Dovecot + AD + Прозрачная авторизация

0

1

Добрый день!

Настроил прозрачную авторизацию клиентов Dovecot в AD. Как настраивал и что получилось написано здесь:

https://www.linux.org.ru/forum/admin/10985364

Имя пользователя в домене и его адрес электронной почты не совпадают.
Например, login - Иванов, email - ivanov@dom.lan
Почтовый клиент Microsoft Outlook.

Если в поле ПОЛЬЗОВАТЕЛЬ почтового клиента написать адрес электронной почты авторизованного в AD пользователя - ivanov@dom.lan и подключиться к Dovecot, получится то, что мне и надо: на почтовом сервере создастся почтовый ящик ivanov. Но если указать несуществующий почтовый ящик или адрес электронной почты другого пользователя, то все равно произойдет подключение к Dovecot.

Все пользователи AD считаются для почтового сервера виртуальными.
Все почтовые ящики принадлежат реальному пользователю vmail.

Оставить поле ПОЛЬЗОВАТЕЛЬ пустым Micorosft Outlook не позволяет.

Вопрос: можно ли сделать какую-то проверку, чтобы в поле ПОЛЬЗОВАТЕЛЬ можно было написать только адрес электронной почты авторизованного в данный момент в AD пользователя? Также Dovecot не должен принимать соединение, если адреса электронной почты не существует в AD.

Именно так у меня получилось настроить, если клиенты Dovecot авторизовались в AD по LDAP, но через LDAP не получилось сделать прозрачную авторизацию.
Спасибо!

Ссылка

←	iptables не принимает ipset с логическим отрицанием

Отваливаются registry в Asterisk

→

Для dovecot user_filter используются?

sin_a ★★★★★
(05.11.14 11:26:08 MSK)

Ответ на: комментарий от sin_a 05.11.14 11:26:08 MSK

user_filter я использовал в варианте с LDAP. В dovecot-ldap.conf.ext:

user_filter = (&(sAMAccountType=805306368)(|(sAMAccountName=%n)(mail=%u)))

Как использовать user_filter в варианте с kerberos?

citmen
(05.11.14 11:43:32 MSK) автор топика

Ответ на: комментарий от citmen 05.11.14 11:43:32 MSK

Нет, про креберос я упустил, не в курсе. Но dovecot в любом случае сможет отфильтровать либо сам, по некоему правилу, либо отбоем авторизации, если её не примет тот кто авторизует.

sin_a ★★★★★
(05.11.14 11:47:11 MSK)

Ответ на: комментарий от sin_a 05.11.14 11:47:11 MSK

Сейчас Dovecot авторизует на основе текущего доменного сеанса. А дальше надо создать или подключить почтовый ящик, который указан в учетной записи пользователя AD в поле «Электронная почта». Не могу понять, как это сделать.

citmen
(05.11.14 12:00:01 MSK) автор топика

Ответ на: комментарий от citmen 05.11.14 12:00:01 MSK

Может быть user_attrs ? Насколько я понял, у него выбор не велик: фильтр и атрибут...

sin_a ★★★★★
(05.11.14 12:07:18 MSK)
Последнее исправление: sin_a 05.11.14 12:08:37 MSK (всего исправлений: 1)

Ответ на: комментарий от sin_a 05.11.14 12:07:18 MSK

А где использовать user_attrs ?
Сейчас в конфиге 10-auth.conf:

!include auth-static.conf.ext

В конфиге auth-static.conf.ext:

userdb {
  driver = static
  atgs = uid=vmail gid=vmail home/usr/home/vmail/%d/%u
}

passdb {
  driver = pam
  args = dovecot
}

В /etc/pam.d/dovecot:

auth    suffucient    /usr/local/lib/security/pam_krb5.so
account suffucient    /usr/local/lib/security/pam_krb5.so

Как к этому прикрутить user_attrs ?

citmen
(05.11.14 12:18:11 MSK) автор топика

Ответ на: комментарий от citmen 05.11.14 12:18:11 MSK

Нет, это тоже из конфигурации ldap. С керберос не подскажу ничего.

sin_a ★★★★★
(05.11.14 14:29:18 MSK)

Ответ на: комментарий от sin_a 05.11.14 14:29:18 MSK

С LDAP у меня все получилось, кроме одного. Если пользователь меняет пароль в домене, то необходимо поменять пароль и в почтовом клиенте. Поэтому, все как обычно - бубен, пляски...

citmen
(05.11.14 16:05:51 MSK) автор топика

Ответ на: комментарий от citmen 05.11.14 16:05:51 MSK

Как настроен postfix? Может фильтрацию по пользователям на нем сделать лучше? ЕМНИП именно postfix сперва инициирует создание maildir, а только затем дело продолжает dovecot lda.

menzoberronzan ★
(05.11.14 19:19:07 MSK)