Как настроить связку sendmail + AD ?

Question

[Wizzy]

Есть почтовый сервер на linux (smtp - sendmail; pop, imap - dovecot). Пытаюсь сделать аутентификацию через AD.
Dovecot отрабатывает, аутентификация проходит (kerberos), после первой аутентификации пользователя создается mailbox. Но, когда sendmail пытается доставить почту он смотрит что в системе нет такого пользователя и делает отлуп (User unknown), т.е. при создании пользователя в AD нужно создавать пользователя на почтовом сервере.
Может быть кто-то делал что-нибудь подобное? Подскажите как лучше это сделать?

Answer 1

[Сергей Величко]

Делал на FreeBSD. Не нашёл ни чего лучше чем ввести машину в домен с использованием samba. С ходу не помню по какому мануалу, но можно найти в гугле. Первое, что попалось FreeBSD + Samba 3.4.8 + авторизация в AD. Но лучше заменить Sendmail на Exim или Postfix, они умеют работать с LDAP.

Comments

[Wizzy]

Вопрос не в том как в домен ввести, это я уже сделал, тут проблем нет. у меня аутентификация работает! при создании пользователя в AD не создается локальный пользователь, что в общем то и понятно.. но мне нужно сделать чтобы пользователь получал почту, а для этого нужен этот самый локальный пользователь (чтобы sendmail понял кому доставлять)...
Sendmail чудесно работает с LDAP.. свои задачи выполняет, поэтому менять особого смысла не вижу..

[Сергей Величко]

Я так же мучался, пытался заставить sendmail работать нативно, потом плюнул и настроил через samba, с точки зрения sendmail учётки из AD ни чем не отличаются от локальных, точнее sendmail видит их как локальных через PAM и NSS.

[Сергей Величко]

Попробуйте настроить NSS-LDAP, тогда samba не нужна, sendmail через него ищет учётки, PAM нкстраивать не обязательно, если у вас работает авторизация.

[Wizzy]

у меня настроен openldap.. и sendmail ищет через него..
Если пользователь локальный я прописываю его в лдап и все ок.. почта приходит и уходит.. если он из AD то User unknown, хоть и в лдапе прописан

[Wizzy]

pam я тоже настраивал.. для kerberos

[Сергей Величко]

Sendmail ищет пользователей через nss, через pam только авторизация, если я не ошибаюсь. Почему sendmail не ищет пользователей в ldap сходу не вспомню, настраивал сервер 3-4 года назад (до сих пор рабоьает и исправно служит). Можно попробовать подсунуть sendmail'у учётки через nss-ldap, но меня не устроило, то что нужно, вроде, расширять схему AD, чтобы там хранить uid, gid, homeDir и прописывать каждому пользователю эти параметры ручками. В итоге решил не мучаться и ввести машину в домен с использованием samba, в конфиге прописал, чтоб она автоматом выдавала uid и gid, всем пользователям из AD в качестве shell прописывала /bin/nologin, авторизацию sendmail сделал через sasl+ pam+ nss, в качестве lda задействовал dovecot (даёт ряд плюшек в виде sieve и maildir).

[Wizzy]

ок, спасибо! буду пробовать :)

[Wizzy]

у меня еще небольшой вопрос: как Вы сделали чтобы uid и gid выдавался автоматически?
я настроил nss.. в nsswitch.conf добавил winbind:

group: compat winbind
passwd: compat winbind

в smb.conf добавил:

winbind uid = 10000-20000
winbind gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes

всё стартует
wbinfo -u и wbinfo -g показывают пользователей домена
но, на `id user` (где user - пользователь домена) отвечает что нет такого.. getent passwd тоже не показывает пользователей домена.. в логах samba и winbind никаких ошибок.. подскажите, пожалуйста, где ещё можно посмотреть

[Сергей Величко]

Было такое, но если честно, то уже не помню как победил. Мои конфиги, может пригодятся:
> cat /usr/local/etc/smb.conf
[global]
workgroup = domain
netbios name = hostname
server string = description
security = ADS
load printers = no
log file = /var/log/samba/log.%m
max log size = 50
password server = ip1 ip2 ip3 ip4
guest account = nobody
realm = domain.name
local master = yes
os level = 10
domain master = yes
preferred master = yes
wins support = yes
dns proxy = no
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell=/sbin/nologin
winbind use default domain = Yes
> cat /etc/nsswitch.conf
group: files winbind
group_compat: nis
hosts: files dns
networks: files
passwd: files winbind
passwd_compat: nis
shells: files
services: compat
services_compat: nis
protocols: files
rpc: files
> cat /etc/pam.d/system
# auth
auth sufficient /usr/local/lib/pam_winbind.so
auth sufficient pam_opie.so no_warn no_fake_prompts
auth requisite pam_opieaccess.so no_warn allow_local
auth required pam_unix.so no_warn try_first_pass nullok
# account
account sufficient /usr/local/lib/pam_winbind.so
account required pam_login_access.so
account required pam_unix.so
# session
#session optional pam_ssh.so
session required /usr/local/lib/pam_mkhomedir.so skel=/usr/shar/skel
session required pam_lastlog.so no_fail
# password
password required pam_unix.so no_warn try_first_pass
> cat /etc/krb5.conf
[logging]
default = FILE:/var/log/kerberos/krb5libs.log
kdc = FILE:/var/log/kerberos/krb5kdc.log
admin_server = FILE:/var/log/kerberos/kadmind.log
[libdefaults]
ticket_lifetime = 24000
default_realm = DOMAIN.NAME
dns_lookup_realm = false
dns_lookup_kdc = false
kdc_req_checksum_type = 2
checksum_type = 2
ccache_type = 1
forwardable = true
proxiable = true
[realms]
DOMAIN.NAME = {
kdc = dc03.domain.name
}
[domain_realm]
.domain.name = DOMAIN.NAME
domain.name = DOMAIN.NAME
[pam]
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
[login]
krb4_convert = false
krb4_get_tickets = false
> id username
uid=10000(username) gid=10000(пользователи домена) groups=10000(пользователи домена)
> getent passwd | grep username
Ни чего не показывает

[Wizzy]

спасибо!