Как интегрировать iRedMail Roundcube с Samba4 AD DC. Часть 12
Roundcube, один из наиболее часто используемых пользовательских агентов веб-почты в Linux, предлагает конечным пользователям современный веб-интерфейс для взаимодействия со всеми почтовыми службами с целью чтения, составления и отправки электронных писем. Roundcube поддерживает различные почтовые протоколы, в том числе защищенные, такие как IMAPS, POP3S или отправку.
В этой теме мы обсудим, как настроить Roundcube в iRedMail с помощью IMAPS и предоставить защищенные порты для получения и отправки электронных писем для учетных записей Samba4 AD, как получить доступ к веб-интерфейсу iRedMail Roundcube из браузера и добавить псевдоним веб-адреса, как включить Samba4. Интеграция AD для глобальной адресной книги LDAP и способы отключения некоторых ненужных служб iRedMail.
Требования
- Как установить iRedMail на CentOS 7 для интеграции Samba4 AD
- Настройте iRedMail в CentOS 7 для интеграции Samba4 AD
Шаг 1. Объявите адрес электронной почты для учетных записей домена в Samba4 AD DC
1. Чтобы отправлять и получать почту для учетных записей домена Samba4 AD DC, вам необходимо отредактировать каждую учетную запись пользователя и явно указать адрес электронной почты, указанный в соответствующем адресе электронной почты, открыв Инструмент ADUC с компьютера под управлением Windows с установленными инструментами RSAT, подключенными к Samba4 AD, как показано на рисунке ниже.
2. Аналогичным образом, чтобы использовать списки рассылки, вам необходимо создать группы в ADUC, добавить соответствующий адрес электронной почты для каждой группы и назначить соответствующие учетные записи пользователей в качестве членов группы.
Если эта настройка создана в виде списка рассылки, все почтовые ящики участников группы Samba4 AD будут получать почту, предназначенную для адреса электронной почты группы AD. Используйте приведенные ниже снимки экрана в качестве руководства, чтобы объявить адрес электронной почты, сохраненный для учетной записи группы Samba4, и добавить пользователей домена в качестве членов группы.
Убедитесь, что у всех участников учетных записей, добавленных в группу, указан адрес электронной почты.
В этом примере все письма, отправленные на адрес электронной почты [email , указанный для группы «Администраторы домена», будут получены каждым почтовым ящиком участника этой группы.
3. Альтернативный метод, который вы можете использовать для объявления адреса электронной почты для учетной записи AD Samba4, — это создание пользователя или группы с помощью командной строки samba-tool непосредственно из одной из консолей AD DC. и укажите адрес электронной почты с помощью флага --mail-address
.
Используйте один из следующих синтаксисов команды, чтобы создать пользователя с указанным адресом электронной почты:
samba-tool user add [email --surname=your_surname --given-name=your_given_name your_ad_user
Создайте группу с указанным адресом электронной почты:
samba-tool group add [email your_ad_group
Чтобы добавить участников в группу:
samba-tool group addmembers your_group user1,user2,userX
Чтобы вывести список всех доступных командных полей samba-tool для пользователя или группы, используйте следующий синтаксис:
samba-tool user add -h
samba-tool group add -h
Шаг 3: Защитите веб-почту Roundcube
4. Прежде чем изменять файл конфигурации Roundcube, сначала используйте команду netstat, передаваемую через фильтр egrep, чтобы составить список сокетов, которые прослушивают Dovecot и Postfix, и убедиться, что порты должным образом защищены (993 для IMAPS и 587 для отправки). активны и включены.
netstat -tulpn| egrep 'dovecot|master'
5. Чтобы обеспечить прием и передачу почты между службами Roundcube и iRedMail через защищенные порты IMAP и SMTP, откройте файл конфигурации Roundcube, расположенный в /var/www/roundcubemail/config/config.inc.php. и обязательно измените следующие строки (в данном случае для localhost), как показано в приведенном ниже фрагменте:
// For IMAPS
$config['default_host'] = 'ssl://127.0.0.1';
$config['default_port'] = 993;
$config['imap_auth_type'] = 'LOGIN';
// For SMTP
$config['smtp_server'] = 'tls://127.0.0.1';
$config['smtp_port'] = 587;
$config['smtp_user'] = '%u';
$config['smtp_pass'] = '%p';
$config['smtp_auth_type'] = 'LOGIN';
Эта настройка настоятельно рекомендуется в случае, если Roudcube установлен на удаленном хосте, а не на том, который предоставляет почтовые службы (демоны IMAP, POP3 или SMTP).
6. Далее не закрывайте файл конфигурации, найдите и внесите следующие небольшие изменения, чтобы Roundcube можно было посещать только по протоколу HTTPS, чтобы скрыть номер версии и автоматически добавить доменное имя. для учетных записей, которые входят в веб-интерфейс.
$config['force_https'] = true;
$config['useragent'] = 'Your Webmail'; // Hide version number
$config['username_domain'] = 'domain.tld'
7. Также отключите следующие плагины: managesieve и пароль, добавив комментарий (//)
перед ним. строки, которая начинается с $config['plugins'].
Пользователи изменят свой пароль на компьютере с Windows или Linux, подключенном к Samba4 AD DC, после входа в систему и аутентификации в домене. Сисадмин будет глобально управлять всеми правилами фильтрации для учетных записей домена.
// $config['plugins'] = array('managesieve', 'password');
8. Наконец, сохраните и закройте файл конфигурации и посетите веб-почту Roundcube, открыв браузер и перейдите к IP-адресу iRedMail или полному доменному имени/адресу почты по протоколу HTTPS.
При первом посещении Roundcube в браузере должно появиться предупреждение из-за самоподписанного сертификата, который использует веб-сервер. Примите сертификат и войдите в систему, используя учетные данные учетной записи Samba AD.
https://iredmail-FQDN/mail
Шаг 3. Включите контакты Samba AD в Roundcube
9. Чтобы настроить глобальную адресную книгу Samba AD Global LDAP для отображения контактов Roundcube, снова откройте файл конфигурации Roundcube для редактирования и внесите следующие изменения:
Перейдите в конец файла и найдите раздел, который начинается с «# Глобальная адресная книга LDAP с AD», удалите все его содержимое до конца файла и замените его следующим блоком кода:
Global LDAP Address Book with AD.
#
$config['ldap_public']["global_ldap_abook"] = array(
'name' => 'tecmint.lan',
'hosts' => array("tecmint.lan"),
'port' => 389,
'use_tls' => false,
'ldap_version' => '3',
'network_timeout' => 10,
'user_specific' => false,
'base_dn' => "dc=tecmint,dc=lan",
'bind_dn' => "[email ",
'bind_pass' => "your_password",
'writable' => false,
'search_fields' => array('mail', 'cn', 'sAMAccountName', 'displayname', 'sn', 'givenName'),
'fieldmap' => array(
'name' => 'cn',
'surname' => 'sn',
'firstname' => 'givenName',
'title' => 'title',
'email' => 'mail:*',
'phone:work' => 'telephoneNumber',
'phone:mobile' => 'mobile',
'department' => 'departmentNumber',
'notes' => 'description',
),
'sort' => 'cn',
'scope' => 'sub',
'filter' => '(&(mail=*)(|(&(objectClass=user)(!(objectClass=computer)))(objectClass=group)))',
'fuzzy_search' => true,
'vlv' => false,
'sizelimit' => '0',
'timelimit' => '0',
'referrals' => false,
);
В этом блоке кода замените name, hosts, base_dn, bind_dn и bind_pass. ценности соответственно.
10. После внесения всех необходимых изменений сохраните и закройте файл, войдите в интерфейс веб-почты Roundcube и перейдите в меню адресной книги.
Нажмите на выбранное имя в Глобальной адресной книге, и список контактов всех учетных записей домена (пользователей и групп) с указанными адресами электронной почты должен быть виден.
Шаг 4. Добавьте псевдоним для интерфейса веб-почты Roundcube
11. Чтобы посетить Roundcube по веб-адресу следующей формы https://webmail.domain.tld вместо старого адреса, предоставленного iRedMail по умолчанию, вам необходимо сделать следующие изменения.
На подключенном компьютере Windows с установленными инструментами RSAT откройте диспетчер DNS и добавьте новую запись CNAME для полного доменного имени iRedMail с именем webmail, как показано на следующем изображении.
12. Затем на компьютере iRedMail откройте файл конфигурации SSL веб-сервера Apache, расположенный в /etc/httpd/conf.d/ssl.conf, и измените директиву DocumentRoot, чтобы она указывала на Системный путь /var/www/roundcubemail/.
отрывок из файла /etc/httpd/conf.d/ssl.conf:
DocumentRoot “/var/www/roundcubemail/”
Перезапустите демон Apache, чтобы применить изменения.
systemctl restart httpd
13. Теперь укажите в браузере следующий адрес, и должен появиться интерфейс Roundcube. Примите ошибку самоподписанного сертификата, чтобы продолжить вход на страницу входа. Замените домен.tld в этом примере своим собственным доменным именем.
https://webmail.domain.tld
Шаг 5. Отключите неиспользуемые службы iRedMail
14. Поскольку демоны iRedMail настроены на запрос LDAP-сервера Samba4 AD DC для получения информации об учетной записи и других ресурсов, вы можете безопасно остановить и отключить некоторые локальные службы на компьютере iRedMail, такие как сервер базы данных LDAP и службу iredpad, выдавая следующие команды.
systemctl stop slapd iredpad
systemctl disable slapd iredpad
15. Кроме того, отключите некоторые запланированные задачи, выполняемые iRedMail, такие как резервное копирование базы данных LDAP и записи отслеживания iRedPad, добавив комментарий (#) перед каждой строкой из файла crontab. как показано на скриншоте ниже.
crontab -e
Шаг 6. Используйте псевдоним почты в Postfix
16. Чтобы перенаправить всю локально сгенерированную почту (предназначенную для postmaster и впоследствии перенаправленную на учетную запись root) на определенную учетную запись Samba4 AD, откройте файл конфигурации псевдонимов Postfix, расположенный в /etc/postfix/aliases< и измените корневую строку следующим образом:
root: [email
17. Примените файл конфигурации псевдонимов, чтобы Postfix мог прочитать его в своем собственном формате, выполнив команду newaliases, и проверьте, отправляется ли почта на соответствующую учетную запись электронной почты домена, введя следующую команду.
echo “Test mail” | mail -s “This is root’s email” root
18. После отправки письма войдите в веб-почту Roundcube, используя учетную запись домена, которую вы настроили для перенаправления почты, и убедитесь, что ранее отправленное письмо должно быть получено в папке «Входящие» вашей учетной записи.
Все это! Теперь у вас есть полностью рабочий почтовый сервер, интегрированный с Samba4 Active Directory. Учетные записи домена могут отправлять и получать почту для своего внутреннего домена или для других внешних доменов.
Конфигурации, используемые в этом руководстве, можно успешно применить для интеграции сервера iRedMail с Windows Server 2012 R2 или 2016 Active Directory.