МУ2799_Лаб1-5_Linux

Следует иметь в виду, что агент виртуальной доставки почты будет работать от лица пользователя, полученного из таблицы virtual_uid_maps,

поэтому каталог, указанный в переменной virtual_mailbox_base, и все его подкаталоги должны быть доступны этому пользователю на чтение и запись.

2.2. Настройка сервера РОРЗ

Рассмотрим настройку РОРЗ-сервера на примере сервера Dovecot [9].

Настройки сервера хранятся в файле /etc/dovecot/dovecot.conf.

Формат этого конфигурационного файла похож; на формат конфигурационного файла SMTP-сервера Postfix.

В лабораторной работе достаточно настроить параметры аутентификации РОРЗ. Эти параметры настраиваются в секции auth default

конфигурационного файла:

auth default {

<...>

}

Настройка механизмов аутентификации. Параметр mechanisms

определяет набор механизмов аутентификации. Доступны следующие

механизмы аутентификации

plain — аутентификация по незашифрованному паролю;

cram-md5 — аутентификация с использованием хэшированного пароля; этот метод аутентификации поддерживается большинством почтовых клиентов;

digest-md5 — усиленная версия предыдущего механизма; этот механизм редко реализуются в почтовых клиентах.

Настройка базы данных паролей. Подсекция passdb секции auth

определяет таблицу с паролями пользователей:

passdb <тип базы данных> {

<параметры>

42

}

Dovecot может работать с таблицами паролей, хранящимися в базах дан-

ных под управлением MySQL, PostgreSQL, SQLite, в каталогах службы LDAP, в

файлах /etc/passwd и /etc/shadow, в специализированном файле паролей. В последнем случае поле <тип базы данных> принимает значение passwd-file, а содержимое секции passdb имеет следующий формат:

passdb passwd-file {

args = <путь к таблице паролей>

}

Таблица паролей имеет следующий формат:

<имя пользователя> :

{<механизм аутентификации>}<пароль> :

<идентификатор пользователя-владельца почтового ящика>

:

<идентификатор группы пользователя-владельца почтового ящика> : :

<домашний каталог пользователя> : : <дополнительные параметры>

Если используется механизм аутентификации, отличный от plain, то пароль можно сгенерировать с помощью программы dovecotpw. Формат командной строки этой программы следующий:

dovecotpw -s <механизм аутентификации>

После запуска программа входит в интерактивный режим и запрашивает

новый пароль пользователя.

Поле <дополнительные параметры> имеет формат <параметр>

=<значение>. Поле <параметр> может принимать следующие значения:

allow_nets — значение этого параметра — список номеров подсетей в нотации CIDR, из которых пользователю разрешен доступ к серверу;

43

nologin — если значение этого параметра равно у, то пользователь не получит доступ к почтовому ящику;

userdb_mail — значение этого параметра есть строка следующего формата

<тип почтового ящика>:<путь к почтовому ящику>

Поле <тип почтового ящика> определяет способ хранения

почтового ящика. Это поле может принимать следующие значения:

mbox — все сообщения хранятся в одном файле (формат Maildir);

maildir — каждое сообщение хранится в отдельном файле;

dbox — формат почтового ящика, специально разработанный для РОРЗ-сервера Dovecot.

Выбор типа почтового ящика зависит от того, какой агент виртуальной доставки планируется использовать: агент доставки virtual, входящий в дистрибутив Postfix'a, работает только с почтовыми ящиками в формате

Maildir, агент доставки deliver, входящий в дистрибутив Dovecot'a,

поддерживает все перечисленные выше форматы.

Путь к почтовому ящику пользователя задается относительно его домашнего каталога.

Настройка базы данных пользователей. База данных пользователей является необязательной, поскольку вся информация о пользователях может находиться в базе данных паролей, однако в простейшем случае вполне приемлема следующая конфигурация: в базе данных паролей хранятся только имена пользователей и их пароли, а база данных пользователей является статической и хранит пути к почтовым ящикам пользователей. Статическую базу данных пользователей можно описать конструкцией:

userdb static {

args = uid = <идентификатор пользователя-владельца

почтового пользователя>

44

gid = <идентификатор группы пользователя-владельца почтового пользователя>

home = <домашний каталог пользователя>

mail = <тип почтового ящика>:<путь к почтовому ящику>

}

Поля <путь к почтовому ящику> и <домашний каталог пользователя> могут содержать подстановочные символы:

%u—почтовый адрес пользователя;

%n—имя пользователя в почтовом адресе;

%d—почтовый домен в почтовом адресе.

Настройка агента аутентификации. Как было сказано выше, Dovecot

может предоставлять сервис аутентификации внешним приложениям. Для этого следует добавить секцию socket listen в секцию auth default: socket listen {

client {

path = <путь к сокету системы IPC ОС Linux> user = <пользователь-владелец сокета>

group = <группа пользователя-владельца сокета> mode = <режим доступа к сокету>

}

}

При наличии этой секции в конфигурационном файле Dovecot создаст сокет в каталоге, указанном в параметре path; этот сокет является оконечной точкой канала коммуникации с сервером аутентификации Dovecot'a.

3. Пример выполнения лабораторной работы

3.1. Настройка SMTP-сервера Postfix

Рабочий конфигурационный файл SMTP-сервера Postfix, работающего на

машине debian-svr (см. рис. 7):

45

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) biff = no

#appending .domain is the MUA's job. append_dot_mydomain = no readme_directory = no

myhostname = debian-svr.Workgroup3_5.local mydomain = Workgroup3_5.local

#Настройки псевдонимов

alias_maps = hash:/etc/aliases alias_database = hash:/etc/aliases

#Настройки релея

Mynetworks = 10.3.5.0/24 127.0.0.0/8 inet_interfaces = all default_transport = error relay_transport = relay

relay_domains = wg2-13.1oc, wg3-2.1oc, wg3-l.loc smtpd_recipient_restrictions = reject_unauth_destination smtpd_recipient_restrictions = permit_sasl_authenticated

#Настройки вирутальных почтовых ящиков

virtual_mailbox_domains = Wg3-5.1oc virtual_mailbox_base = /var/mail/vhosts virtual_mailbox_maps = hash:/etc/postfix/vmailbox virtual_minimum_uid = 100

virtual_uid_maps = static:5000 virtual_gid_maps = static:5000

#Настройки аутентификации

smtpd_sasl_auth_enable = yes smtpd_sasl_type = dovecot smtpd_sasl_path = private/auth-client smtpd_sasl_security_options = noanonymous

46

При таком варианте конфигурации Postfix будет передавать почту в до-

мены wg2-13.loc, wg3-2.loc и wg3-l.loc из подсети 10.3.5.0

(«локальная» сеть полигона VMWare) при условии, что отправитель прошел аутентификацию. В качестве агента аутентификации Postfix будет использовать агент аутентификации Dovecot'a, сокет которого располагается в файле /var/spool/postfix/private/auth-client. Почтовые ящики пользователей располагаются в каталоге /var/mail/vhosts.

Содержимое файла /etc/aliases:

mailer-daemon: postmaster

postmaster: | sendEmail -f postmaster®wg3-5.1oc –t admin@wg3-5.loc

nobody: root hostmaster: root usenet: root news: root webmaster: root www: root

ftp: root abuse: root noc: root security: root

В этом случае вся почта псевдопользователя postmaster будет отправляться программой sendEmail пользователю admin@wg3-5.loc.

Содержимое файла /etc/postfix/vmailbox:

admin@wg3-5.loc wg3_5/admin/

userl@wg3-5.loc wg3_5/userl/

user2@wg3-5.loc wg3_5/user2/

3.2. Настройка РОРЗ-сервера Dovecot

Пример рабочего конфигурационного файла РОРЗ-сервера Dovecot:

47

home=/var/mail/vhosts/wg3_5/%n mail=maildir: /var/mail/vhosts/wg3_5/%n

}

socket listen { client {

path = /var/spool/postfix/private/auth-client user = postfix

group = postfix mode = 0660

}

}

}

В этом варианте настройки таблица пользователей не хранится, а пути к почтовым ящикам пользователей, обслуживаемым агентом виртуальной доставки почты virtual, формируются следующим образом:

/var/mail/vhosts/wg3_5/<имя пользователя>

Пользователи сервиса РОРЗ проходят аутентификацию по методу CRAMMD5. Содержимое файла /etc/dovecot/auth-cram-md5:

userl:{CRAM-MD5}4b242d0c3070f9b63cb79f07affc4845fbda615406b9cd9e6d45634c214389d9

user2:{CRAM-MD5}d8d2d4d380e97510292a5bc68642c91748b446bb9db55c4984186b426dca082a

admin:{CRAM-MD5}8797ffa3d8b6el436dfIfe20727f69ab90acfe43dfff486d523a44905569clc3

48

Библиографический список

[1]BIND 9 Administrator Reference Manual [Электронный ресурс] / Internet Systems Consortium, 2010.—Режим доступа: WWW. URL: http://www.isc.org/files/arm97.pdf. - 08.04.2010.

[2]NSD: Name Server Daemon [Электронный ресурс] / NLnet Labs, 2010.—

Режим доступа: WWW. URL: http://www.nlnetlabs.nl/projects/nsd/.—

08.04.2010.

[3]Unbound [Электронный ресурс] / NLnet Labs, 2010.—Режим доступа: WWW. URL: http://unbound.net/-22.04.2010.

[4]Braden R. RFC 1123—Requirements for Internet Hosts—Application and Support [Электронный ресурс] / R. Branden, Network Working Group, Internet Engineering Task Force, 1989.—Режим доступа: WWW. URL: https://tools.ietf.org/html/rfcll23. - 19.04.2010.

[5]Mockapetris P. Domain Names—Implementation and Specifiction [Электрон-

ный ресурс] / P. Mockapetris, ISI, 1987.—Режим доступа: WWW. URL:

http://tools.ietf.org/html/rfcl035. 02.04.2010.

[6]DHCP [Электронный ресурс] / Internet Systems Consortium, 2010.—Режим доступа: WWW. URL http://www.isc.org/software/dhcp.—7.04.2010.

[7]Postfix configuration parameters [Электронный ресурс]—Режим доступа:

WWW.URL: http://www.postfix.Org/postconf.5.html.-23.03.2010.

[8]RFC 4954—SMTP Service Extension for Authentication [Электронный ресурс] / R- Siemborski, A. Melnikov; Network Working Group.—Режим доступа:

WWW.URL: http://tools.ietf.org/html/rfc4954. - 29.04.2010.

[9]Dovecot Wiki [Электронный ресурс]—режим доступа: WWW. URL: http://wiki.dovecot.Org/.-22.03.2010.

[10]Klensin J. RFC 2195-IMAP/POP AUTHorize Extension for Simple Challenge/Response [Электронный ресурс]: proposed standard. / J. Klensin, R. Catoe, P. Krumviede; Network Working Group.—Режим доступа: WWW. URL: http://tools.ietf.org/html/rfc2195.-01.09.1997.

49