Смоленск 1.5 Настройка почтового сервера на Astra Linux 1.5 special edition

WindWatcher

New member
Сообщения
46
:)
Документ Ruk_KSZ_1.pdf, стр. 34.
На ней ещё отправляют в man privsock для изучения подробного описания.
В man privsock написано то же, что на стр. 34.
... но, в принципе, этого достаточно, чтобы всё сделать:
1. в файл /etc/parsec/privsock.conf добавить строку /usr/sbin/named
2. в файл /etc/default/bind9 добавить строку PATH=/usr/lib/parsec/bin:$PATH

ну.... и так, для разминки... та же информация в сообщении #195 в этой теме.
 
Последнее редактирование:
Сообщения
12
Подскажите пожалуйста. Настраивал почту по инструкции. Службы dovecot, exim, bind показывают running. Работаю не через Ald. Пользователь создан. Почему то птичка не находит текущие настройки, не подключается к серверу. Были проблемы с доступом в логах в var/spool. Вроде решил. Все равно не работает. Оставлял на какое то время, потом зашёл почему то. Но сервер все равно не увидел. Может проблема в db.root. вышестоящие серверы находит. И свой вроде тоже.
 

WindWatcher

New member
Сообщения
46
Подскажите пожалуйста. Настраивал почту по инструкции. Службы dovecot, exim, bind показывают running. Работаю не через Ald. Пользователь создан. Почему то птичка не находит текущие настройки, не подключается к серверу. Были проблемы с доступом в логах в var/spool. Вроде решил. Все равно не работает. Оставлял на какое то время, потом зашёл почему то. Но сервер все равно не увидел. Может проблема в db.root. вышестоящие серверы находит. И свой вроде тоже.
Сорри, но мне кажется, что вопрос сформулирован некорректно: слишком много свалено в одну кучу.
Для простоты/полноты картины предлагаю проверить работу через Тандыр с той же машины, на которой стоит почтовик.
Особенно интригующе звучит: "Оставлял на какое то время, потом зашёл почему то. Но сервер все равно не увидел.".... тогда куда и кто зашёл?
 
Сообщения
12
Оставлял сервер всмысле просто стоять. Проблема на данный момент - Тандер не видит почтовый сервер. При подключении не находит текущие настройки пользователя
 
Последнее редактирование:

WindWatcher

New member
Сообщения
46
:)
Прошу извинить (конечно, можно пообщаться "вживую" по ОС/ЗС), но опять не понял даже самое начало.
Тандыр не видит почтовый сервер:
1. Пинг с машины с Тандыром есть? И по адресу, и по имени?
2. Машина в ЗС? Правила фильтрации корректны или опущены все?
3. Сервисы dovecot и exim4 подняты и корректно работают?
4. На самой машине фильтрация отключена?
Так, чтобы машина была в сети, был пинг на почтовик, работал резолвинг и/или ДНС, работали почтовые сервисы и не виделись настройки - пока не приходилось сталкиваться.
 
Сообщения
12
На данный момент вот именно такая ситуация. Единственное смущает. Днс долго рестартует. А точнее rndc
 

WindWatcher

New member
Сообщения
46
На данный момент вот именно такая ситуация. Единственное смущает. Днс долго рестартует. А точнее rndc
... а переустановка: полная или частичная результата не дала? По моему опыту (до такого, конечно, не доходило, но...) варианты косяков при ошибках по разным поводам очень разнообразные и часто весьма несистемные: в смысле - неповторяющиеся.
Мне несколько раз помогало. Только сегодня - полный снос всех пакетов (немного пришлось потренироваться) и установка сызнова. Упёрся в то, что настройки видел, но пароль не находил.
После сноса - аккуратный подъём всего.
:) У меня сегодня впервые "нормально" заработал почтовик на ns2 без ALD на реальном железе.
 

Alters13

New member
Сообщения
2
Пытался все выходные настроить почтовик через керберос, но хоть убей, не подключается. Как только почтовый сервер завел в домен, почта перестала работать через PAM аутентификацию. долго мурыжил керберос/gssapi. пытался обновлять тикеты вручную. Настройку производил по руководству администратора. результат нулевой. полностью сносил сервера и клиенты. ставил с нуля. эффекта нет. Какие логи можно посмотреть? Птица всегда пишет, что не нашла пользователя. Очень уж хочется, что все работала в домене, а не на костылях ,через локальных пользователей.
До сих пор не понял, почему в сервисах, ни на почту, ни на apache2 не выставляется галка работать с ЕПП. Апаче, кстати так же не проходит аутентификацию через керберос/gssapi.
 
Последнее редактирование:

Rayman

New member
Сообщения
101
Пытался все выходные настроить почтовик через керберос, но хоть убей, не подключается. Как только почтовый сервер завел в домен, почта перестала работать через PAM аутентификацию. долго мурыжил керберос/gssapi. пытался обновлять тикеты вручную. Настройку производил по руководству администратора. результат нулевой. полностью сносил сервера и клиенты. ставил с нуля. эффекта нет. Какие логи можно посмотреть? Птица всегда пишет, что не нашла пользователя. Очень уж хочется, что все работала в домене, а не на костылях ,через локальных пользователей.
До сих пор не понял, почему в сервисах, ни на почту, ни на apache2 не выставляется галка работать с ЕПП. Апаче, кстати так же не проходит аутентификацию через керберос/gssapi.
Галка не выставляется, потому как уже настройки были произведены. Поможет полная перестановка пакетов со всеми конфигами. Тогда галочка поставится. Но и там придётся допиливать руками. Пишите в ЛС, скину 146% рабочий вариант настройки
 

WindWatcher

New member
Сообщения
46
:)
На ALD под kerberos/gssapi работает :) но меня интересовал PAM. Тоже уже работает. И запрет локальной безаутентификации работает. Приходится допиливать и то, и то, но народ забивает запрет и ещё пару мулек и не парится :)
Кстати, в доках на 1.6 не заметно никаких исправлений, как было обещано здесь на форуме.
Типа всё соответствует требованиям. 8-ка пропускает. Видимо вопрос "!соответствия" новой модели безопасности относится к категории причин проекта закона о "НиззЯ ругать власть".
Лучшее лекарство во всех случаях - полная переустановка пакетов и пересоздание пользователей. Пришлось сталкиваться с тем, что слишком высока неповторяемость ошибок: нужно делать весьма аккуратно и с первого раза. Исправить потом либо проблемно, либо вообще невозможно.
... и да! Это вам не МСВС: ждать. что ЭтО будет корректно работать при постоянных сменах уровней в наборе {0123} надо забыть: как только перешли на 3-й - всё. Только на нём, и не дёргаться за просто так.
И ещё: на виртуалках работает намного стабильнее, чем на реальном железе :)
 
Сообщения
12
Заработала почта. Настройки Тандер на клиенте почтовика нашел. Проблема была в файле db.root. Не стояли точки в конце адресов. Теперь другая проблема. Не приходят письма из внешки. В файле 30_exim4-config_check_rcpt строчек про аутентификацию нет. Где смотреть? В логах вроде все норм. Но я так понимаю что это exim, потому что в dovecot.log вообще все норм
 

WindWatcher

New member
Сообщения
46
Заработала почта. Настройки Тандер на клиенте почтовика нашел. Проблема была в файле db.root. Не стояли точки в конце адресов. Теперь другая проблема. Не приходят письма из внешки. В файле 30_exim4-config_check_rcpt строчек про аутентификацию нет. Где смотреть? В логах вроде все норм. Но я так понимаю что это exim, потому что в dovecot.log вообще все норм
... а что пишется в /var/log/exim4/mainlog?
Если там стоит что-то вроде "Auth required", как в Ruk_admin_1.pdf, то это косяк, который обещали устранить в 1.6, но так и не устранили :)
В той строчке инструкции, где стоит эта фраза, нужно убрать "*:" после знака "=", и всё заработает. А dovecot здесь вообще ни при чём: за приход из внешки отвечает обмен по порту 25, т.е. exim/
 
Сообщения
12
... а что пишется в /var/log/exim4/mainlog?
Если там стоит что-то вроде "Auth required", как в Ruk_admin_1.pdf, то это косяк, который обещали устранить в 1.6, но так и не устранили :)
В той строчке инструкции, где стоит эта фраза, нужно убрать "*:" после знака "=", и всё заработает. А dovecot здесь вообще ни при чём: за приход из внешки отвечает обмен по порту 25, т.е. exim/
Так где убрать то надо, в каком файле?
 

WindWatcher

New member
Сообщения
46
Так где убрать то надо, в каком файле?
... по руководству Ruk_admin_1.pdf (не думаю, что сильно ошибаюсь в названии первой книги руководства администратора) можно поиском найти фразу "Auth required".
По-моему, это в файле, который редактируется: /etc/exim4/acl/.....rcpt. И там в начале нужно вписать 4 строки по правилу Deny.
О! Вспомнил, что можно отмазаться :) в сообщении №231 в этой ветке нашлось обсуждение этого момента с указанием, что нужно закомментировать:
#deny
# message = "auth requried"
# hosts = *:+relay_from_hosts
# !authenticated = *
Т.е. мы говорим о том, что можно не комментировать, чтобы не блокировать опцию из линии ЗИ, а убрать то, что выделено красным.
 
Последнее редактирование:
Сообщения
12
... по руководству Ruk_admin_1.pdf (не думаю, что сильно ошибаюсь в названии первой книги руководства администратора) можно поиском найти фразу "Auth required".
По-моему, это в файле, который редактируется: /etc/exim4/acl/.....rcpt. И там в начале нужно вписать 4 строки по правилу Deny.
О! Вспомнил, что можно отмазаться :) в сообщении №231 в этой ветке нашлось обсуждение этого момента с указанием, что нужно закомментировать:
#deny
# message = "auth requried"
# hosts = *:+relay_from_hosts
# !authenticated = *
Т.е. мы говорим о том, что можно не комментировать, чтобы не блокировать опцию из линии ЗИ, а убрать то, что выделено красным.
Так вот я же говорю. У меня в этом файле нет этих строк. И не было изначально при установке системы.
 

WindWatcher

New member
Сообщения
46
Так вот я же говорю. У меня в этом файле нет этих строк. И не было изначально при установке системы.
!!!! Этих строк изначально нет !!!!
В руководстве написано как, куда и для чего их вписать. Это вопрос обеспечения безопасности в пределах узла/домена, на который наши восьменизаторы наложили "вето". Это - нормально :)
Поскольку самым слабым звеном в системе безопасности является человек, а в первую очередь свой человек, а ещё хуже, если "продвинутый" и обиженный, то такое и было предложено.
 
Сообщения
12
Ввел эту группу. Появилась сразу ошибка Auth required. Это не то. В логе exim4/mainlog идёт ссылка на домен, далее на maildir что то. Позже скину лог
 

WindWatcher

New member
Сообщения
46
Ввел эту группу. Появилась сразу ошибка Auth required. Это не то. В логе exim4/mainlog идёт ссылка на домен, далее на maildir что то. Позже скину лог
:) ... можно было скинуть почтой в ОС или ЗС...
ОК. Будем поглядеть.