postfix+windows ad+courier+authlib+extmail整合用户认证

作者: 邓卫华   shamdeng(###)163.com 把(###)换为“@”

http://dengweihua1.blog.51cto.com

相关产品:

1、关于authlib集成windows ad失败的分析并解决[草稿]

2、Postfix+Dovecot+Windows Active Directory集成认证

ChangeLog:

             2009.11.29  发布初稿

             2009.12.3  增加基于POSTFIX的邮件归档与用户收发邮件抄送部门经理

             2009.12.6  修改当某用户发送给g1(用户)和group1(组,含g1用户),g1会收到两封邮件

                             增加了用户容量配额的控制

            2010.1.4    增加:默认情况下authdaemond为了加快认证速度会对密码进行缓存,有些用户需要修改密码后立即生效.修改smtpd.conf文件

前言:

     之前我写了一个Postfix+Dovecot+Windows Active Directory集成认证的文章,最后发现能使用的webmail确实是非常有限。最后换了好几个WEBMAIL发现还是使用extmail比其它免费的WEBMAIL无法在界面还是操作上都非常符合我们的要求。因此最后开始测试EXTMAIL,但是测试的结果非常让人沮丧,在EXTMAIL中设置好LDAP后还是无法认证成功。最后看extmail支持authlib认证,我想如果我使用authlib来试试能不能通过查询windows ad来用户名和密码使之整合。

注:在这里因为我觉得authlib是courier开发的,配合courier-imap应该是不错的选择,所以我放弃了dovecot,当然您也可以不安装courier-imap也是可以的。

一、所需软件:

1、postfix  邮件的MTA软件,负责邮件的进、出(server-server/client-server)

2、authlib  courier-imap和postfix调用authlib来查询AD进行用户密码和密码认证。

3、courier-imap :提供pop3和imap邮件功能(您也可以使用dovecot).

4、openldap的客户端及开发库文件。

5、extmail (含extmail所需要的很多perl模块)

6、apache和php

7、cyrus-sasl2 postfix通过sasl来查询authlib进行密码查询与验证。

版本:    
1、openldap

openldap-2.3.43-3.el5    
openldap-clients-2.3.43-3.el5    
openldap-devel-2.3.43-3.el5

2、cyrus-sasl

cyrus-sasl-devel-2.1.22-5.el5    
cyrus-sasl-2.1.22-5.el5    
cyrus-sasl-lib-2.1.22-5.el5    
cyrus-sasl-plain-2.1.22-5.el5

3、postfix    
mail_version = 2.6.5

4、authlib

courier-authlib-0.62.4

6、courier-imap

courier-imap-4.6.0

6、extmail

extmail-1.1.1.tar.gz

二、Windows 2008 AD设置

1、运行dcpromo 提升2008的域控(需要DNS)    
2、建立mailuser的OU,并在其下建立vmail用户密码123

image

三、编译程序

1、openldap

#yum install openldap.i386 openldap-clients.i386 openldap-devel.i386

2、authlib

#./configure --with-authldap �Cwithout-authmysql �Cwithout-authpgsql

#make

#make install

#make install-configure

3、postfix

$make tidy

$make makefiles CCARGS="-DUSE_SASL_AUTH -DUSE_CYRUS_SASL  -I/usr/local/include/sasl �CI/usr/include" AUXLIBS="-L/usr/local/lib �Clsasl2 �CL/usr/lib �Clldap �CL/usr/lib �Cllber”

$make

#make install

完成后可运行如下命令检查编入的模块:cyrus

#postconf -a    
cyrus

#

4、courier-imap

$./configure

$make

$make check

#make install

#make install-configure

5、apache和php可以通过yum install 来安装。

四、配置authlib查询windows ad 的LDAP认证。

# cd /usr/local/etc/authlib/

authdaemonrc的内容如下:

[root@mail authlib]# cat authdaemonrc |grep -v "^#"

authmodulelist="authldap"    
authmodulelistorig="authldap"    
daemons=5    
authdaemonvar=/usr/local/var/spool/authdaemon

#请注意authdaemon文件的路径及权限要求postfix的运行帐户有执行的权限。

DEBUG_LOGIN=2    
DEFAULTOPTIONS=""    
LOGGEROPTS=""

#

配置authldaprc文件进行WINDOWS AD查询。

请注意配置文件的格式为 “变量[空格或TAB]值” 无论在行首或行未不要有任何多余的空格。

[root@mail authlib]# cat authldaprc |grep -v "^#"

LDAP_URI        ldap://10.0.3.3    
LDAP_PROTOCOL_VERSION   3    
LDAP_BASEDN     ou=mailuser,dc=test,dc=com
LDAP_BINDDN     [email protected]    
LDAP_BINDPW     123    
LDAP_TIMEOUT            5    
LDAP_AUTHBIND           1    
LDAP_MAIL               mail    
LDAP_FILTER     (&(objectClass=person)(!(userAccountControl=66050)))    
LDAP_DOMAIN             test.com    
LDAP_GLOB_UID           postfix    
LDAP_GLOB_GID           postfix    
LDAP_HOMEDIR    sAMAccountName    
LDAP_MAILROOT           /data/vmail    
LDAP_DEREF              never

LDAP_FULLNAME   displayName    
LDAP_CRYPTPW            userPassword

#2009.12.6增加(此功能需要扩展AD架构,我最近正在写扩展AD架构的一个小程序,以后将会发布)

LDAP_MAILDIRQUOTA       mailmessagestore

注意:

1、*BASE_DN一定要指定一个明确的OU值,如果您用dc=test,dc=com 则会出现无法查询到任何帐户,这个问题害得我研究了几多天的时间.更详细的信息请见“关于authlib集成windows ad失败的分析并解决[草稿]”

2、BIND_DN中[email protected] vmail是您在Windows AD的mailuser这个OU下面建立的帐户。test.com 是您的WINDOWS AD的域名。

3、LDAP_MAIL和LDAP_FILTER是通过ldap查询时的过滤规则同mail一起使用,本文的通过authlib后就成为:(&(&(objectClass=person)(!(userAccountControl=66050)))(mail=username's email address))

4、LDAP_GLOB_UID和GID参数的使用者帐户必须要与postfix的和extmail的一至,否则会出现chdr Maildir错误。

5、LDAP_HOMEDIR这个参数这里要注意,一般的“用户家目录”格式如下: /data/vmail/test/Maildir (您的可能会不一样),其它/data/vmail为邮件的根目录,test为用户的“家目录”,Maildir这个参数会自动在courier- imap中pop3d这个配置文件中指定MAILDIRPATH=Maildir.

6、mailMessageStore的值需要在Winows Ad中运行adsiedit.msc 找到用户并修改mailMessageStore的值,如要设置为1K则值为:1024S (我正在写一个直接在WINDOWS 上运行的用户管理程序,可以直接在程序中修改配额,不用这么麻烦)

--

下面开始配置courier-IMAP的POP3和IMAP功能(extmail只使用了pop3功能,所以可以不用配置imap)

#cd /usr/lib/courier-imap/etc

[root@mail etc]# cat pop3d |grep -v "^#"

PIDFILE=/var/run/pop3d.pid

MAXDAEMONS=40

MAXPERIP=4

POP3AUTH="LOGIN PLAIN"

POP3AUTH_ORIG="PLAIN LOGIN CRAM-MD5 CRAM-SHA1 CRAM-SHA256"

POP3AUTH_TLS=""

POP3AUTH_TLS_ORIG="LOGIN PLAIN"

POP3_PROXY=0

PORT=110

ADDRESS=0

TCPDOPTS="-nodnslookup -noidentlookup"

LOGGEROPTS="-name=pop3d"

POP3DSTART=YES

MAILDIRPATH=Maildir    
[root@mail etc]#

OK,基本的POP3认证auhlib就成功了,现在我们测试一下。在开始测试test用户之前我们需要确认在WINDOWS AD中test用户的邮件地址已经写为[email protected] 了。如下图:

image

#authtest �Cs login test “123”

Authentication succeeded.

    Authenticated: test  (uid 500, gid 501)    
   Home Directory: /data/vmail/test    
          Maildir: (none)    
            Quota: (none)    
Encrypted Password: (none)    
Cleartext Password: 123    
          Options: (none)    
[root@mail etc]#

出现以上提示说明配置成功了,如果失败最大的可能就是你的authldaprc文件中的语法不正确或多了一个或多个空格。

本文出自:邓卫华的博客地址是:   http://dengweihua1.blog.51cto.com

四、配置postfix与sasl2。

1、增加smtpd.conf文件

[root@mail etc]# cat /usr/local/lib/sasl2/smtpd.conf    
pwcheck_method:authdaemond    
log_level:3    
mech_list: PLAIN LOGIN    
authdaemond_path:/usr/local/var/spool/authdaemon/socket

#reauth_timeout DIGEST-MD5 0 ####设置密码缓存时间为0,根据您的情况决定。    
[root@mail etc]#

2、修改postfix的main.cf配置文件

[root@mail etc]# postconf �Cn    
broken_sasl_auth_clients = yes    
home_mailbox = Maildir/    
mail_owner = postfix    
mydestination = $myhostname,localhost.$mydomain,localhost    
mydomain = test.com    
myhostname = mail.test.com    
mynetworks = 127.0.0.0/8    
mynetworks_style = host    
myorigin = $mydomain    
smtp_sasl_security_options = noanonymous    
smtpd_recipient_restrictions = permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination    
smtpd_sasl_auth_enable = yes    
smtpd_sasl_authenticated_header = yes    
smtpd_sasl_local_domain = test.com    
smtpd_sasl_type = cyrus    
unknown_local_recipient_reject_code = 550    
virtual_alias_maps = ldap:/etc/postfix/ldap-group.cf    
virtual_gid_maps = static:501    
virtual_mailbox_base = /data/vmail    
virtual_mailbox_domains = $mydomain    
virtual_mailbox_maps = ldap:/etc/postfix/ldap-users.cf    
virtual_uid_maps = static:500

#2009.12.3增加

[email protected]    
sender_bcc_maps=hash:/etc/postfix/sender_bcc_maps    
recipient_bcc_maps=hash:/etc/postfix/recipient_bcc

#2009.12.6增加

enable_original_recipient=no

#

#cat /etc/postfix/sender_bcc_maps //把g1用户发送的邮件抄送给部门经理或某个人。

[email protected]@test.com

#postmaq /etc/postfix/sender_bcc_maps //生成sender_bcc_maps文件的hash格式数据库。

#cat /etc/postfix/recipient_bcc   //把g1用户收到的邮件抄送给部门经理

[email protected]@test.com

#postmaq /etc/postfix/recipient_bcc

*postfix配置文件中的always_bcc 是邮件归档邮箱,把所有收发的邮件转发到[email protected] 邮件。

#cat /etc/postfix/ldap-users.cf

[root@mail etc]# cat /etc/postfix/ldap-users.cf    
server_host=10.0.3.3    
search_base= dc=test,dc=com    
version=3    
query_filter=(&(objectclass=person)(|(mail=%s)(othermailbox=%s))(!(userAccountControl=66050)))    
bind=yes    
[email protected]    
bind_pw=123    
#result_attribute=sAMAccountName    
result_attribute=samaccountname    
result_format = %s/Maildir/

[root@mail etc]# cat /etc/postfix/ldap-group.cf    
server_host=10.0.3.3    
search_base=dc=test,dc=com    
version=3    
query_filter=(&(objectClass=group)(mail=%s))    
leaf_result_attribute = mail    
special_result_attribute = member    
bind = yes    
bind_dn = [email protected]    
bind_pw = 123

#postfix stop

#postfix start

#cat /var/log/maillog  

确认postfix启动正常无任何异常。

五、配置extmail(在之前请确认已经设置好apache及php并且把apache的user和group设置为postfix用户)

[root@mail ~]# cat /var/www/html/extmail/webmail.cf |grep -v "^#"    
SYS_CONFIG = /var/www/html/extmail/  #注意你的APACHE的路径。因为是测试环境我未做太多更改

SYS_LANGDIR = /var/www/html/extmail/lang

SYS_TEMPLDIR = /var/www/html/extmail/html

SYS_HTTP_CACHE = 0

SYS_SMTP_HOST = 127.0.0.1

SYS_SMTP_PORT = 25

SYS_SMTP_TIMEOUT = 5

SYS_SPAM_REPORT_ON = 0

SYS_SPAM_REPORT_TYPE = dspam

SYS_SHOW_WARN = 0

SYS_PERMIT_NOQUOTA = 1

SYS_SESS_DIR = /tmp

SYS_UPLOAD_TMPDIR = /tmp

SYS_LOG_ON = 1

SYS_LOG_TYPE = file    
SYS_LOG_FILE = /var/log/extmail.log

SYS_SESS_TIMEOUT = 0

SYS_SESS_COOKIE_ONLY = 1

SYS_USER_PSIZE = 10

SYS_USER_SCREEN = auto

SYS_USER_LANG = en_US

SYS_APP_TYPE = WebMail

SYS_USER_TEMPLATE = default

SYS_USER_CHARSET = utf-8

SYS_USER_TRYLOCAL = 1

SYS_USER_TIMEZONE = +0800

SYS_USER_CCSENT = 1    
SYS_USER_SHOW_HTML = 1    
SYS_USER_COMPOSE_HTML = 1    
SYS_USER_CONV_LINK =1    
SYS_USER_ADDR2ABOOK = 1

SYS_MESSAGE_SIZE_LIMIT = 5242880

SYS_MIN_PASS_LEN = 2

SYS_MFILTER_ON = 1

SYS_SHOW_SIGNUP = 0

SYS_DEBUG_ON = 1

SYS_AUTH_TYPE = authlib    
SYS_AUTH_SCHEMA = virtual

SYS_CRYPT_TYPE = md5crypt    
SYS_AUTHLIB_SOCKET = /usr/local/var/spool/authdaemon/socket      
SYS_G_ABOOK_TYPE = file

SYS_G_ABOOK_LDAP_HOST = 10.0.3.3    
SYS_G_ABOOK_LDAP_BASE = ou=AddressBook,dc=example.com    
SYS_G_ABOOK_LDAP_ROOTDN = cn=Manager,dc=example.com    
SYS_G_ABOOK_LDAP_ROOTPW = secret    
SYS_G_ABOOK_LDAP_FILTER = objectClass=OfficePerson

SYS_G_ABOOK_FILE_PATH = /var/www/extsuite/extmail/globabook.cf    
SYS_G_ABOOK_FILE_LOCK = 1    
SYS_G_ABOOK_FILE_CONVERT = 0    
SYS_G_ABOOK_FILE_CHARSET = utf-8    
[root@mail ~]#

注意修改黑体字的SYS_AUTHLIB_SOCKET为您的authdaemond配置文件中的路径一至,如果出现访问拒绝则请用chmod ug+x /etc/local/var/spool/authdaemon

五、确认与测试

1、确认postfix的SMTP启用了PLAIN和LOGIN认证功能

#authdaemond start

#postfix start

#telnet 0 25

image

测试SMTP发信功能:

[root@mail ~]# !telnet    
telnet 0 25    
Trying 0.0.0.0...    
Connected to 0 (0.0.0.0).    
Escape character is '^]'.    
220 mail.test.com ESMTP Postfix    
helo mail      
250 mail.test.com    
mail from:<[email protected]>
250 2.1.0 Ok    
rcpt to:<[email protected]>    
250 2.1.5 Ok    
data      
354 End data with <CR><LF>.<CR><LF>    
hello,this is a est.    
.
250 2.0.0 Ok: queued as 6A68F1B8151    
quit
221 2.0.0 Bye    
Connection closed by foreign host.    
[root@mail ~]#

命令行发送成功,在确认日志

Nov 29 15:06:26 mail postfix/smtpd[26373]: connect from localhost.localdomain[127.0.0.1]    
Nov 29 15:06:29 mail postfix/smtpd[26373]: B6F6A1B8151: client=localhost.localdomain[127.0.0.1]    
Nov 29 15:06:30 mail postfix/cleanup[26341]: B6F6A1B8151: message-id=<[email protected]>    
Nov 29 15:06:30 mail postfix/qmgr[24893]: B6F6A1B8151: from=<[email protected]>, size=336, nrcpt=1 (queue active)    
Nov 29 15:06:30 mail postfix/virtual[26342]: B6F6A1B8151: to=<[email protected]>, relay=virtual, delay=1.5, delays=1.5/0.01/0/0.01, dsn=2.0.0, status=sent (delivered to maildir)    
Nov 29 15:06:30 mail postfix/qmgr[24893]: B6F6A1B8151: removed    
Nov 29 15:06:30 mail postfix/smtpd[26373]: disconnect from localhost.localdomain[127.0.0.1]    
[root@mail ~]#

OK,从日志上来看已经完全成功了。

2、测试POP3功能

#telnet 0 110

[root@mail ~]# telnet 0 110    
Trying 0.0.0.0...    
Connected to 0 (0.0.0.0).    
Escape character is '^]'.    
+OK Hello there.    
user test      
+OK Password required.    
pass 123
+OK logged in.    
list      
+OK POP3 clients that break here, they violate STD53.    
1 292    
2 2119    
3 421    
4 654    
5 996    
6 443    
7 428    
.    
quit
+OK Bye-bye.    
Connection closed by foreign host.    
[root@mail ~]#

3、用客户端软件对pop3和SMTP功能进行测试

未选重“我的服务器需要身份验证”功能发送。

image

确认无法发送成功。

image

4、测试EXTMAIL是否成功:

image \

进入后的界面

image

后记:

     好了,终于写完,如果您有什么问题请联系我。shamdeng ### 163.com (把###换成 @)或在我的博客留言。

     我的博客地址是:   http://dengweihua1.blog.51cto.com

我在网上看到有人把postfix和AD集成整合WINDOWS AD认证的文章在买钱(在TAOBAO网上),这样做是不是断了人家的钱路呢?呵~呵,确实现在在网上写的LINUX MAIL服务器与WINDOWS AD整合的文章非常少。

关键字: postfix ad /courier ad / windows ad / linux mail windows ad

你可能感兴趣的:(windows,用户,认证,ad,EMOS)