LINUX.ORG.RU
ФорумAdmin

Dovecot + AD + Прозрачная авторизация

 , ,


0

1

Добрый день!

Настроил прозрачную авторизацию клиентов Dovecot в AD. Как настраивал и что получилось написано здесь: 

https://www.linux.org.ru/forum/admin/10985364
Имя пользователя в домене и его адрес электронной почты не совпадают.
Например, login - Иванов, email - ivanov@dom.lan
Почтовый клиент Microsoft Outlook.

Если в поле ПОЛЬЗОВАТЕЛЬ почтового клиента написать адрес электронной почты авторизованного в AD пользователя - ivanov@dom.lan и подключиться к Dovecot, получится то, что мне и надо: на почтовом сервере создастся почтовый ящик ivanov. Но если указать несуществующий почтовый ящик или адрес электронной почты другого пользователя, то все равно произойдет подключение к Dovecot.

Все пользователи AD считаются для почтового сервера виртуальными.
Все почтовые ящики принадлежат реальному пользователю vmail.

Оставить поле ПОЛЬЗОВАТЕЛЬ пустым Micorosft Outlook не позволяет.

Вопрос: можно ли сделать какую-то проверку, чтобы в поле ПОЛЬЗОВАТЕЛЬ можно было написать только адрес электронной почты авторизованного в данный момент в AD пользователя? Также Dovecot не должен принимать соединение, если адреса электронной почты не существует в AD.

Именно так у меня получилось настроить, если клиенты Dovecot авторизовались в AD по LDAP, но через LDAP не получилось сделать прозрачную авторизацию.
Спасибо!


Ответ на: комментарий от sin_a

user_filter я использовал в варианте с LDAP. В dovecot-ldap.conf.ext: 

user_filter = (&(sAMAccountType=805306368)(|(sAMAccountName=%n)(mail=%u)))
Как использовать user_filter в варианте с kerberos?

citmen
() автор топика
Ответ на: комментарий от citmen

Нет, про креберос я упустил, не в курсе. Но dovecot в любом случае сможет отфильтровать либо сам, по некоему правилу, либо отбоем авторизации, если её не примет тот кто авторизует.

sin_a ★★★★★
()
Ответ на: комментарий от sin_a

Сейчас Dovecot авторизует на основе текущего доменного сеанса. А дальше надо создать или подключить почтовый ящик, который указан в учетной записи пользователя AD в поле «Электронная почта». Не могу понять, как это сделать.

citmen
() автор топика
Ответ на: комментарий от sin_a

А где использовать user_attrs ?
Сейчас в конфиге 10-auth.conf: 

!include auth-static.conf.ext
В конфиге auth-static.conf.ext: 
userdb {
  driver = static
  atgs = uid=vmail gid=vmail home/usr/home/vmail/%d/%u
}

passdb {
  driver = pam
  args = dovecot
}
В /etc/pam.d/dovecot: 
auth    suffucient    /usr/local/lib/security/pam_krb5.so
account suffucient    /usr/local/lib/security/pam_krb5.so
Как к этому прикрутить user_attrs ?

citmen
() автор топика
Ответ на: комментарий от sin_a

С LDAP у меня все получилось, кроме одного. Если пользователь меняет пароль в домене, то необходимо поменять пароль и в почтовом клиенте. Поэтому, все как обычно - бубен, пляски...

citmen
() автор топика
Ответ на: комментарий от citmen

Как настроен postfix? Может фильтрацию по пользователям на нем сделать лучше? ЕМНИП именно postfix сперва инициирует создание maildir, а только затем дело продолжает dovecot lda.

menzoberronzan
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin