Делаю почтовый сервер.

Сначала все настроил на авторизация по PLAIN c пользователями из AD, за авторизацию как для себя так и для Postfix отвечает Dovecot. Тут все получилось и работает вопросов нет.

Решил к этому прикрутить Kerberos

Создал keytab smtp,imap собрал их в один подгрузил в krb5 проверил

kinit -k imap/mail.domain.com
kinit -k imap/mail.domain.com

Авторизация по IMAP в Thunderbird через Gssapi работает без вопросов, а вот с SMTP проблема при попытке авторизации вижу

postfix/smtpd[4264]: warning: PC06.domain.com[10.0.0.29]: request longer than 2048: AUTH GSSAPI YIIHCQYJKoZIhvcSAQ...
dovecot: auth: gssapi(?,10.0.0.29): While processing incoming data: Unspecified GSS failure.  Minor code may provide more information
dovecot: auth: gssapi(?,10.0.0.29): While processing incoming data: Success
postfix/smtpd[4264]: warning: PC06.domain.com[10.0.0.29]: SASL GSSAPI authentication failed:

gssapi(?,10.0.0.29)

Если кто то сталкивался с таким прошу совета.

Настраиваю Dovecot наконец добрался до квот и вот возник вопрос

Как сделать квоту на все ящики скажем по 1 гб и дать возможность быстро изменить квоту на конкретный ящик в большую, а лучше и в большую и в меньшую сторону.

Выборка пользователей у меня ведется из AD майкрософта потому и индивидуальные квоты планирую держать там же.

Выборку делаю как и в мануале

user_attrs = homeDirectory=/var/vmail/%$,uidNumber=uid,gidNumber=gid,=quota_rule=*:bytes=%{ldap:postalCode}

в самом конфиге прописано

plugin {
  quota_rule = *:storage=1G
  quota_rule2 = Trash:storage=+100M
}
plugin {
  quota = maildir:User quota
}

Индивидуальные квоты работает без проблем но если в профиле пользователя не задано квоты то Dovecot не понимает что должен использовать общую квоту

Сделал вот так в конфиге

user_attrs = homeDirectory=/var/vmail/%$,uidNumber=uid,gidNumber=gid,=quota_rule=*:bytes=%{ldap:postalCode}500000000

Так у всех вне зависимости от профиля есть квота на 500Мб и ее можно увеличить дописав в профиль скажем 1 до 1.5 Гб но проблема в том что увеличивать можно только на 1 и больше гиг и нельзя уменьшить.

Собственно вопрос может есть более простой способ реализации без такого извращения или возможно Dovecot понимает в своих конфигах выражения что бы можно было проверять поле на заполнение и если оно пусто то проставлять ему какое-то значение?

Здравствуйте прошу помощи в настройкой. Есть вроде как настроенный Dovecot, авторизация идет через AD Сделал Shared папки

namespace inbox { 
  type = private 
  separator =  / 
  prefix = 
  inbox = yes 
  list = yes 
  subscriptions = yes 
} 
namespace { 
  type = shared 
  separator = / 
  prefix = shared/%%n/ 
  location = maildir:/var/vmail/%%n 
  list = yes 
  subscriptions = no 
} 
namespace { 
    separator = / 
    prefix = Public/ 
    location = maildir:/var/vmail/public 
    list = yes 
    subscriptions = no 
    type = public 
}

В папка с ящиком к которому хочу дать доступ создал файл dovecot-acl

user=user@domain.com lr

shared/shared-boxes/user/user2/user@domain.com 
1 
shared/shared-boxes/user/user2@domain.com/user@domain.com 
1

Всем доброго времени помогите решить задачку.

Сейчас перевожу почту на связку из postfix+dovecot и есть вопрос который пока не могу понять как решить.

У нас принято что все пользователи AD имеют локальные почтовые ящики с именем скажем user1@domain.ru user2@domain.ru и т.д. и именно папки с таким именем у меня создает dovecot и в них хранит почту. На эти ящики им доставляется почта (как внутренняя так и внешняя) и именно эти адреса фигурируют в глобальной адресной книге AD.

Но когда пользователю дают право отправки почты за пределы локальной сети у него появляется еще один адрес типа ivanov@domain.ru другими словами имя домена совпадает, а вот имена ящика отличаются. Собственно вопрос как заставить postfix принять почту для адреса ivanov@domain.ru, а потом передать ее dovecotu так что бы он ее положит в папку user1@domain.ru Собирался делать скриптом вытягивая из домена инфу и создавая карту типа virtual_alias_maps но нигде не могу найти описание такого файла везде есть как сделать 1 ящик на несколько человек но нигде не нашел как сделать несколько ящиков на 1 человека.

Здравствуйте подскажите как лучше решить задачу Есть сервер Ubuntu на нем поднят squid, nat балансировка каналов между двумя провайдерами. Сейчас делаю второй сервер с синхронизацией конфигов через csync2 затем хочу его сделать резервным прокси сервером соединив с первым по vrrp. Хотел сделать вот так:

VRRP
dns name proxy ip 10.0.0.1
реальные сервера
-- dns proxy1 ip 10.0.0.2
-- dns proxy2 ip 10.0.0.2

Но при настройке столкнулся с вопросом как быть с авторизацией пользователей, чтобы работал Керберос нужно в браузерах указывать днс имя сервера тут как бы и вопросов нет адрес vppr забиваю в днс и все, но авторизация то по билетам кербероса, а они у каждого сервера свои и как я понимаю вариант когда у пользователя в браузере забито proxy, а авторизация идет через proxy1 не совсем сработает или я ошибаюсь?

Всем доброго времени суток. Есть задача организовать доступ пользователей к их корпоративным ящикам в то время когда они находятся за пределами предприятия. Доступ нужен как в разрезе Web-мордочки так и для iphone, andriod и прочего заосада.

В качестве сервера будет юзатся Postfix + Dovecot

На данный момент рассматриваю несколько вариантов:

1. OpenVPN для телефонов, ноутбуков и прочего + какае-то вебморда. Из плюсов для телефонов, компьютеров это конечно простота и гибкость решения на ВПН ну и естественно надежность с точки зрения взломостойкости. Из минусов есть мнение что клиент круто садит батарею если его держать постоянно запущенным скажем на телефоне, а на вариант запустил получил выключит косо смотрят пользователи.

2. Проброс портов через файрвол с шифрованием + вебморда. Плюсы еще проще в настройке пользователям и менее напряжно для мобилок. Минусы может то я такой, но как по мне даже при наличии шифрования как то очень не хочется просто открывать порты на почтовом сервере.

3. Вариант 2 доработанный с поднятием еще одного почтового сервера в ДМЗ, копированием на него только ящиков пользователей которым нужен доступ к ящику из вне и который не или не может использовать ВПН и проброс портов в мир уже из этого второго пользователя. Плюсы вроде бы как бы и более защищенная система но тут сразу и минус обычно таким доступом пользуются самые так сказать высокопоставленные лица фирмы и как правила именно у них в ящиках и храниться самая ценная информация.

Собственно прошу совета и Ваших мнений как более правильно организовать решение проблемы. Может быть и скорее всего есть какой-то 4-й, 5-й и так далее вариант решения проблемы их бы тоже очень хотелось услышать.

А второй вопрос собственно по поводу надежной вебмордочки для доступа к почте, кто что может посоветовать?

Здравствуйте подскажите где у меня может быть проблема Поставил Убунти сервер 14-й На него Squid3 и настроил авторизацию через AD Вроде бы все работает но есть несколько моментов

1. Переодически в sqstat вижу что идет накопление запросов которые не распределены по пользователям и висеть там могут до 2-3 минут, случается такое чаще всего в момент когда количество Юзеров переваливает за 100 и количество коннектов приближается к 1000. Потом все проходит и запросы без пользователей висят не более 1 -2 сек что в принципе считаю нормальным.

2. Это то как распределена память

5628MB negotiate_kerbe 119MB ext_ldap_group_ 117MB apache2 112MB squid3

у меня всего возможно подключение около 2500 клиентов максимум, но в среднем в сети висит около 250 активных и еще около 100 тех у кого просто запущена аська, скайп или что то подобное. В конфиге поставил Код:

# Negotiate Kerberos and NTLM authentication auth_param negotiate program /usr/lib/squid3/negotiate_wrapper_auth --ntlm /usr/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp --kerberos /usr/lib/squid3/negotiate_kerberos_auth -r -s HTTP/kis.may.com@MAY.COM auth_param negotiate program /usr/lib/squid3/negotiate_kerberos_auth -r -s HTTP/kis.may.com@MAY.COM.UA auth_param negotiate children 2250 startup=20 idle=25 auth_param negotiate keep_alive off

и при работе с группами

external_acl_type ldap_group ttl=3600 ipv4 children-max=2250 children-startup=50 %LOGIN /usr/lib/squid3/ext_ldap_group_acl -d -P -R -K -b «dc=may,dc=com» -f "(&(sAMAccountName=%v)(memberOf:1.2.840.113556.1.4.1941:=cn=%a,ou=Internet Sharing,dc=may,dc=com))" -D «squid@my.com» -w «Gfccgjhn201#» -h dc1.may.com

Как по мне как то многовато памяти кушает авторизация. Заранее спасибо за помощь