МУ2799_Лаб1-5_Linux
.pdfСледует иметь в виду, что агент виртуальной доставки почты будет работать от лица пользователя, полученного из таблицы virtual_uid_maps,
поэтому каталог, указанный в переменной virtual_mailbox_base, и все его подкаталоги должны быть доступны этому пользователю на чтение и запись.
2.2. Настройка сервера РОРЗ
Рассмотрим настройку РОРЗ-сервера на примере сервера Dovecot [9].
Настройки сервера хранятся в файле /etc/dovecot/dovecot.conf.
Формат этого конфигурационного файла похож; на формат конфигурационного файла SMTP-сервера Postfix.
В лабораторной работе достаточно настроить параметры аутентификации РОРЗ. Эти параметры настраиваются в секции auth default
конфигурационного файла:
auth default {
<...>
}
Настройка механизмов аутентификации. Параметр mechanisms
определяет набор механизмов аутентификации. Доступны следующие
механизмы аутентификации
plain — аутентификация по незашифрованному паролю;
cram-md5 — аутентификация с использованием хэшированного пароля; этот метод аутентификации поддерживается большинством почтовых клиентов;
digest-md5 — усиленная версия предыдущего механизма; этот механизм редко реализуются в почтовых клиентах.
Настройка базы данных паролей. Подсекция passdb секции auth
определяет таблицу с паролями пользователей:
passdb <тип базы данных> {
<параметры>
42
}
Dovecot может работать с таблицами паролей, хранящимися в базах дан-
ных под управлением MySQL, PostgreSQL, SQLite, в каталогах службы LDAP, в
файлах /etc/passwd и /etc/shadow, в специализированном файле паролей. В последнем случае поле <тип базы данных> принимает значение passwd-file, а содержимое секции passdb имеет следующий формат:
passdb passwd-file {
args = <путь к таблице паролей>
}
Таблица паролей имеет следующий формат:
<имя пользователя> :
{<механизм аутентификации>}<пароль> :
<идентификатор пользователя-владельца почтового ящика>
:
<идентификатор группы пользователя-владельца почтового ящика> : :
<домашний каталог пользователя> : : <дополнительные параметры>
Если используется механизм аутентификации, отличный от plain, то пароль можно сгенерировать с помощью программы dovecotpw. Формат командной строки этой программы следующий:
dovecotpw -s <механизм аутентификации>
После запуска программа входит в интерактивный режим и запрашивает
новый пароль пользователя.
Поле <дополнительные параметры> имеет формат <параметр>
=<значение>. Поле <параметр> может принимать следующие значения:
allow_nets — значение этого параметра — список номеров подсетей в нотации CIDR, из которых пользователю разрешен доступ к серверу;
43
nologin — если значение этого параметра равно у, то пользователь не получит доступ к почтовому ящику;
userdb_mail — значение этого параметра есть строка следующего формата
<тип почтового ящика>:<путь к почтовому ящику>
Поле <тип почтового ящика> определяет способ хранения
почтового ящика. Это поле может принимать следующие значения:
mbox — все сообщения хранятся в одном файле (формат Maildir);
maildir — каждое сообщение хранится в отдельном файле;
dbox — формат почтового ящика, специально разработанный для РОРЗ-сервера Dovecot.
Выбор типа почтового ящика зависит от того, какой агент виртуальной доставки планируется использовать: агент доставки virtual, входящий в дистрибутив Postfix'a, работает только с почтовыми ящиками в формате
Maildir, агент доставки deliver, входящий в дистрибутив Dovecot'a,
поддерживает все перечисленные выше форматы.
Путь к почтовому ящику пользователя задается относительно его домашнего каталога.
Настройка базы данных пользователей. База данных пользователей является необязательной, поскольку вся информация о пользователях может находиться в базе данных паролей, однако в простейшем случае вполне приемлема следующая конфигурация: в базе данных паролей хранятся только имена пользователей и их пароли, а база данных пользователей является статической и хранит пути к почтовым ящикам пользователей. Статическую базу данных пользователей можно описать конструкцией:
userdb static {
args = uid = <идентификатор пользователя-владельца
почтового пользователя>
44
gid = <идентификатор группы пользователя-владельца почтового пользователя>
home = <домашний каталог пользователя>
mail = <тип почтового ящика>:<путь к почтовому ящику>
}
Поля <путь к почтовому ящику> и <домашний каталог пользователя> могут содержать подстановочные символы:
%u—почтовый адрес пользователя;
%n—имя пользователя в почтовом адресе;
%d—почтовый домен в почтовом адресе.
Настройка агента аутентификации. Как было сказано выше, Dovecot
может предоставлять сервис аутентификации внешним приложениям. Для этого следует добавить секцию socket listen в секцию auth default: socket listen {
client {
path = <путь к сокету системы IPC ОС Linux> user = <пользователь-владелец сокета>
group = <группа пользователя-владельца сокета> mode = <режим доступа к сокету>
}
}
При наличии этой секции в конфигурационном файле Dovecot создаст сокет в каталоге, указанном в параметре path; этот сокет является оконечной точкой канала коммуникации с сервером аутентификации Dovecot'a.
3. Пример выполнения лабораторной работы
3.1. Настройка SMTP-сервера Postfix
Рабочий конфигурационный файл SMTP-сервера Postfix, работающего на
машине debian-svr (см. рис. 7):
45
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) biff = no
#appending .domain is the MUA's job. append_dot_mydomain = no readme_directory = no
myhostname = debian-svr.Workgroup3_5.local mydomain = Workgroup3_5.local
#Настройки псевдонимов
alias_maps = hash:/etc/aliases alias_database = hash:/etc/aliases
#Настройки релея
Mynetworks = 10.3.5.0/24 127.0.0.0/8 inet_interfaces = all default_transport = error relay_transport = relay
relay_domains = wg2-13.1oc, wg3-2.1oc, wg3-l.loc smtpd_recipient_restrictions = reject_unauth_destination smtpd_recipient_restrictions = permit_sasl_authenticated
#Настройки вирутальных почтовых ящиков
virtual_mailbox_domains = Wg3-5.1oc virtual_mailbox_base = /var/mail/vhosts virtual_mailbox_maps = hash:/etc/postfix/vmailbox virtual_minimum_uid = 100
virtual_uid_maps = static:5000 virtual_gid_maps = static:5000
#Настройки аутентификации
smtpd_sasl_auth_enable = yes smtpd_sasl_type = dovecot smtpd_sasl_path = private/auth-client smtpd_sasl_security_options = noanonymous
46
При таком варианте конфигурации Postfix будет передавать почту в до-
мены wg2-13.loc, wg3-2.loc и wg3-l.loc из подсети 10.3.5.0
(«локальная» сеть полигона VMWare) при условии, что отправитель прошел аутентификацию. В качестве агента аутентификации Postfix будет использовать агент аутентификации Dovecot'a, сокет которого располагается в файле /var/spool/postfix/private/auth-client. Почтовые ящики пользователей располагаются в каталоге /var/mail/vhosts.
Содержимое файла /etc/aliases:
mailer-daemon: postmaster
postmaster: | sendEmail -f postmaster®wg3-5.1oc –t admin@wg3-5.loc
nobody: root hostmaster: root usenet: root news: root webmaster: root www: root
ftp: root abuse: root noc: root security: root
В этом случае вся почта псевдопользователя postmaster будет отправляться программой sendEmail пользователю admin@wg3-5.loc.
Содержимое файла /etc/postfix/vmailbox:
admin@wg3-5.loc wg3_5/admin/
userl@wg3-5.loc wg3_5/userl/
user2@wg3-5.loc wg3_5/user2/
3.2. Настройка РОРЗ-сервера Dovecot
Пример рабочего конфигурационного файла РОРЗ-сервера Dovecot:
47
protocols= рорЗ pop3s |
|
||
mail_privileged_group |
|||
disable_plaintext_auth |
= yes |
||
auth default |
{ |
|
|
mechanisms |
= cram-md5 |
||
passdb |
passwd-file { |
||
args |
= /etc/dovecot/auth-cram-md5 |
||
} |
|
|
|
userdb static { |
|
||
args |
= uid=5000 gid=mail |
home=/var/mail/vhosts/wg3_5/%n mail=maildir: /var/mail/vhosts/wg3_5/%n
}
socket listen { client {
path = /var/spool/postfix/private/auth-client user = postfix
group = postfix mode = 0660
}
}
}
В этом варианте настройки таблица пользователей не хранится, а пути к почтовым ящикам пользователей, обслуживаемым агентом виртуальной доставки почты virtual, формируются следующим образом:
/var/mail/vhosts/wg3_5/<имя пользователя>
Пользователи сервиса РОРЗ проходят аутентификацию по методу CRAMMD5. Содержимое файла /etc/dovecot/auth-cram-md5:
userl:{CRAM-MD5}4b242d0c3070f9b63cb79f07affc4845fbda615406b9cd9e6d45634c214389d9
user2:{CRAM-MD5}d8d2d4d380e97510292a5bc68642c91748b446bb9db55c4984186b426dca082a
admin:{CRAM-MD5}8797ffa3d8b6el436dfIfe20727f69ab90acfe43dfff486d523a44905569clc3
48
Библиографический список
[1]BIND 9 Administrator Reference Manual [Электронный ресурс] / Internet Systems Consortium, 2010.—Режим доступа: WWW. URL: http://www.isc.org/files/arm97.pdf. - 08.04.2010.
[2]NSD: Name Server Daemon [Электронный ресурс] / NLnet Labs, 2010.—
Режим доступа: WWW. URL: http://www.nlnetlabs.nl/projects/nsd/.—
08.04.2010.
[3]Unbound [Электронный ресурс] / NLnet Labs, 2010.—Режим доступа: WWW. URL: http://unbound.net/-22.04.2010.
[4]Braden R. RFC 1123—Requirements for Internet Hosts—Application and Support [Электронный ресурс] / R. Branden, Network Working Group, Internet Engineering Task Force, 1989.—Режим доступа: WWW. URL: https://tools.ietf.org/html/rfcll23. - 19.04.2010.
[5]Mockapetris P. Domain Names—Implementation and Specifiction [Электрон-
ный ресурс] / P. Mockapetris, ISI, 1987.—Режим доступа: WWW. URL:
http://tools.ietf.org/html/rfcl035. 02.04.2010.
[6]DHCP [Электронный ресурс] / Internet Systems Consortium, 2010.—Режим доступа: WWW. URL http://www.isc.org/software/dhcp.—7.04.2010.
[7]Postfix configuration parameters [Электронный ресурс]—Режим доступа:
WWW.URL: http://www.postfix.Org/postconf.5.html.-23.03.2010.
[8]RFC 4954—SMTP Service Extension for Authentication [Электронный ресурс] / R- Siemborski, A. Melnikov; Network Working Group.—Режим доступа:
WWW.URL: http://tools.ietf.org/html/rfc4954. - 29.04.2010.
[9]Dovecot Wiki [Электронный ресурс]—режим доступа: WWW. URL: http://wiki.dovecot.Org/.-22.03.2010.
[10]Klensin J. RFC 2195-IMAP/POP AUTHorize Extension for Simple Challenge/Response [Электронный ресурс]: proposed standard. / J. Klensin, R. Catoe, P. Krumviede; Network Working Group.—Режим доступа: WWW. URL: http://tools.ietf.org/html/rfc2195.-01.09.1997.
49
Павел Алексеевич Домашнев
СИСТЕМНОЕ АДМИНИСТРИРОВАНИЕ В СРЕДЕ GNU/LINUX
Методические указания к лабораторным работам по курсу
«АДМИНИСТРИРОВАНИЕ ИНФОРМАЦИОННЫХ СИСТЕМ»
Редактор Г.В. Казьмина |
|
|
Подписано в печать |
. Формат 60х84 1/16. Бумага офсетная. |
|
Ризография. Объем 3,0 л. Тираж 100 экз. Заказ № |
. |
Издательство Липецкого государственного технического университета. Полиграфическое подразделение Издательства ЛГТУ.
398600, Липецк, ул. Московская, 30.
50
51