Astra linux special edition forum

Смоленск 1.5 Настройка почтового сервера на Astra Linux 1.5 special edition

логи внешней почты (yandex.ru, mail.ru) — отклоняется, требуется аутентификация.
понятно, что нужно настроить дополнительный тип аутентификации. как ее настроить, исходя из каких принципов?

в файле /etc/exim4/conf.d/acl/30_exim4-config_check_rcpt о котором написано в документации на Astra Linux про подключение доменных пользователей в строке hosts = *:+relay_from_hosts символ * заменить на хосты для которых требуется аутентификация. для всех остальных аутентификация требоваться не будет. т.е. файл в документации должен быть приблизительно таким
deny
message = «Auth required»
hosts = 10.0.0.0/8:172.16.0.0/12:192.168.0.0/16:+relay_from_hosts
!authenticated = *

azm9s

New member

как всегда, проблема была в невнимательности в /etc/hosts в одной буковке ( (((
а бился два дня.
а зачем дубливароть ns1 ns2 в hosts если все DNS отвечает?
не первый раз встречаю кстати

ingener

New member

_Denis_

New member

ingener

New member

azm9s

New member

так если hosts полный, со списком всех АРМ.
а так только эти два сервера и больше ничего(кроме своих ip)

demony99

New member

Nikola08

New member

Добрый день. На сервере настроил dns, ntp, ald, exim и dovecot. При подключении к серверу с арма через Thunderbird, в логах аутентификации на сервере сыпятся ошибки авторизации dovecot. Пользователь создан в ald и отправлен на сервер и арм. Скиньте пожалуйста мануал по настройке, рабочий.

ingener

New member

мануала как такового нет. есть дополнительная инструкция сборная из интернета и собственного опыта. мне помогла

Вложения

Nikola08

New member

мануала как такового нет. есть дополнительная инструкция сборная из интернета и собственного опыта. мне помогла

Сомневался, что это поможет, т.к. dovecot настроен на pam аутентификацию. Собственно в логах её и не проходит, не помогло.

Montfer

New member

Сомневался, что это поможет, т.к. dovecot настроен на pam аутентификацию. Собственно в логах её и не проходит, не помогло.

Понятия не имею, о чем вы говорите, но пятой точкой чувствую, что без самих логов знающие люди не помогут.

oko

New member

Выкладываю свой вариант настройки почтовика с PAM на минималках. Возможно, кому-то пригодится.
Правки в конфиг-файлы сделаны по принципу «дописать, если опция не включена по умолчанию; если включена (раскомментирована) — переписать».

Исходные данные
Astra Linux Special Edition 1.6
EMAIL-сервер Exim4 + Dovecot, astra linux se 1.6, обслуживающий зону astra.lan для ВСЕХ сетей
EMAIL-сервер внутренний ip = 192.168.1.1, внешний ip = 172.16.2.120
Настройка «на минималках» и без SSL, зато с полным логированием запросов
Dovecot = прием почты на клиента по протоколу IMAP (в Astra Linux Special Edition 1.6 имеется только IMAP! POP3 отсутствует!)
Exim4 = отправка почты от клиента по протоколу SMTP
ALD не используется — пользователи заводятся локально (PAM) в системе сервера и локально в системе клиента

Читайте также:  Node js on linux server

dpkg-reconfigure exim4-config
— интернет-сайт
— astra.lan
— пустое поле
— astra.lan
— пустое поле
— 192.168.1.0/24;172.16.2.0/24
— нет
— Maildir формат в домашнем каталоге
— нет (так будет проще, поверьте)

nano /etc/exim4/exim4.conf.template (или переименовываем его в exim4.conf — без разницы, и это, сцуко, дебилизм)
правим строки:
domainlist local_domains = astra.lan
hostlist relay_from_hosts = 192.168.1.0/24;172.16.2.0/24

nano /etc/exim4/conf.d/main/90_exim4-config_log_selector
.ifdef MAIN_LOG_SELECTOR
log_selector = \
+all_parents \
+connection_reject \
+lost_incoming_connection \
+received_sender \
+received_recipients \
+smtp_confirmation \
+smtp_syntax_error \
+smtp_protocol_error \
-queue_run
log_file_path = /var/log/exim4/exim_%slog
.endif

sudo systemctl enable exim4 && sudo service exim4 restart
Читаем /var/log/syslog и перенаправленный лог /var/log/exim4/ — ошибок быть не должно, сервис должен запуститься (проверяем командой sudo service exim4 status)
ВНИМАНИЕ : если клиенту (в том же Thunderbird) выдает о невозможности скопировать отправленное письмо в папку «Отправленные» или что-либо про несуществующий каталог пользователя, делаем:
sudo service exim4 stop
sudo rm -rf /var/spool/mail/
sudo exim4 -qff -v
sudo service exim4 start

nano /etc/dovecot/conf.d/10-auth.conf
disable_plaintext_auth = no
auth_realms = astra.lan
auth_default_realms = astra.lan
auth_username_chars = abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ01234567890.-_@
auth_username_format = %Lu

nano /etc/dovecot/conf.d/10-master.conf
service imap-login inet_listener imap port = 143
>
inet_listener imaps #port = 993
#ssl = yes
>

nano /etc/dovecot/conf.d/10-logging.conf
log_path = /var/log/dovecot/main.log
debug_log_path = /var/log/dovecot/debug.log
#syslog_facility = mail
auth_verbose = yes
log_timestamp = «%b %d %H:%M:%S «

Остальное по вкусу. sudo systemctl enable dovecot && sudo service dovecot restart
Читаем /var/log/syslog и перенаправленный лог /var/log/dovecot/main.log — ошибок быть не должно, сервис должен запуститься (проверяем командой sudo service dovecot status)

Заводим юзера на сервере командами (тут username — имя пользователя, 2 — макс.мандатная метка, 1 — категория):
adduser username
usermac username -l 2
usermac username -c 1

Заводим пользователя (уч.запись любая, совпадение с username должно быть в Thunderbird) на клиенте и проверяем прием-отправку.
Если у пользователя несколько мандатных меток, то создавать профиль в Thunderbird нужно последовательно, начиная с захода в систему под 0 мандатной меткой, затем под 1 и далее до конца доступных пользователю меток. Каждый раз профиль Thunderbird придется создавать заново (потому что в Astra Linux Special Edition мандатная схема использует принцип виртуальных домашних каталогов).

Nikola08

New member

Это все хорошо, но у меня стоит ald и без него ну никак нельзя. Пробовал настраивать на аутентификацию kerberos/gssapi по руководству админа, но и так не получилось ничего.

Antony

New member

стоило бы создать тему:
Смоленкс 1.6 — Настройка почтового сервера на Astra Linux 1.6 special edition

Читайте также:  Бакланов защитные механизмы операционной системы linux

мало ли где различия есть.

p.s. а вот за включение логирования в exim и dovecot отдельное спасибо.

oko

New member

to Antony
Разница только в отсутствии POP3 для exim4 в Смоленске 1.6 (кажись, недоглядели, а не злой умысел, ага), потому что конфиги «на минималках», там многое надо допиливать напильником для пром-решения.
Выложил ради отправной точки для тех, у кого имеются проблемы с настройкой. На большее не претендую.

to Nikola08
Вы вначале говорили про PAM-аутентификацию, теперь про ALD и kerberos. Раскройте мысль нормально, а то модуль экстрасенсорики перегревается.

Nikola08

New member

oko

New member

to Nikola08
Без обид, но это не раскрытие, а тавтология.
Вам тов. Montfer прозрачно намекнул, что нужны как минимум логи проблемного сервиса (читай, dovecot). Как их собрать в debug-режиме — см. пример моего конфига выше п. 10. Еще неплохо было бы вообще выложить конфиги bind9 (db прямой и обратной зон), dovecot (auth и проч.) и exim4. Вот тогда будет разговор по-существу.

  1. Мануалы в Сети, включая wiki.astra, советующие делать hostnamectl set-hostname имя_сервера.имя_домена в корне не правы! Правильнее до инициализации ALD (читай, до ald-init) редактировать /etc/hostname вручную и писать туда сокращенное имя сервера (без имени домена). А вот в /etc/hosts — уже и полное, и сокращенное с привязкой к IP.
  2. При первичной настройке exim4 размещение почты указывал не в домашние каталоги пользователей, а в общий каталог /var/mail. Но это не обязательно, должно работать при обоих раскладах. Надо помнить одно: если ALD-пользователи хранят свои каталоги на сервере (по умолчанию), то это создаст доп.нагрузку на сеть и может привести к неожиданным последствиям в случае кратковременной недоступности сервера.
  3. Настоятельно рекомендую поднимать bind9, а не писать вручную все хосты (серверы, АРМ и проч.) на каждом ALD-хосте, включая сервер-ALD, в файле /etc/hosts.
  4. Ни в коем случае не отключать МКЦ (читай, astra-mic-control disable)! Потому что иначе при kerberos-аутентификации будете получать болт в dovecot — о чем он характерно ругается в debug-логе на предмет » Fatal: Level not defined for user » и » getmacnam_r No such file or directory «.
  5. Настройку ALD за исключением заведения принципалов imap/имя_сервера.имя_домена и smtp/имя_сервера.имя_домена лучше выполнять через fly-admin-smc и раздел «Домен ALD». Включая первичное развертывание ALD.
  6. ВНАЧАЛЕ регистрируем (подключаем) компьютеры с Astra Linux на борту к ALD, а ЗАТЕМ уже заводим вышеуказанные принципалы. Иначе рискуем нарваться на расхождение в kerberos-билетах и придется колдовать с утилитой ald-renew-ticket (что не всегда срабатывает). И это, мать его, крайне тупо, потому что ALD-инфраструктура может (и должна) расширяться в будущем в любой более-менее серьезной сети.
  7. Настройка Thunderbird, dovecot и exim4 четко по Руководству администратора, слово в слово (раздел 13, Защищенное мыло, ага). ВНИМАНИЕ: если не настраиваете ssl в dovecot, то в его конфиг-файле 10-ssl.conf так и укажите — ssl = no — без всяких отсылок к несуществующим pem-ключам!
  8. Настоятельно рекомендую добавить логирование dovecot и exim4 из моего конфига выше — так проще диагностировать проблемы в будущем.
  9. Дополнительное рекомендую делать chown -R dovecot /var/lib/dovecot — туда, где хранится keytab-файл.
  10. Пользователям домена должны быть назначены метки Низкого и Высокого контроля целостности (Уровень мандатки не важен, может оставаться 0).
  11. В тему логирования: не забываем через logrotate.d сделать конфигурации (например, /etc/logrotate.d/dovecot) по автоматической ротации созданных логов. Ибо переполняются они быстро. Аналогичное стоит сделать и для логов ald (/var/log/ald) и kerberos (/var/log/kerberos), если это не создается системой самостоятельно. Пример logrotate тут.
  12. Проверяйте статусы dovecot и exim4 через service имя_сервиса status при наличии ошибок. Собственно, вышеуказанное замечание про ssl=no как раз по такому случаю.
  13. Крайнее замечание. Пока играл с конфигурациями сделал аналогичную операцию с privsock и bind9 по совету товарищей из данной ветки форума. Эффекта сразу не принесло положительного — только после полной переустановки ALD, и то не факт, что именно эта опция оказала решающее значение. Но на всякий случай уточняю.
Читайте также:  Linux syntax error unterminated quoted string

WindWatcher

New member

. почти в унисон с отсыпающимися (кстати, с Наступившим).
Учитывая всё вышеизложенное, решил таки повторить сказанное ещё по прошлому году, в самом начале тренировок с АЛ1.5/ALD etc. и после первых удачных и неудачных опытов: в чём же такая большая необходимость ставить этот ALD со всеми граблями на сей костыльный набор допиленного недодебиана?
До уровня несколько десятков (а то и сотни) пользователей в локальном сегменте — вообще никакого смысла: одни траблы.
Никаких задач по ЗИ не решается, никакой допзащиты/контроля по факту нет.
Основная масса задач, судя по вопросам, возникает в рамках СПД, а там все задачи решаются в рамках одной LAN (т.е. внутри контролируемой зоны), да даже и PAM «взлохматить» бывает проблемно.
То, что задачи ставят люди не имеющие дОлжного уровня (сейчас будет новомодное слово, аккураНтнее) компетенции — наши реалии. Незабвенный Михаил Задорнов обозначил сие так: «Засилие коекакеров».
А так, вообще, оно, конечно, весьма познавательно. Спасибо. Сам в этом годе удивлялся, что в прошлом что-то кому-то объяснял и даже бывало успешно.
Самыми «плюшками» проходят подобные моменты в стиле: в середине бурного обсуждения выяснить, что не все фильтра для цербера были обеспечены

Источник

Оцените статью
Adblock
detector