samba4 ===
 +<​code>​
 +server# samba-tool user create gatemail
 +
 +server# samba-tool user setexpiry gatemail --noexpiry
 +
 +server# samba-tool spn add imap/​gate.corpX.un gatemail
 +server# samba-tool spn add smtp/​gate.corpX.un gatemail
 +
 +server# samba-tool spn list gatemail
 +
 +server# samba-tool domain exportkeytab gateimap.keytab --principal=imap/​gate.corpX.un
 +server# samba-tool domain exportkeytab gatesmtp.keytab --principal=smtp/​gate.corpX.un
 </​code>​ </​code>​
  
Line 118: Line 141:
 <​code>​ <​code>​
 server# scp gateimap.keytab gate: server# scp gateimap.keytab gate:
 +
 +server# scp gatesmtp.keytab gate:
 </​code>​ </​code>​
  
Line 133: Line 158:
 root@gate:​~#​ ktutil ​ root@gate:​~#​ ktutil ​
 ktutil: ​ rkt /​root/​gateimap.keytab ktutil: ​ rkt /​root/​gateimap.keytab
 +ktutil: ​ rkt /​root/​gatesmtp.keytab
 ktutil: ​ wkt /​etc/​krb5.keytab ktutil: ​ wkt /​etc/​krb5.keytab
 ktutil: ​ quit ktutil: ​ quit
Line 146: Line 172:
 </​code><​code>​ </​code><​code>​
 ... ...
 +#​периодически нужно :)
 auth_gssapi_hostname = "​$ALL"​ auth_gssapi_hostname = "​$ALL"​
 ... ...
-auth_mechanisms = gssapi+auth_mechanisms = gssapi ​plain
 ... ...
-</​code>​+</​code>​<​code>​ 
 +debian10_11#​ chmod +r /​etc/​krb5.keytab
  
-==== Настройка клиента Thunderbird на использование GSSAPI ==== 
-<​code>​ 
 gate# mail user1 gate# mail user1
 </​code>​ </​code>​
  
-Email адрес: user1@gate.corpX.un+  * Thunderbird - [[Thunderbird#​Настройка на использование GSSAPI]]
  
-При первом запуске Thunderbird отмените получение почты с указанием пароля 
  
-Откройте свойства папки user1@gate.corpX.un -> Параметры сервера->​Использовать аутентификацию GSSAPI 
  
 ===== Аутентификация для postfix ===== ===== Аутентификация для postfix =====
Line 287: Line 311:
 </​code>​ </​code>​
  
-===== NTLM аутентификация и авторизация ​=====+==== NTLM аутентификация и авторизация ====
  
   * [[Сервис WINBIND#​Регистрация unix системы в домене в режиме DOMAIN]]   * [[Сервис WINBIND#​Регистрация unix системы в домене в режиме DOMAIN]]
   * [[Сервис WINBIND#​Авторизация в режиме DOMAIN]]   * [[Сервис WINBIND#​Авторизация в режиме DOMAIN]]
  
-==== Настройка dovecot на использование NTLM ====+=== Настройка dovecot на использование NTLM ===
 <​code>​ <​code>​
 # cat 10-auth.conf # cat 10-auth.conf
Line 311: Line 335:
 </​code>​ </​code>​
  
-==== Настройка клиента Outlook Express на использование NTLM ====+=== Настройка клиента Outlook Express на использование NTLM ===
 ... ...
 Использовать безопасную проверку пароля (SPA) Использовать безопасную проверку пароля (SPA)
 ... ...
сервер_dovecot.1598590786.txt.gz · Last modified: 2020/08/28 07:59 by val