Come integrare iRedMail Roundcube con Samba4 AD DC - Parte 12
Roundcube, uno degli user agent webmail più utilizzati in Linux, offre una moderna interfaccia web per consentire agli utenti finali di interagire con tutti i servizi di posta per leggere, comporre e inviare e-mail. Roundcube supporta una varietà di protocolli di posta, compresi quelli protetti, come IMAPS, POP3S o invio.
In questo argomento discuteremo come configurare Roundcube in iRedMail con IMAPS e porte protette per l'invio per recuperare e inviare e-mail per gli account AD Samba4, come accedere all'interfaccia web di iRedMail Roundcube da un browser e aggiungere un alias di indirizzo web, come abilitare Samba4 Integrazione AD per la rubrica LDAP globale e come disabilitare alcuni servizi iRedMail non necessari.
Requisiti
- Come installare iRedMail su CentOS 7 per l'integrazione di Samba4 AD
- Configura iRedMail su CentOS 7 per l'integrazione di Samba4 AD
Passaggio 1: dichiarare l'indirizzo e-mail per gli account di dominio in Samba4 AD DC
1. Per inviare e ricevere posta per gli account di dominio Samba4 AD DC, è necessario modificare ciascun account utente e impostare esplicitamente l'e-mail archiviata con l'indirizzo e-mail corretto aprendo Strumento ADUC da un computer Windows con strumenti RSAT installati e unito a Samba4 AD come illustrato nell'immagine seguente.
2. Allo stesso modo, per utilizzare le liste di posta, è necessario creare gruppi in ADUC, aggiungere l'indirizzo e-mail corrispondente per ciascun gruppo e assegnare gli account utente corretti come membri del gruppo.
Con questa configurazione creata come elenco di posta, tutte le caselle di posta dei membri di un gruppo Samba4 AD riceveranno la posta destinata a un indirizzo di posta elettronica del gruppo AD. Utilizza gli screenshot seguenti come guida per dichiarare la posta elettronica archiviata per un account di gruppo Samba4 e aggiungere utenti del dominio come membri del gruppo.
Assicurati che tutti i membri dell'account aggiunti a un gruppo abbiano il proprio indirizzo e-mail dichiarato.
In questo esempio, tutti i messaggi inviati all'indirizzo email [email dichiarato per il gruppo "Domain Admins" verranno ricevuti dalla casella di posta di ciascun membro di questo gruppo.
3. Un metodo alternativo che puoi utilizzare per dichiarare l'indirizzo e-mail per un account Samba4 AD è creare un utente o un gruppo con la riga di comando dello strumento samba direttamente da una delle console AD DC e specifica l'indirizzo email con il flag --mail-address.
Utilizzare una delle seguenti sintassi del comando per creare un utente con l'indirizzo e-mail specificato:
samba-tool user add [email --surname=your_surname --given-name=your_given_name your_ad_user
Crea un gruppo con l'indirizzo email specificato:
samba-tool group add [email your_ad_group
Per aggiungere membri a un gruppo:
samba-tool group addmembers your_group user1,user2,userX
Per elencare tutti i campi di comando disponibili nello strumento samba per un utente o un gruppo utilizzare la seguente sintassi:
samba-tool user add -h
samba-tool group add -h
Passaggio 3: proteggere la webmail Roundcube
4. Prima di modificare il file di configurazione Roundcube, utilizzare il comando netstat trasmesso tramite il filtro egrep per elencare i socket ascoltati da Dovecot e Postfix e assicurarsi che le porte adeguatamente protette (993 per IMAPS e 587 per l'invio) sono attivi e abilitati.
netstat -tulpn| egrep 'dovecot|master'
5. Per imporre la ricezione e il trasferimento della posta tra i servizi Roundcube e iRedMail su porte IMAP e SMTP protette, aprire il file di configurazione Roundcube situato in /var/www/roundcubemail/config/config.inc.php e assicurati di modificare le seguenti righe, in questo caso per localhost, come mostrato nell'estratto seguente:
// For IMAPS
$config['default_host'] = 'ssl://127.0.0.1';
$config['default_port'] = 993;
$config['imap_auth_type'] = 'LOGIN';
// For SMTP
$config['smtp_server'] = 'tls://127.0.0.1';
$config['smtp_port'] = 587;
$config['smtp_user'] = '%u';
$config['smtp_pass'] = '%p';
$config['smtp_auth_type'] = 'LOGIN';
Questa configurazione è altamente consigliata nel caso in cui Roudcube sia installato su un host remoto diverso da quello che fornisce servizi di posta (demoni IMAP, POP3 o SMTP).
6. Successivamente, non chiudere il file di configurazione, cerca e apporta le seguenti piccole modifiche in modo che Roundcube possa essere visitato solo tramite protocollo HTTPS, per nascondere il numero di versione e per aggiungere automaticamente il nome di dominio per gli account che accedono nell'interfaccia web.
$config['force_https'] = true;
$config['useragent'] = 'Your Webmail'; // Hide version number
$config['username_domain'] = 'domain.tld'
7. Inoltre, disabilita i seguenti plugin: managesieve e password aggiungendo un commento (//) davanti della riga che inizia con $config['plugins'].
Gli utenti modificheranno la propria password da un computer Windows o Linux collegato a Samba4 AD DC una volta effettuato l'accesso e l'autenticazione al dominio. Un amministratore di sistema gestirà a livello globale tutte le regole sieve per gli account di dominio.
// $config['plugins'] = array('managesieve', 'password');
8. Infine, salva e chiudi il file di configurazione e visita Roundcube Webmail aprendo un browser e vai all'indirizzo IP iRedMail o al FQDN/posizione della posta tramite il protocollo HTTPS.
La prima volta che visiti Roundcube, sul browser dovrebbe apparire un avviso a causa del certificato autofirmato utilizzato dal server web. Accetta il certificato e accedi con le credenziali dell'account Samba AD.
https://iredmail-FQDN/mail
Passaggio 3: abilitare i contatti Samba AD in Roundcube
9. Per configurare la rubrica LDAP globale di Samba AD in modo che appaia i contatti Roundcube, aprire nuovamente il file di configurazione Roundcube per la modifica e apportare le seguenti modifiche:
Passare alla fine del file e identificare la sezione che inizia con "# Rubrica LDAP globale con AD", eliminare tutto il suo contenuto fino alla fine del file e sostituirlo con il seguente blocco di codice:
Global LDAP Address Book with AD.
#
$config['ldap_public']["global_ldap_abook"] = array(
'name' => 'tecmint.lan',
'hosts' => array("tecmint.lan"),
'port' => 389,
'use_tls' => false,
'ldap_version' => '3',
'network_timeout' => 10,
'user_specific' => false,
'base_dn' => "dc=tecmint,dc=lan",
'bind_dn' => "[email ",
'bind_pass' => "your_password",
'writable' => false,
'search_fields' => array('mail', 'cn', 'sAMAccountName', 'displayname', 'sn', 'givenName'),
'fieldmap' => array(
'name' => 'cn',
'surname' => 'sn',
'firstname' => 'givenName',
'title' => 'title',
'email' => 'mail:*',
'phone:work' => 'telephoneNumber',
'phone:mobile' => 'mobile',
'department' => 'departmentNumber',
'notes' => 'description',
),
'sort' => 'cn',
'scope' => 'sub',
'filter' => '(&(mail=*)(|(&(objectClass=user)(!(objectClass=computer)))(objectClass=group)))',
'fuzzy_search' => true,
'vlv' => false,
'sizelimit' => '0',
'timelimit' => '0',
'referrals' => false,
);
In questo blocco di codice sostituisci name, hosts, base_dn, bind_dn e bind_pass valori di conseguenza.
10. Dopo aver apportato tutte le modifiche richieste, salva e chiudi il file, accedi all'interfaccia webmail di Roundcube e vai al menu Rubrica.
Premi sul nome scelto della tua Rubrica globale e dovrebbe essere visibile un elenco di contatti di tutti gli account di dominio (utenti e gruppi) con il loro indirizzo email specificato.
Passaggio 4: aggiungi un alias per l'interfaccia webmail Roundcube
11. Per visitare Roundcube ad un indirizzo web con il seguente modulo https://webmail.domain.tld invece del vecchio indirizzo fornito di default da iRedMail è necessario effettuare le seguenti modifiche.
Da un computer Windows collegato con gli strumenti RSAT installati, apri Gestore DNS e aggiungi un nuovo record CNAME per iRedMail FQDN, denominato webmail, come illustrato nell'immagine seguente.
12. Successivamente, sul computer iRedMail, apri il file di configurazione SSL del server web Apache situato in /etc/httpd/conf.d/ssl.conf e modifica la direttiva DocumentRoot in modo che punti a /var/www/roundcubemail/ percorso di sistema.
estratto del file /etc/httpd/conf.d/ssl.conf:
DocumentRoot “/var/www/roundcubemail/”
Riavvia il demone Apache per applicare le modifiche.
systemctl restart httpd
13. Ora, punta il browser al seguente indirizzo e dovrebbe apparire l'interfaccia Roundcube. Accettare l'errore del certificato autofirmato per continuare alla pagina di accesso. Sostituisci domain.tld di questo esempio con il tuo nome di dominio.
https://webmail.domain.tld
Passaggio 5: disabilita i servizi iRedMail non utilizzati
14. Poiché i demoni iRedMail sono configurati per interrogare il server LDAP Samba4 AD DC per informazioni sull'account e altre risorse, puoi arrestare e disabilitare in sicurezza alcuni servizi locali sulla macchina iRedMail, come il server database LDAP e il servizio iredpad tramite emettendo i seguenti comandi.
systemctl stop slapd iredpad
systemctl disable slapd iredpad
15. Inoltre, disabilita alcune attività pianificate eseguite da iRedMail, come il backup del database LDAP e i record di monitoraggio di iRedPad aggiungendo un commento (#) davanti a ciascuna riga dal file crontab come illustrato nello screenshot qui sotto.
crontab -e
Passaggio 6: utilizzare l'alias di posta in Postfix
16. Per reindirizzare tutta la posta generata localmente (destinata a postmaster e successivamente reindirizzata all'account root) a un account Samba4 AD specifico, aprire il file di configurazione degli alias Postfix situato in /etc/postfix/aliases< e modifica la riga root come segue:
root: [email
17. Applica il file di configurazione degli alias in modo che Postfix possa leggerlo nel suo formato eseguendo il comando newaliases e verifica se la posta viene inviata all'account di posta elettronica del dominio corretto emettendo il seguente comando.
echo “Test mail” | mail -s “This is root’s email” root
18. Dopo che la posta è stata inviata, accedi alla webmail Roundcube con l'account di dominio che hai impostato per il reindirizzamento della posta e verifica che la posta inviata in precedenza venga ricevuta nella Posta in arrivo del tuo account.
Questo è tutto! Ora hai un server di posta completamente funzionante integrato con Samba4 Active Directory. Gli account di dominio possono inviare e ricevere posta per il proprio dominio interno o per altri domini esterni.
Le configurazioni utilizzate in questo tutorial possono essere applicate con successo per integrare un server iRedMail in un Windows Server 2012 R2 o 2016 Active Directory.