Интеграция qmail-ldap в 2003 домен

Была поставлена задача: сделать новый шлюз для компании с локальной сетью на 150 компьютеров. У них уже функционировал домен на Windows 2003 и работавший кое-как старый шлюз, поднятый на FreeBSD 6.0 несколько лет назад. Путем анализа того, что было наворочено на шлюзе, выяснилось следущее.



Сначала на нем делали связку sendmail+sasl, потом пробовали qmail+vpopmail, затем exim, и, в итоге, во всю эту "кашу" воткнули postfix. Да, кстати, они все это из исходников руками собирали, не удаляя старое. В итоге хвостов осталось...). В общем, поглядев на эти джедайства, я пришел к выводу, что проще сделать работу заново, чем разбирать весь этот "лес".

Подумав, я решил взять за основу почтовый сервер qmail (с ним у меня уже был положительный опыт в связке с сервером баз данных MySQL). Так как у компании функционирует домен на Windows 2003, администраторы также виндовые, решил завязать все на домен.



В итоге схема вырисовывается такая. При заведении нового пользователя в Active Directory (AD), в дополнительные поля учетной записи заносятся: почтовый адрес, псевдонимы (алиасы, aliases), перенаправления (forwarding) и квоты (quotes). Когда пользователь первый раз подключается к почтовому серверу, qmail подключается к MS_LDAP, находит пользователя по полю "sAMAccountName" (это логин в Active Directory), смотрит его настройки и пробует переподключиться к серверу LDAP с его логином и паролем. Если это получается, то новому пользователю автоматически создается его почтовый каталог (Mailbox).



Путем проб и ошибок убедился, что необходимости править схему AD нет, как нет и необходимости в установке SFU (Microsoft Unix Servises, NIS, NFS, X11 и прочего).

2. Что за "зверь" LDAP и как его готовить, чтобы было вкусно...

Раньше я только слышал как все говорят: "LDAP, LDAP", сам же я не имел практического опыта в этой сфере. Было решено устранять пробелы в знаниях. :)

Установив из портов /usr/ports/net/openldap23-client, создал в корне AD учетку ldapadmin с правами администратора (группы "Domain Admins, Enterprise Admins, Schema Admins") для работы с LDAP.



Потом настроил LDAP-клиента:

ee /usr/local/etc/openldap/ldap.conf
BASE   dc=<ваш>, dc=<домен>
URI    ldap://dc1.<ваш>.<домен> ldap://dc2.<ваш>.<домен>

Проверяем работу с MS_LDAP:

ldapsearch -w 123456789 -D cn=ldapadmin,dc=uc,dc=local sAMAccountName=kotlyarov
# extended LDIF
#
# LDAPv3
# base <> with scope subtree
# filter: sAMAccountName=kotlyarov
# requesting: ALL
#

# \D0\9A\D0\BE\D1\82\D0\BB\D1\8F\D1\80\D0\BE\D0\B2 \D0\9D\D0\B8\D0\BA\D0\BE\D
 0\BB\D0\B0\D0\B9 \D0\9D\D0\B8\D0\BA\D0\BE\D0\BB\D0\B0\D0\B5\D0\B2\D0\B8\D1\8
 7, \D0\91\D1\8E\D1\80\D0\BE \D0\9F\D1\80\D0\BE\D0\B3\D1\80\D0\B0\D0\BC\D0\BC
 \D0\B8\D1\80\D0\BE\D0\B2\D0\B0\D0\BD\D0\BD\D0\B8\D1\8F, \D0\9F\D0\BE\D0\BB\D
 1\8C\D0\B7\D0\BE\D0\B2\D0\B0\D1\82\D0\B5\D0\BB\D0\B8, UC.local
dn:: Q0490JrQvtGC0LvRj9GA0L7QsiDQndC40LrQvtC70LDQuSDQndC40LrQvtC70LDQtdCy0LjRh
 yxPVT3QkdGO0YDQviDQn9GA0L7Qs9GA0LDQvNC80LjRgNC+0LLQsNC90L3QuNGPLE9VPdCf0L7Qu9
 GM0LfQvtCy0LDRgtC10LvQuCxEQz1VQyxEQz1sb2NhbA==
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn:: 0JrQvtGC0LvRj9GA0L7QsiDQndC40LrQvtC70LDQuSDQndC40LrQvtC70LDQtdCy0LjRhw==
sn:: 0JrQvtGC0LvRj9GA0L7Qsg==
l: 500000000
st: 5000
title:: 0J/RgNC+0LPRgNCw0LzQvNC40YHRgg==
physicalDeliveryOfficeName:: 0JHRjtGA0L4g0J/RgNC+0LPRgNCw0LzQvNC40YDQvtCy0LDQv
 dC90LjRjw==
telephoneNumber: 598
givenName:: 0J3QuNC60L7Qu9Cw0Lk=
distinguishedName:: Q0490JrQvtGC0LvRj9GA0L7QsiDQndC40LrQvtC70LDQuSDQndC40LrQvt
 C70LDQtdCy0LjRhyxPVT3QkdGO0YDQviDQn9GA0L7Qs9GA0LDQvNC80LjRgNC+0LLQsNC90L3QuNG
 PLE9VPdCf0L7Qu9GM0LfQvtCy0LDRgtC10LvQuCxEQz1VQyxEQz1sb2NhbA==
instanceType: 4
whenCreated: 20080324190217.0Z
whenChanged: 20080415111135.0Z
displayName:: 0JrQvtGC0LvRj9GA0L7QsiDQndC40LrQvtC70LDQuSDQndC40LrQvtC70LDQtdCy
 0LjRhw==
otherTelephone: sysadmin@*****.**
otherTelephone: programist@*****.ru
otherTelephone: administrator@*****.ru
otherTelephone: admin@*****.ru
otherTelephone: nikll@*****.ru
uSNCreated: 56181
memberOf: CN=unix_admins,CN=Users,DC=UC,DC=local
memberOf: CN=folder_redirection,CN=Users,DC=UC,DC=local
memberOf: CN=Schema Admins,CN=Users,DC=UC,DC=local
memberOf: CN=Enterprise Admins,CN=Users,DC=UC,DC=local
uSNChanged: 145216
name:: 0JrQvtGC0LvRj9GA0L7QsiDQndC40LrQvtC70LDQuSDQndC40LrQvtC70LDQtdCy0LjRhw=
 =
objectGUID:: Os9FCrXab0uQPmiLxcQC+Q==
userAccountControl: 66048
badPwdCount: 0
codePage: 0
countryCode: 0
badPasswordTime: 128527239789843750
lastLogoff: 0
lastLogon: 128527314918750000
pwdLastSet: 128521200854000482
primaryGroupID: 512
objectSid:: AQUAAAAAAAUVAAAApvsbRyTqxJDX0hZPUgYAAA==
adminCount: 1
accountExpires: 9223372036854775807
logonCount: 346
sAMAccountName: kotlyarov
sAMAccountType: 805306368
managedObjects: CN=dfs,CN=Dfs-Configuration,CN=System,DC=UC,DC=local
managedObjects:: Q049QlVIMDAsT1U90JHRg9GF0LPQsNC70YLQtdGA0LjRjyxPVT3QmtC+0LzQv
 9GM0Y7RgtC10YDRiyxEQz1VQyxEQz1sb2NhbA==
managedObjects:: Q049VFMyLE9VPdCh0LXRgNCy0LXRgNCwLE9VPdCa0L7QvNC/0YzRjtGC0LXRg
 NGLLERDPVVDLERDPWxvY2Fs
managedObjects:: Q049VFMxLE9VPdCh0LXRgNCy0LXRgNCwLE9VPdCa0L7QvNC/0YzRjtGC0LXRg
 NGLLERDPVVDLERDPWxvY2Fs
managedObjects: CN=DC1,OU=Domain Controllers,DC=UC,DC=local
managedObjects: CN=DC2,OU=Domain Controllers,DC=UC,DC=local
managedObjects: DC=UC,DC=local
userPrincipalName: kotlyarov@UC.local
url: nikll@rambler.ru
servicePrincipalName: MSSQLSvc/DC1.uc.local:1433
servicePrincipalName: MSSQLSvc/DC2.UC.local:1433
objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=UC,DC=local
dSCorePropagationData: 20080408094349.0Z
dSCorePropagationData: 20080408094349.0Z
dSCorePropagationData: 20080408094349.0Z
dSCorePropagationData: 20080408085453.0Z
dSCorePropagationData: 16010108151056.0Z
lastLogonTimestamp: 128527070442343750
mail: kotlyarov@*****.ru

# search reference
ref: ldap://ForestDnsZones.UC.local/DC=ForestDnsZones,DC=UC,DC=local

# search reference
ref: ldap://DomainDnsZones.UC.local/DC=DomainDnsZones,DC=UC,DC=local

# search reference
ref: ldap://TAPI3Directory.UC.local/DC=TAPI3Directory,DC=UC,DC=local

# search reference
ref: ldap://UC.local/CN=Configuration,DC=UC,DC=local

# search result
search: 2
result: 0 Success

# numResponses: 6
# numEntries: 1
# numReferences: 4

Ага, работает, значит. :))))

Комментарии:

ldapsearch                        - Программа для поиска в LDAP
-w 123456789                      - пароль к учетной записи
-D cn=ldapadmin,dc=uc,dc=local    - учетная запись, от имени которой мы подключаемcя
sAMAccountName=kotlyarov          - тип объекта и его значение

Обьекты в LDAP бывают следующих типов:

dc:       - корень LDAP
cn:       - контейнер (каталоги Users Computers и учетные записи)
ou:       - Organization Unit  (типо каталог, к которому можно привязать политики)
l:        - City (в свойствай учетки на вкладке Address) я использую 
            для задания лимита в байтах
st:       - State/Province (в свойствах учетки на вкладке Address) лимит в письмах
sAMAccountName: - логин
otherTelephone: - Кнопка Other.. на вкладке "General" напротив поля 
                  "Telephone number:" у меня это почтовые псевдонимы (алиасы, aliases)
url:      - Кнопка Other.. на вкладке "General" напротив поля "Web page:"
            у меня это перенаправления (forwarding)

Можно поиграться, например, вот так:

смотрим информацию про администратора домена

Найдем и просмотрим всех пользователей, у кого почтовый адрес admin@mu.domain
[code]ldapsearch -w 123456789 -D cn=ldapadmin,dc=uc,dc=local \
mail=admin@mu.domain

Подключимся к домену от имени администратора, найдем и просмотрим всех, у кого перенаправление почты (forwarding) идёт на адрес qwerty@ramber.ru

ldapsearch -w asdfasezx -D cn=Administrator,cn=Users,dc=uc,dc=local \
url=qwerty@ramber.ru

3. qmail по-джедайски, в соусе из AD...

У меня получилось следующее:

[nikll@gate1 qmail-ldap ]$ make showconfig
==> The following configuration options are available for qmail-ldap-1.03.20060201_1
     LOCALTIME_PATCH=on "emit dates in the local timezone"
     TLS=on "SMTP TLS support"
     ALTQUEUE=on "run a QMAILQUEUE external queue"
     BIGBROTHER=off "use the control/bigbrother program"
     BIGTODO=on "use big_todo qmail patch"
     BIND_8_COMPAT=off "Needed if compile fails building dns.c"
     CLEARTEXTPASSWD=off "use cleartext passwords (Dangerous!)"
     DASH_EXT=on "dash_ext extended mail addresses add"
     DATA_COMPRESS=on "smtp on the fly DATA compression"
     EXTERNAL_TODO=on "external high-performance todo processing"
     IGNOREVERISIGN=off "disallow dns wildchar matches on gtlds"
     QLDAP_CLUSTER=on "cluster support"
     QMQP_COMPRESS=on "QMQP on the fly compression"
     QUOTATRASH=on "include the Trash in the quota"
     SMTPEXECCHECK=on "smtp DOS/Windows executable detection"
     AUTOMAILDIRMAKE=on "the auto-maildir-make feature"
     AUTOHOMEDIRMAKE=on "auto-homedir-make feature"
     LDAP_DEBUG=on "possibility to log and debug imap/pop"
     SMTPEXTFORK=off "Allow qmail-smtpd fork external progs"
     XF_QUITASAP=off "Close SMTP session ASAP (SMTPEXTFORK)"
     QEXTRA=off "enable QUEUE_EXTRA copy feature"
===> Use 'make config' to modify these settings

Накладываем заплатки (patches), но не компилируем:

make patch
cd work/qmail-1.03/
ee qmail-ldap.h

и проставляем нужные параметры. Я поменял следующее:

diff -u2 -r qmail-ad/qmail-1.03/qmail-ldap.h work/qmail-1.03/qmail-ldap.h
--- qmail-ad/qmail-1.03/qmail-ldap.h    2008-04-13 13:23:03.000000000 +0600
+++ work/qmail-1.03/qmail-ldap.h        2008-04-13 13:31:26.000000000 +0600
@@ -42,5 +42,5 @@

 /* triger level for quotawarning (0-100) */
-#define QUOTA_WARNING_LEVEL 90
+#define QUOTA_WARNING_LEVEL 70

 /* reply subject for mails without subjects. */
@@ -94,14 +94,14 @@
 *********************************************************************/
 #define LDAP_MAIL              "mail"
-#define LDAP_MAILALTERNATE     "otherTelephone"      /* Почтовые алиасы */
+#define LDAP_MAILALTERNATE     "mailAlternateAddress"
 #define LDAP_QMAILUID          "qmailUID"
 #define LDAP_QMAILGID          "qmailGID"
-#define LDAP_MAILSTORE         "sAMAccountName"      /* Доменная учетка*./
-#define LDAP_HOMEDIR           "NOhomeDirectory"
+#define LDAP_MAILSTORE         "mailMessageStore"
+#define LDAP_HOMEDIR           "homeDirectory"
 #define LDAP_QUOTA             "mailQuota"
-#define LDAP_QUOTA_SIZE        "l"                /* Размер Квоты в байтах */
-#define LDAP_QUOTA_COUNT       "st"              /* Размер квоты в письмах */
+#define LDAP_QUOTA_SIZE        "mailQuotaSize"
+#define LDAP_QUOTA_COUNT       "mailQuotaCount"
 #define LDAP_MAXMSIZE          "mailSizeMax"
-#define LDAP_FORWARDS          "url" /*Форвардинг в другие почтовые ящщики */
+#define LDAP_FORWARDS          "mailForwardingAddress"
 #define LDAP_PROGRAM           "deliveryProgramPath"
 #define LDAP_MAILHOST          "mailHost"
@@ -109,8 +109,8 @@
 #define LDAP_REPLYTEXT         "mailReplyText"
 #define LDAP_DOTMODE           "qmailDotMode"
-#define LDAP_UID               "sAMAccountName"      /* имя доменой учетки */
-#define LDAP_PASSWD            "msSFU30Password"
+#define LDAP_UID               "uid"
+#define LDAP_PASSWD            "userPassword"
 #define LDAP_OBJECTCLASS       "objectClass"
-#define LDAP_ISACTIVE          "userAccountControl"
+#define LDAP_ISACTIVE          "accountStatus"
 #define LDAP_PURGE             "qmailAccountPurge"

@@ -133,9 +133,8 @@
 #define MODE_NOREPLY           "noreply"

-#define ISACTIVE_BOUNCE        "514"
+#define ISACTIVE_BOUNCE        "disabled"
 #define ISACTIVE_DELETE        "deleted"
 #define ISACTIVE_NOACCESS      "noaccess"
-#define ISACTIVE_ACTIVE        "512"
-#define ISACTIVE_ACTIVE_AD     "66048"
+#define ISACTIVE_ACTIVE        "active"

После этого правим файл qmail-ldaplookup.c

diff -u2 -r qmail-ad/qmail-1.03/qmail-ldaplookup.c work/qmail-1.03/qmail-ldaplookup.c
--- qmail-ad/qmail-1.03/qmail-ldaplookup.c      2008-04-11 19:27:39.000000000 +0600
+++ work/qmail-1.03/qmail-ldaplookup.c  2008-04-13 13:31:26.000000000 +0600
@@ -322,6 +322,6 @@
                switch (status) {
                case STATUS_BOUNCE:
-                       output(subfdout, "%s: %s %s\n",
-                           LDAP_ISACTIVE, ISACTIVE_BOUNCE, "=> disabled");
+                       output(subfdout, "%s: %s\n",
+                           LDAP_ISACTIVE, ISACTIVE_BOUNCE);
                        break;
                case STATUS_NOACCESS:
@@ -330,6 +330,6 @@
                        break;
                case STATUS_OK:
-                       output(subfdout, "%s: %s %s\n",
-                           LDAP_ISACTIVE, ISACTIVE_ACTIVE, "=>active");
+                       output(subfdout, "%s: %s\n",
+                           LDAP_ISACTIVE, ISACTIVE_ACTIVE);
                        break;
                case STATUS_UNDEF:

Это необходимо для того, чтобы qmail правильно распознавал отключенных пользователей в AD.

Ну, вот и все вроде, теперь можно устанавливать qmail:

cd ../..
make install clean

4. Тяжелые интимные отношения с авторизацией.

Долго ломал голову, как проверять пароли у пользователй: изначально qmail-ldap берет их из отдельного поля в LDAP, шифрует их сам. Пробовал вариант с изменением схемы AD, чтобы у учетных записей было это поле. В принципе работает, но все равно некрасиво - хочется, чтобы пароль был единым и задавался через mmc консоль.



Погуглив маленько, нашел упоминание про SFU и про то, что через нее можно сохранять qmail-совместимый пароль прямо в объектах учетной записи (в поле "msSFU30Password"), но есть минусы: надо скачать пакет размером примерно 300 мегабайт с официального сайта Microsoft, установить и настроить его на всех контроллерах домена, активировать mapping из winAD в unix во всех пользовательских учетных записях и после этого перезадать всем пользователям пароли, чтобы у них заполнилось поле "msSFU30Password". Вдоволь поигравшись с этой байдой, решил, что это - далеко не самый лучший вариант.



Я пошел дальше и, расковыряв исходники qmail, сначала научил его проверять пароль из обычного текстового поля без всякого шифрования. Получилось, что мы можем задавать пароль на почту средствами Windows, но, тем не менее, он задается отдельно от доменного пароля и хранится в виде нешифрованного plain текста, что тоже не есть хорошо.



Пока ковырялся в исходниках qmail, меня "понесло" на программирование. В итоге был создан патч из 12 страниц для проверки пароля через вызов kinit (kerberos). Пока "долизывал" патч, обнаружил в исходниках готовое и красивое решение, которое заключалось в том, чтобы просто переподключаться к серверу LDAP с именем и паролем пользователя, которого надо проверить. :) Для того, чтобы это заработало, надо только создать файл ldaprebind и записать в него единичку:

echo 1 > /var/qmail/control/ldaprebind

и все прекрасно заработает без всяких kerberos'ов и прочих извратов!  :):):)

5. Цыплята учатся летать, или Базовая настройка связки qmail-ldap

Cоздаем системного пользователя для работы с виртуальными почтовыми ящиками и прописываем его в qmail:

pw groupadd vmail
pw useradd -n vmail -g vmail -s /sbin/nologin
mkdir /shares/maildirs
echo "/shares/maildirs" > /var/qmail/control/ldapmessagestore
echo '#!/bin/sh' > /var/qmail/bin/dirmaker
echo 'mkdir -m 700 -p $1' >> /var/qmail/bin/dirmaker
echo "/var/qmail/bin/dirmaker" > /var/qmail/control/dirmaker
chown vmail:vmail /shares/maildirs /var/qmail/bin/dirmaker
chmod 700 /shares/maildirs
chmod 4755 /var/qmail/bin/dirmaker
awk -F: '/^vmail/ {print $3}' < /etc/passwd  > /var/qmail/control/ldapuid
awk -F: '/^vmail/ {print $4}' < /etc/passwd  > /var/qmail/control/ldapgid

Ну и собственно остальная конфигурация:

cd /var/qmail/control
echo "mail.mu.domain" > me                  # полное доменное имя (FQDN) сервера
echo "mu.domain" >> rcpthosts               # все имена (FQDN) доменов, для которых
echo "mu2.domain" >> rcpthosts              # мы должны принимать почту
echo "mu.domain" >> locals                  # имена (FQDN) доменов, которым 
echo "mu2.domain" >> locals                 # почта доставляется локально
echo "dc=mu_local, dc=domain" > ldapbasedn  # Ваш доменный сервер LDAP
echo "dc1.mu_local.domain dc2.mu_local.domain" > ldapserver   # контроллеры домена
echo "dn=ldapadmin, dc=mu_local, dc=domain" > ldaplogin  # доменная
                                                         # учетная запись
                                                         # администратора
echo "123456789" >ldappassword              # пароль от учетной записи
chmod 600 ldappassword                      # защищаем пароль от посторонних глаз
chown qmaild 600 ldappassword               # и разрешаем qmail его читать
echo "0" > ldaplocaldelivery                # если поставить в 1, то почту можно 
   # будет получать не только для доменных, но и для системных пользователей
echo "1" > ldaprebind                       # самое главное. Эх, если бы я эту фичу 
   # с самого начала знал, сколько бы времени и сил сэкономил! Это, собственно,
   # способ авторизации пользователей путем попытки 
   # подключения к серверу LDAP от их имени
echo "both" > ldapdefaultdotmode            # для того, чтобы qmail считывал как 
                            # файы .qmail, так и поля "deliveryProgramPath" из AD 
echo "1000" > defaultquotacount   # настройка квоты по умолчанию для случаев, если 
echo "2000000" > defaultquotasize # мы ее не указали в AD (количество писем и объем
                                  # ящика в байтах)
echo "You have exceeded your quota!" > quotawarning
             # приписка в сообщения о переполнении квоты
echo "technical support +7 (343) 2326435" >> custombouncetext
             # приписка к отвергнутым (bounce) сообщениям

Про настройки tcpserver я рассказыать не буду, в интернете это достаточно хорошо описано. Приведу только в пример свои конфигурационные файлы:

[nikll@gate1 control ]$ more qmail-imapd.rules
:allow,IMAP_CAPABILITY="IMAP4rev1 CHILDREN NAMESPACE 
THREAD=ORDEREDSUBJECT THREAD=REFERENCES SORT QUOTA",NOPBS="",LOGLEVEL="3"

[nikll@gate1 control ]$ more qmail-pop3d.rules
:allow,NOPBS="",LOGLEVEL="9"

[nikll@gate1 control ]$ more qmail-smtpd.rules
192.168.0.:allow,SENDERCHECK="",RELAYCLIENT="",NOPBS="",REJECTEXEC=""
112.112.110.:allow,SENDERCHECK="",RELAYCLIENT="",SMTPAUTH="",NOPBS=""
,REJECTEXEC=""
127.:allow,RCPTCHECK="",SENDERCHECK="",SMTPAUTH="",NOPBS="",REJECTEXEC=""
:allow,RCPTCHECK="",SENDERCHECK="",RETURNMXCHECK="",SANITYCHECK="",
SMTPAUTH="",BLOCKRELAYPROBE="",REJECTEXEC="",RBL="",NOPBS=""

Сами файлы располагаются в каталоге /var/qmail/conrtol/.

Файлы *.cdb создаются по команде gmake, выполненной в каталоге с конфигурационными файлами.



Ну вот, вроде бы и все, осталось только запустить весь этот "суп" в полет. Действуем:

echo 'sendmail_enable="NONE"' >> /etc/rc.conf
echo 'svscan_enable="YES"' >> /etc/rc.conf
mkdir /var/service
ln -s /var/qmail/boot/qmail /var/service/qmail
ln -s /var/qmail/boot/qmail-pop3d /var/service/qmail-pop3d
ln -s /var/qmail/boot/qmail-smtpd /var/service/qmail-smtpd
/usr/local/etc/rc.d/svscan.sh restart

Поздравляю! qmail поднят и запущен, теперь можно проверить его работу.



Почтовые клиенты - все как обычно: The Bat!, Outlook, Opera, кому что нравится. Все настройки стандартны, если хочется, можно с ssl позаморачиваться, но оно редко нужно.



В Outlook нашел интересную штуку, называется "адресная книга LDAP". Для этого после выбора в меню "Сервис->Учетные_записи->Добавить_адресную_книгу_LDAP" появляется окошечко, в котором надо просто написать свой локальный домен и щелкнуть по кнопке "Параметры". Там указываем префикс поиска (можно тупо ввести домен LDAP, а можно и ограничиться отдельым OU или контейнером, например, вот так: cn=Users,dc=dom,dc=ru или так: ou=Бугалтерия,ou=Пользователи,dc=dom,dc=ldap), и в этом же окне указываем учетную запись LDAP (например, cn=ldapadmin,dc=dom,dc=ru) и пароль от этой учетной записи. Для нормальной работы адресной книги желательно заполнить всю информацию о пользователях в свойствах их учетных записей (accounts, аккаунтов). В той компании, где я сделал этот сервер, пользователи были очень рады этой адресной книге, правда, я "запарился" заполнять всю эту информацию в AD...



P.S. Внимание, антиспам-фильтр не настроен!!! Сначала хотел сделать как обычно (связка rbl+spamassassin), но в последний момент наткнулся на разработку spamdyke (официальный сайт http://www.spamdyke.org/). Занятная штучка, в ней есть практически все. :) Кто ею пользовался - пожалуйста, отзовитесь...

Наткнулся на упоминания о некоем dspam, якобы тоже хорошей вещи (применяется вместо spamassassin). Тоже интересует опыт использования его с связке с qmail.

Ну и напоследок вопрос: кто использовал simscan? Я раньше вызывал его через скрипт, написанный на Perl, вместо QMAILQEUE, а на сайте разработчиков qmail-ldap рекомендуется именно simscan...



P.P.S. Внес несколько исправлений, скоро сделаю продолжение про связку spamdyke+simscan+dspam+courier-imap+roundcube. Если у кого-нибудь есть подобная информация - поделитесь, пожалуйста.

размещено: 2008-04-16,

				последнее обновление: 2008-04-18,

				автор: nikll

Kolesya, 2008-04-16 в 18:53:43

офтоп> Да .... накрутил конечно :) Если не трудно, можно посмотреть на результаты на опенрелей http://tests.nettools.ru/

nikll, 2008-04-17 в 8:22:43

На все проверки релея отвечает 554 5.7.1 : Relay access denied :) главное rcpthosts правильно заполнить

Kolesya, 2008-04-17 в 13:47:50

Вот еще нашлась интересная информация http://unix.nordcomp.ru/articles.html?page=1&id=5

creativ, 2008-04-17 в 14:49:07

Не читал, но осуждаю) qmail! и дальше можно не читать.

nikll, 2008-04-17 в 14:56:21

creativ а можно поконкретнее почему вы осуждаете кумейл? с таким же успехом можно осудить что угодно, посути это тупо разведение флейма получаетсо... Kolesya спс за ссылку, многое в моей голове встало на свои места, еще бы токовое русскоязычное руководство по настройке связки simscan+dspam+spamdyke на работу с qmail-ldap, а то таже история что и с AD в инете есть тока логи каких то англоязычных переписок, где местами, по крупицам можно собрать часть информации

Kolesya, 2008-04-17 в 18:08:05

вроде ошибки pw useradd -n vmail -g virtmail -s /sbin/nologin -> pw useradd -n vmail -g vmail -s /sbin/nologin echo '#!/bin/bash' > /var/qmail/bin/dirmaker -> echo '#!/bin/sh' > /var/qmail/bin/dirmaker bash не все юзают awk -F: '/^vmail/ {print $3}' < /etc/passwd > /var/qmail/control/ldapuid -> awk -F: '/^vmail/ {print $2}' < /etc/passwd > /var/qmail/control/ldapuid

nikll, 2008-04-17 в 18:12:34

Kolesya еще раз спс, :) сча поправлю. Ну а в целом то как получилось? Мож чо еще надо поподорбнее осветить...

Kolesya, 2008-04-17 в 20:37:57

2nikll Незачто :) Не мешало бы добавить почтовых клиентов каких и как настраиваеш. связка с вебмордой тож неплохо :) дописывай статью, помогу с тестированием

Kolesya, 2008-04-17 в 20:40:32

2creativ С таким самым "успехом" можно сказать ексим/постфикс/... - херня, а мелкософтовый ексчендж рулит. В юнихах нет плохого/ненужного софта, просто не у всех получается пользоватся

nikll, 2008-04-17 в 20:46:08

+1 - екзим/постфикс ... херня про "неувсех получаеться" это тоже верно, у мна так и неполучилось нормально пользоваться ничем кроме ексченжда (оч. жестокая обработка напильником), и кумайла (добиться вменяемости уже прощще)

Alexander, 2008-04-18 в 17:34:26

Статья хорошая, но читать очень трудно: 1. Очень много опечаток, ошибок (орфография ни к чёрту). 2. Используются специфичные термины, непонятные для новичков. 3. Знаки препинания пропущены, что в некоторых случаях критично для правильного восприятия информации. За орфографию я бы поставил твёрдую "двойку". В литературные редакторы что ли напроситься... :)

nikll, 2008-04-19 в 16:42:55

Alexander статья и не расчитанна на новичков, человек который собираеться делать в продакшен нечто подобное должен достаточно детально предсталять себе что такое лдап смтп поп3, как устроенна фря, как устроен MS_AD, и многое другое, иначе он только облажается на этом а вот по 1 и 3 пункту с огромным удовольствием приму любые исправления :) P.S. у меня и в школе по русскому 2 было.....

Alexander, 2008-04-20 в 10:40:24

nikll, вижу излишнюю перегруженность текста аббревиатурами, жаргонизмами. Ладно хоть бы латиницей было написано, но кириллицей... По этому поводу мне вспоминается история про гениального советского авиаконструктора Сухого Павла Осиповича. Когда молодой аспирант закончил доклад заумными словами, он спросил его: "Вот поглядите на погоду за окном. Ваши слова были бы "Наблюдается выпадение осадков в виде дождя". А если сказать просто "Идёт дождь", Вы бы поняли меня?" Вы же статью написали для новичков в затронутой Вами теме, и в Ваших интересах её преподать просто и доступно. Задача Вами решена и потому кажется сейчас простой, чего не скажешь о том, кто только приступает к её реализации. Насчёт ставки редактора надо переговорить с администратором ресурса. :)

ALex_hha, 2008-06-14 в 17:06:01

Просто ради интереса, зачем в 2008 году использовать МТА, который уже более 10 лет не развивается. При этом из коробки практически ничего не умеет?!

nikll, 2008-06-16 в 8:04:36

Развивается, правда в 2006 развитие преостановилось, мы с вами обсуждаем не девственно чистый qmail, а qmail-ldap, в котором оч многое переделанно и дополненно, это посути новый мейл сервер, написанный на основе старого (стоить хотябы мельком пролистать патч), в этот патч включенно, помимо интеграции с ldap, огромная куча всего что надо и ненадо, доп фичи включаються отдельными файлами, например в qmail-ldap есть smtp аутентификация и подддержка rbl из коробки

ALex_hha, 2008-08-08 в 20:45:16

Развивается непонятно кем, кроме автора. Куча патчей. Вот до сих пор не понимаю, почему его выбирает?!

nikll, 2008-08-08 в 21:08:46

Автором он не развивается уже давно. Еще раз оброщщаю ваше внимание на разницу между qmail и qmail-ldap. qmail-ldap это посути форк от обычного кумейла. Это один единый патч, который в себе несет все осовные патчи (smtp-аутентификация, ldap, rbl итд итп). функионал которых активируется соотвествующими конфигами. Неазчем обсирать хороший почтарь, только потому что у самого мозгов нехватило разобраться в нем...

arksu, 2008-11-14 в 14:47:07

интересно а сколько народу на этом сайте вообще юзает кумейл? у самого стоит кумейл. правда без связки с АД

Oloremo, 2008-11-14 в 15:30:27

ИМХО - набор костылей и подпорок. Да безопасный(в оригинале), но устаревший.

nikll, 2008-11-14 в 15:36:33

К сожелению я так и не понял в чем же он так сильно устарел... По поводу костылей и подпорок, а вы с ним вообще имели опыт? кумыл он тоже разный бывает, например в статье он описан без костылей и подпорок и прекрастно справляется с целым спектром задач..

errno, 2008-12-07 в 10:52:10

cool!

volkov, 2009-02-10 в 10:20:47

"создал в корне AD учетку ldapadmin с правами администратора (группы "Domain Admins, Enterprise Admins, Schema Admins") для работы с LDAP." Это вы маханули, лишнее все это, нужно только права читать из лдап...

`Интеграция qmail и Active Directory`

`1. Подготовка, анализ, изучение задачи`

`2. Что за "зверь" LDAP и как его готовить, чтобы было вкусно...`

`3. qmail по-джедайски, в соусе из AD...`

`4. Тяжелые интимные отношения с авторизацией.`

`5. Цыплята учатся летать, или Базовая настройка связки qmail-ldap`