Смоленск 1.5 Настройка почтового сервера на Astra Linux 1.5 special edition

oko

New member
Сообщения
428
to WindWatcher
Primo, если крыса перегрызет провода, внезапно, любая сеть встанет колом. Что ж теперь, отказаться от локальных сетей или иных линий связи? Нет, просто надо решить вопрос с крысами...
Secundo, керберос они не придумали, а честно взяли у MIT, добавив, что приятно, GOST (по-идее 34 Р 2012, хотя хз, не анализировал). Что само собой потянуло использование SMB и наработанной в nix-среде практики "Samba as AD Controller". Минусов у такого решения много, не спорю. Зато порог вхождения в такую схему для бывших Win-адинистраторов заметно снизился. Даже GUI (fly-admin-smc "Домен ALD") имеется, внезапно, рабочий, что снимает необходимость каждый раз лезть в консоль. Это не круто в долгосрочной перспективе (сила nix в консоли, ага). Зато позволяет упростить процедуру перевода существующих Win-доменов в ALD-домен. Конечно, все это было придумано в первую голову не ради заботы об оконечных эксплуатантах, а, скорее, ради быстрого захвата рынка, но...
Tertio, никто не спорит, что можно собрать свой велосипед с ЦУ паролями, ЦУ сетевыми шарами, ЦУ юзерами и проч. Но из всех более-менее доступных средств на текущий момент в nix-среде готовых мультикомпонентных решений "из коробки" кроме ALD нет. А это опять-таки влияет на сложность перехода из Win-среды в Astra Linux среду...
Quatro, в ALD есть опция "local" для хранения /home на локальных АРМ, а не на сетевых smb/nfs-шарах контроллера домена или файлового сервера. И тут уж надо смотреть по ситуации. Главное, что имеется выбор...
Last, короче, мне подобная схема импонирует. Допилят недостатки - будет вообще конфета. Понятно, что nix-админ-познавший-дзен плюнет на ALD и запилит собственную схему с преферансом и куртизанками. Но еще раз повторюсь: среди первичных эксплуатантов Astra Linux каков процент таких людей?
 

WindWatcher

New member
Сообщения
45
:) uno-due-tres-quatro
Ну вот: и мы дошли до банальной подмены сказанного...
Совершенно согласен. И, скорее всего, мы говорим о совершенно разных уровнях использования одного решения. Мне очень импонирует понятие "порог вхождения", и для ситуации каждого из нас он, видимо, представляется по-своему.
Предлагаю, как говорится, для ясности "замять это дело": в моём случае (весьма вероятно) всё будет сделано по принципу: "В Москве лучше знают, что нам нужно". (Это при моих GMT+10.00) :)
Как в древней притче про четырёх слепых мудрецов, описывающих слона, стоящих с разных сторон его....
 

oko

New member
Сообщения
428
to WindWatcher
Мне как бы тоже до Мск over1k верст, но сути дела это не меняет...
Вопрос простой: ALD = рабочий инструмент? imho, ответ: да, инструмент, да, вполне рабочий и, да, может использоваться в prom-масштабах. А все остальное от лукавого, включая мифические подмены понятий, ага...
 

WindWatcher

New member
Сообщения
45
ну вот и пришли, наконец-то, к .?!.
Совершенно согласный: АЛД - рабочий инструмент. А инструмент - не робот, а средство в понимающих его задачу руках.
Немножко допилить (судя по написанному ранее - не одному мне в ожидании быть), немножко подучить(ся) (с этим на каждом конкретном месте реально будет существенно сложнее) и будет всем (причащённым) Щастье.
Т.е. опять вернулись к тому, что юзать его нужно тому, кто не сильно пуг(т)ается :) В ином случае даже отвёртка может стать совершенно другим инструментом.
ОК.
Понял. За мнение - благодарю. Совершенно с ним согласен.
 

azm9s

New member
Сообщения
158
согласен со всем, кроме малого и непонятно как организованного глюка в этой ОС:
берем 6 абсолютно типовых и идентичных схем(за исключением может количества АРМ в сети) и одну инструкцию...
почему на 3х схемах все встает без сучка и задоринки, на двух других не то что без бубна не обойтись, даже логи не помогают, а на третьей глюки на этапе установки. причем даже если и с выносного рабочего привода ставить.(монтирование сдрома НЕ всчет глюка.)

... я вот на freebsd сижу, сидел и бюдю сидеть... еще с 6.0 и до 11 версии(на 12 еще не перешел) такого не замечал ни разу, да были пакеты не совместимые с архитектурой машины, но это и так писало, а так, чтобы один образ и туда хочу, тут не хочу ставится - не видел.

p.s. помоему мы с Вами не в ту степь пошли болтать.
 

Montfer

New member
Сообщения
798
согласен со всем, кроме малого и непонятно как организованного глюка в этой ОС:
берем 6 абсолютно типовых и идентичных схем(за исключением может количества АРМ в сети) и одну инструкцию...
почему на 3х схемах все встает без сучка и задоринки, на двух других не то что без бубна не обойтись, даже логи не помогают, а на третьей глюки на этапе установки. причем даже если и с выносного рабочего привода ставить.(монтирование сдрома НЕ всчет глюка.)

... я вот на freebsd сижу, сидел и бюдю сидеть... еще с 6.0 и до 11 версии(на 12 еще не перешел) такого не замечал ни разу, да были пакеты не совместимые с архитектурой машины, но это и так писало, а так, чтобы один образ и туда хочу, тут не хочу ставится - не видел.

p.s. помоему мы с Вами не в ту степь пошли болтать.
Логи, логи, логи... стоит ли это объяснять линуксоиду с таким большим стажем?
ЗЫ и логи сюда - энто для прошаренных пользователей, которые найдут по ним решение для себя и м/б напишут алгоритм для других.
Но логи в тех.поддержку - энто конкретно для вас, а соизволите ли вы поделиться решением с нами или нет, дело ваше...
 

azm9s

New member
Сообщения
158
не, линуксоидом я называться не могу, не дорос есче :)
красноглазиком - да.

особо прикольно когда разворачиваешь сетевую инфраструктуру, а до тебя в sysctl внесли запрет логов....
и то нашел случайно, долго гадал, почему логи(syslog, kernlog,dmesg и еще несколько других) не ведутся с определенного момента
 

azm9s

New member
Сообщения
158
всем вечера.

подскажите, куда копать. dovecot\exim4 на alse 1.5, авторизация через ald
при подключении почтовым клиентом, пишет:
"сервер не поддерживает данный вид авторизации(идентификации)"
стоит GSSAPI\Kerberos
в логах пусто.
при конфиги взяты с рабочего сервера, там все работает а тут вот такой облом....
у dovecot кроме как в Listen нигде больше IP не указывается, ни прочие параметры для данного сервера, так же?
при telnet ip 143
выдает:
OK [CAPABILITY IMAP4rev1 LITERAL + SASL-IR ID ENABLE IDLE] Dovecot ready.
при том что на другом сервере, тоже все настраивал, все работает. скопировал, чтобы не вбивать вручную - и такой облом :(

UPD
хм.
я тут неправильно проверял оказывается... по вики довекота надо так:
1. Подключение:
Код:
$ telnet localhost 143
* OK Dovecot ready.
2. Проверка, что GSSAPI появилась в возможностях аутентификации:
Код:
a capability
* CAPABILITY ... AUTH=GSSAPI
3. Попытка соединения по GSSAPI. Символ '+' означает, что сервер готов
Код:
a authenticate GSSAPI
+
4. Прервите сеанс telnet, введя control Ctrl+], а затем "quit".
Код:
^]
telnet> close
Завтра проверю.
 
Последнее редактирование:

Wea32bn

New member
Сообщения
4
Подскажите пожалуйста, проблема в почтовом клиенте.
Была создана почта работала почти год без нареканий, как вдруг полетела и пишет фразу Serverbug, при этом почта проходит идентификацию на сервере и сообщения уходят и доходят до адресатов, правда нигде не сохраняются...
 

azm9s

New member
Сообщения
158
всем вечера.

подскажите, куда копать. dovecot\exim4 на alse 1.5, авторизация через ald
при подключении почтовым клиентом, пишет:
"сервер не поддерживает данный вид авторизации(идентификации)"
стоит GSSAPI\Kerberos
в логах пусто.
при конфиги взяты с рабочего сервера, там все работает а тут вот такой облом....
у dovecot кроме как в Listen нигде больше IP не указывается, ни прочие параметры для данного сервера, так же?
при telnet ip 143
выдает:
OK [CAPABILITY IMAP4rev1 LITERAL + SASL-IR ID ENABLE IDLE] Dovecot ready.
при том что на другом сервере, тоже все настраивал, все работает. скопировал, чтобы не вбивать вручную - и такой облом :(

UPD
хм.
я тут неправильно проверял оказывается... по вики довекота надо так:
вот тут вся проблема крылась в dr.web workstation 11 версии. Встроенный в него файер(drweb-fw и drweb-netchek) блокировал кучу портов - удалил эту составляющую все заработало.
 

azm9s

New member
Сообщения
158
подскажите с почтовым сервером и\или клиентом.
ald настроен, все доки учетки хранятся на ald сервере, на ЭВМах FS_TYPE=cifs.

имеем почтовый сервер. автoризация gssapi.
если учетка настроена на FS_TYPE=cifs - то почта любых пользователей работает ТОЛЬКО на самом почтовом сервере, на всех остальных машинах пишет что не принят билет керберос.
если учетка настроена на FS_TYPE=none то почта пользователей работает везде, как и надо...

причем после того как сделал ald-client commit-config(поменял с FS_TYPE=cifs на FS_TYPE=none) заработала и у тех, у кого тоже ругалась на билет.
После возврата на FS_TYPE=cifs снова пошла ругань на не принятие билета керберос.

Как сделать, чтобы работала в режиме FS_TYPE=cifs везде, на любой ЭВМ, ибо ЭВМ - по сути тонкие клиенты, тама места маловато...
 

oko

New member
Сообщения
428
to azm9s
У вас явно расхождение в kerberos-билетах в инфраструктуре ALD, сиречь, проблема с работой ALD (ловил схожую ошибку с FS_TYPE, пусть и безотносительно почтовой подсистемы). Проверьте конфигурацию и порядок действий по Руководству администратора и моему сообщению №438 на странице 22 данного топика...
 

azm9s

New member
Сообщения
158
у меня по этому поводу скоро записи будут толще лекций потеории вероятности в радиосигналах....

имеем:
host ip
даёт 1 адрес с fqdn
host ns1
даёт 1 адрес с fqdn
hostname на всех машинах короткое.
в hosts
ip fqdn короткое имя.
локалхост только 127.0.0.1

ald-renew-ticets on включена изначально, ещё до установки домена и подключения к нему.
smtp/imap группы и сервисы созданы командой в консоли.

что я пропустил/упустил

Проверьте конфигурацию и порядок действий по Руководству администратора
начнем... может я туплю..
пункт 6.6.3 часть 1.
hostname выдает ns1
nslookup ns1 выдает ns1.object.ru
hosts приведен как надо
ip длинное имя короткое имя

у меня аппаратный stratum 1 часовой сервер... все берут с него время.

конфиги сервера ald не помню. скопирую, скину, но там все кажись стандартное, кроме пути SERVER_EXPORT_DIR - это отдельный рейд массив дисков в системе. и NETWORK_FS_TYPE = cifs вместо none.
у клиентов все тоже самое, только server =0 и description=свое_название и нет параметра SERVER_EXPORT_DIR, у них просто /ald_home



и вспомнил еще.
у пользователя klist выдает imap\smtp только на сервере, на других не выдает(кроме ЭВМ, где fs_type=none)
 
Последнее редактирование:

oko

New member
Сообщения
428
to azm9s
А файловая система пользовательских каталогов при FS_TYPE=cifs доступна, отрабатывает? Просто по приведенной логике не должна. Тогда суть проблемы в отказе доступности сервера ALD или структуры ALD как таковой...
В логах что-нибудь любопытное имеется?
 

azm9s

New member
Сообщения
158
to oko
доступна, я аж даже не нарадовался :) 4Тб под юзверей массив... скорость правда пришлось подшаманить, протокол 3 указывать явно в конфигах самбы. теперь скорость распаковки 4х гигов архива в домашней папке юзера заняла 12 минут. до этого параметра около часа.
первоначальная загрузка идет долго, до 40 секунд, долго открывается лиса - затем никаких глюков нет.
особенно радует что теперь люди могут сидеть откуда угодно из рабочих мест :)

в логах довекота:
в debug логе пусто - только время попытки авторизации:
это на юзера доменного с cifs:
imap-login info: Disconnected (no auth attempts in 0 sec): user=<>, rip=удаленный_ip, lip=ip_сервера, session=блаблабла
это на юзера доменного с cifs на самом сервере:
imap-login info: Login: user=<user>, method=GSSAPI, rip=удаленный_ip, lip=ip_сервера, mpid=7586348, secured, session=блаблабла
imap(user) /ald_home/user is no longer mounted. if this is intentional, remove it with doveadm mount
это на юзера доменного с none на его ЭВМ:
imap-login info: Login: user=<user>, method=GSSAPI, rip=удаленный_ip, lip=ip_сервера, mpid=7586348, secured, session=блаблабла
строки про mount нету.

p.s.
у пользователя klist выдает imap\smtp только на сервере, на других не выдает(кроме ЭВМ, где fs_type=none)
имеется в виду, что остальные принципалы krbt, ldap, cifs имеются, а imap\smtp пусто... они только на серваке появляются у юзера, причем под тем же самым, который заходил с другой ЭВМ в свою учетку :(
 

oko

New member
Сообщения
428
to azm9s
Судя по <imap-login info: Disconnected (no auth attempts in 0 sec): user=<>, rip=удаленный_ip, lip=ip_сервера, session=блаблабла > клиент не получает kerberos-тикет, в котором расписаны параметры пользователя (в частности, имя)...
Вот это: <imap(user) /ald_home/user is no longer mounted. if this is intentional, remove it with doveadm mount > как бы намекает, что сервер не подмонтировал /home/user пространство, что, в свою очередь, мешает dovecot читать/писать в него. Что, собственно, приводит к отлупу по kerberos-тикету и проблемам на стороне клиента...
Возможно, проблема с samba и cifs? Проверьте конфигурации. С другой стороны, если при таких ошибках почты ваш юзер все равно пишет в собственный каталог, создаваемый на сервере, откровенно теряюсь в догадках...
Кстати, дискреционные или мандатные права на /home/user не менялись вручную после ввода машины в ALD?
И еще одно: вы dovecot нацеливаете на почтовые каталоги в /home/user или на общий в /var/mail (например)? Такое ощущение, что почтовый каталог создается для каждого юзера раздельно на стороне сервера в его (юзера) каталоге. Попробуйте переназначить в общий и посмотреть результат...
 

azm9s

New member
Сообщения
158
to oko

конфигурации стандартные.
по этому:
клиент не получает kerberos-тикет, в котором расписаны параметры пользователя (в частности, имя)...
а вручную можно создать этот тикет и проверить?
у меня тоже думается что проблема в этом...

dovecot настроен по дефолту, касательно этих каталогов

еще одно: вы dovecot нацеливаете на почтовые каталоги в /home/user или на общий в /var/mail (например)? Такое ощущение, что почтовый каталог создается для каждого юзера раздельно на стороне сервера в его (юзера) каталоге. Попробуйте переназначить в общий и посмотреть результат

хм, теория кстати хорошая, надо попробовать допустить всех юзверей до почтового сервера, тогда странно как то работает алд. утром протестирую, сообщю
 

azm9s

New member
Сообщения
158
дал доступ всех юзверей на почтовый сервер, как в случае pam авторизации - тоже не пошло...
осталось проверить, вручную как то этот тикет создать и посмотреть на что ругается...


1. дал доступ всем на почтовик
2. зашёл на почтовый сервер под всеми юзерами, все создалось, почта ходит и приходит и уходит.
3. тикет в есть у всех. imap/smtp
4. на других машинах шишь. но при открытии показывает всё письма))
в логах довекот пишет что /var/mail/user каталоги создаются и используются.
и такая же ругань на /ald_home/user у всех. которая is no longer mounted. if this is intentional, remove it with doveadm mount
на большее не хватило пока что...
 
Последнее редактирование:

oko

New member
Сообщения
428
to azm9s
Странно все у вас...
Если при новой схеме работы все письма на стороне клиента "видны", значит dovecot (который оперирует POP3 и IMAP протоколами) корректно отрабатывает...
А в /var/log/ald нет ничего интересного?
Кстати, что указано в конфиг-файле ALD - /etc/ald/ald.conf?