Смоленск 1.5 Настройка почтового сервера на Astra Linux 1.5 special edition

azm9s

New member
Сообщения
277
Если при новой схеме работы все письма на стороне клиента "видны", значит dovecot (который оперирует POP3 и IMAP протоколами) корректно отрабатывает...
имеете в виду, что письма складываются в папку юзера??
когда я с сервера почтового под любым юзером создаю\отправляю письма - то потом, с любой ЭВМ эти письма(входящие\оправленные) все видны в почтовом клиенте. но при попытке нажать на кнопку "получить" или отправить письмо - прилетает ошибка билета realm.
разве за это не почтовый клиент отвечает? он же их, письма, выкачивает, и в директорию .thunderbird складывает - вот они и отображаются потом везде.

А в /var/log/ald нет ничего интересного?
завтра гляну, и на сервере и на клиенте. и на почтовом сервере.

Кстати, что указано в конфиг-файле ALD - /etc/ald/ald.conf?
не скажу, на память не вспомню, тоже завтра гляну.
примерные настройки такие:

Код:
VERSION=1.7
DOMAIN=.example.ru
SERVER=my-server.example.ru
MINIMUM_UID=2500
TICKET_MAX_LIFE=10h
TICKET_MAX_RENEWABLE_LIFE=7d
NETWORK_FS_TYPE=cifs
SERVER_EXPORT_DIR=/ald_export_home # отдельный raid массив дисков
CLIENT_MOUNT_DIR=/ald_home
SERVER_FS_KRB_MODES=krb5,krb5i
CLIENT_FS_KRB_MODE=krb5i
SERVER_ON=1
CLIENT_ON=1
USE_RPC=0
остальное допишу завтра.
 

oko

New member
Сообщения
1 254
to azm9s
Очень странно, что письма "видны". При ошибках Kerberos thunderbird при попытке подключения к dovecot должен получать отлуп сразу и, соответственно, не загружать и не отображать никаких изменений (писем). Оно у вас так и получается, но только при нажатии "Получить", как я понимаю...
По конфигу ald (понимаю, что скопировали с wiki, но все же) попробуйте заменить krb5i в CLIENT_FS_KRB_MODE на krb5. Аналогично только krb5 на сервере. Заодно проверьте права доступа на каталог /ald_export_home на сервере (должен быть доступ для пользователя samba и иных сервисов, включая dovecot)...
Виртуалка с ALD-сервером, увы, канула в лету, поэтому точные параметры подсказать не смогу...
 

azm9s

New member
Сообщения
277
Заодно проверьте права доступа на каталог /ald_export_home на сервере (должен быть доступ для пользователя samba и иных сервисов, включая dovecot)...
хм...
довекот работает вроде от своего имени, а самба на сколько, помню от юзера, который использует шару.
или тут не так?
 

oko

New member
Сообщения
1 254
to azm9s
Либо для системного юзера samba, либо для ALD-пользователей, суть не важно...
Просто все больше склоняюсь к мысли, что где-то косячат права доступа. Давайте поглядим ald-конфиг реальный + проверим права на cifs-шары. А дальше по ситуации...
 

azm9s

New member
Сообщения
277
Давайте поглядим ald-конфиг реальный
ald конфиг текущий:
Код:
VERSION=1.7
DOMAIN=.example.ru
SERVER=my-server.example.ru
SERVER_ID=1
MINIMUM_UID=2500
DEFAULT_LOGIN_SHELL=/bin/bash
DEFAULT_LOCAL_GROUPS=users,auth,video,scanner
ALLOWED_LOCAL_GROUPS=users,auth,video,scanner,astra-admin,astra-console,cdrom,cdwriter
TICKET_MAX_LIFE=10h
TICKET_MAX_RENEWABLE_LIFE=7d
NETWORK_FS_TYPE=cifs
SERVER_EXPORT_DIR=/ald_export_home # отдельный raid массив дисков
CLIENT_MOUNT_DIR=/ald_home
SERVER_FS_KRB_MODES=krb5i,krb5
CLIENT_FS_KRB_MODE=krb5i
SERVER_POLLING_PERIOD=600
SERVER_PROPAGATE_PERIOD=600
CACHE_REFRESH_PERIOD=600
CACHE_ACCESS_USERS=www-data,postgres
UTF8_GECOS=1
SERVER_ON=1
CLIENT_ON=1
USE_RPC=0
пытаться менять конфиг на krb5 и смотреть логи и права буду только после 19 часов по москве...раньше тут не напишу ничего.
и такой момент:
параметры:
SERVER_FS_KRB_MODES=krb5i,krb5
CLIENT_FS_KRB_MODE=krb5i
есть везде. на сервере и на клиентах... по вики сказано что параметр SERVER_FS_KRB_MODES только на сервере, если он будет просто записан, просто не учтется?
или удалять надо?
 

oko

New member
Сообщения
1 254
to azm9s
Не думаю, что следует удалять. Должно пройти и так...
Кстати, а какая файловая система в /ald_export_home?
И /ald_home на том же RAID-массиве или на другом?
Что говорит sudo df -h?
 

azm9s

New member
Сообщения
277
Не думаю, что следует удалять. Должно пройти и так...
Кстати, а какая файловая система в /ald_export_home?
И /ald_home на том же RAID-массиве или на другом?
Что говорит sudo df -h?
1. фс стандартная, вроде ext4

2. /ald_home просто директория в / отдельно не монтировалась. тем более она пустая, а когда заходишь под доменным пользователем в нее монтируется каталог юзера с сервера.

3. df -h по памяти:
с сервера алд:
/ 200 гиг всего занято 14.
/opt 140 гиг занято 52.
/usr 200 гиг занято 25
/var 700 гиг занято 15
/ald_export_home 4ТБ занято около 75 гигов. со всех юзверей.
/mnt 50 гиг занято 31
/home 15 гиг занято около 500 метров, один локальный пользователь.
файл подкачки 64 гига, по размеру памяти.

с ЭВМ без входа доменного юзера:
/ 180 гиг всего занято 14.
/opt 140 гиг занято 52.
/usr 80 гиг занято 25
/var 500 гиг занято 15
/mnt 50 гиг занято 31
/home 50 гиг, занято около 100 мегабайт, один локальный юзер.
файл подскачки 16 гиг, 8 гиг оперативы *2

с ЭВМ со входом доменного юзера:
/ 180 гиг всего занято 14.
/opt 140 гиг занято 52.
/usr 80 гиг занято 25
/var 500 гиг занято 15
/mnt 50 гиг занято 31
/home 50 гиг, занято около 100 мегабайт, один локальный юзер.
файл подскачки 16 гиг, 8 гиг оперативы *2
/ald_home/user 4ТБ занято около 75 гигов. отображает со всех юзверей, а не конкретного.
если зайти на эту же машину еще под другим пользователем в удаленной сессии, то еще один пункт:
/ald_home/user2 4ТБ занято около 75 гигов. отображает со всех юзверей, а не конкретного.

upd.
думал что писал вчера, оказалось что нет...
может быть из-за днс зоны?
сам сервер обозван в hostname и hosts как ns1

а в named зоны:
в порядке снизу вверх:
ns1
mail
jabber
обозваны самостоятельно, без CNAME.

правда тогда бы ругалось и на самом сервере, уже проходил такое... ругань была везде и на серверах и на ЭВМ. а тут только на ЭВМ...
проверку почтового клиента проводил на все эти имена. работает со всеми именами, но так же, только на самом почтовом сервере.

upd.v2
сразу пишу: UFW на текущий момент выключен.
 
Последнее редактирование:

azm9s

New member
Сообщения
277
перевел параметр
SERVER_FS_KRB_MODES=krb5i,krb5
CLIENT_FS_KRB_MODE=krb5i
на krb5
итог:
отвал почты теперь и у пользователя у которого стоит параметр FS_TYPE=none.

начну по новой:
1. сервера названы ns1-ns3, lns1-lns2
2. ЭВМ названы armu01-armu45
доменная служба bind9:
эвм названы просто armu01-armu45, ptr запись тоже одна на одну эвм.
прямая зона
armu01 in a ip
обратная
ip ptr armu01.
с серверами же не все так просто:
1 сервер(алд сервер собственно):
hostname:
LNS1
hosts
ip LNS1.object.ru LNS1
днс:
прямая зона:
lns1 in a ip
ald in a ip
ns4 in a ip
обратная зона
ip ptr lns1.
ip ptr ald.
ip ptr ns4.

2 сервер:
hostname:
LNS2
hosts
ip LNS2.object.ru LNS2
днс:
прямая зона:
lns2 in a ip
sb in a ip
ns5 in a ip
обратная зона
ip ptr lns2.
ip ptr sb.
ip ptr ns5.

3 сервер(почтовый сервер, клиент алд):
hostname:
ns1
hosts
ip NS1.object.ru NS1
днс:
прямая зона:
ns1 in a ip
mail in a ip
jabber in a ip
обратная зона
ip ptr ns1.
ip ptr mail.
ip ptr jabber.

4 сервер:
hostname:
NS2
hosts
ip NS2.object.ru NS2
днс:
прямая зона:
ns2 in a ip
monitor in a ip
обратная зона
ip ptr ns2.
ip ptr monitor.

5 сервер:
hostname:
NS3
hosts
ip NS3.object.ru LNS3
днс:
прямая зона:
ns3 in a ip
обратная зона
ip ptr ns3.
время одинаковое везде, часовой пояс везде один. на 5 серверов вещает стратум 1 апаратный сервер, пэвм берут время с них.
на всех серверах поднят bind9(на ns1 основной, на остальных slave сервера), запись в privsock.conf в parsec есть везде.

конфиг алд клиента\сервера выложил выше...
завтра сделаю ald-init destroy и попробую по новой создать...

А в /var/log/ald нет ничего интересного?
смотрел на всех трех машинах: алд сервер, почовый сервер и эвм.
на алд:
указаны подцепленые машины после их перезагрузки
укаазана успешная авторизация юзера с машины
указано успешное монтирование домашней папки на ЭВМ откуда заходил юзер.
на почтовом:
успешная авторизация на алд сервере как клиента.
на эвм:
успешная авторизация на алд сервере как клиента.
больше ничего
p.s. и это притом, что уже только за неделю победил 5 объектов, а с этим так и не смог ничего сделать :(
 
Последнее редактирование:

azm9s

New member
Сообщения
277
такое ощущение дело не в алд совсем.

сделал ald-init destroy.
создал новый сервер с обоими SERVER_FS_KRB_MODES=krb5i,krb5, почтовый сервер не создавал.
подрубил 5 клиентов с CLIENT_FS_KRB_MODE=krb5. итог: не монтируется сетевая шара. ругается на ошибку авторизации aldd с строкой:"не удалось примонтировать /ald_home/user/mac неудачная авторизация".
при этом пароль проходит и запрашивает уровень.
подрубил 5 клиентов с CLIENT_FS_KRB_MODE=krb5i. итог: монтируется сетевая шара, личные данные все сервера идут.

завтра все машины переподключу, займусь почтовым сервером...

[offtop]
бляха муха, может это объект такой? я уже кластеры научился поднимать из серверов с этим ald на других объектах, а тут ипусь с почтой уже почти две недели и толку ноль целых ноль десятых... правда без cifs оно все таки работало раньше, пока не грохнул сервак ald
[/offtop]
 

oko

New member
Сообщения
1 254
to azm9s
Модуль экстрасенсорики подсказывает, что если пропишете "SERVER_FS_KRB_MODES=krb5,krb5i", т.е. krb5 до krb5i - заработают клиенты с krb5. Т.е. у вас сервер требует не только kerberos-аутентификацию, но и подпись каждого пакета по ГОСТ. А клиент с krb5 отправляет без подписи. Поэтому и появляется ошибка...
Кстати, зачем вы bind9 на каждом сервере-то поднимаете? Сервер с bind9 в сети нужен один (максимум, второй для резерва). Либо тогда все серверы, связанные между собой репликацией DNS-зон средствами самого bind9 (ни в коем случае не иными способами репликации). В этом тоже может быть проблема вашей конфигурации...
127.0.0.1 localhost
192.168.1.10 arm1 arm1.domain.lan
192.168.1.1 srvald srvald.domain.lan
т.е. краткое и полное имена АРМ или сервера, не являющегося контроллером ALD, с указанием его "рабочего" IP-адреса в ALD-сети. И такой же IP-адрес сервера, являющегося контроллером ALD. А остальное уже средствами bind9 разруливать на сервере DNS...
И, если не сложно, сбросьте сюда конфиг DNS-сервера (лучше боевой, чтобы точно понимать синтаксис)...

ЗЫ А объекты, да, бывают любопытные. Помнится, раз 20 поднимал антивирусную сеть на KSC10+KES10 с единым источником обновлений БДКВ, а на одном из объектов базы загружались без ошибок, но на управляемые устройства не доставлялись ни при каком раскладе. Лечилось все ожиданием двух дней в спокойном режиме (вне зависимости от запуска задач обновления). Чудеса...
 

azm9s

New member
Сообщения
277
Сервер с bind9 в сети нужен один (максимум, второй для резерва). Либо тогда все серверы, связанные между собой репликацией DNS-зон средствами самого bind9 (ни в коем случае не иными способами репликации). В этом тоже может быть проблема вашей конфигурации...
основой сервер один, где находятся файлы зон, которые редактируются(master), остальные 4 - это slave сервера, которые забирают зону с основного....
почему 5 серверов: в дальних дальних планах сделать этот объект сделать корневым за сегмент сети.

Модуль экстрасенсорики подсказывает, что если пропишете "SERVER_FS_KRB_MODES=krb5,krb5i"
то есть расположение параметра зависит еще... ну в принципе я такие видел программы, где конфиг был в строго заданном порядке.. тогда попробую завтра.
днс сервера и зоны
основной сервер:
Код:
zone "object.local" {
        type master;
        file "object.local";
        allow-transfer { 192.168.0.15; };
        allow-transfer { 192.168.0.16; };
        allow-transfer { 192.168.0.17; };
        allow-transfer { 192.168.0.18; };
        allow-update { none; };
}; 
zone "10.34.234.local" {
        type master;
        file "10.34.234.local";
        allow-transfer { 192.168.0.15; };
        allow-transfer { 192.168.0.16; };
        allow-transfer { 192.168.0.17; };
        allow-transfer { 192.168.0.18; };
        allow-update { none; };
};
сами зоны:
Код:
$TTL 86400

test.local.     IN      SOA     ns1.test.local. admin.test.local. (
        2017082401      ; Serial
        10800                 ; Refresh
        3600                   ; Retry
        604800               ; Expire
        604800               ; Negative Cache TTL
) 

@                IN      NS      ns1.test.local.
@                IN      NS      ns2.test.local.
@                IN      NS      ns3.test.local.
@                IN      NS      ns4.test.local.
@                IN      NS      ns5.test.local.

@                IN      MX 10   ns1.test.local.



ns4             IN      A       192.168.1.70
ald              IN      A       192.168.1.70
lns1            IN      A       192.168.1.70

lns2            IN      A       192.168.1.71
sb               IN      A       192.168.1.71
ns5             IN      A       192.168.1.71

ns1             IN      A       192.168.1.72
mail            IN      A       192.168.1.72
jabber        IN      A       192.168.1.72

ns2             IN      A       192.168.1.73
monitor     IN      A       192.168.1.73

ns3             IN      A       192.168.1.74
обратные:
Код:
$TTL 86400

test.local.     IN      SOA     ns1.test.local. admin.test.local. (
        2017082401      ; Serial
        10800           ; Refresh
        3600            ; Retry
        604800          ; Expire
        604800          ; Negative Cache TTL
)

@                IN      NS      ns1.test.local.
@                IN      NS      ns2.test.local.
@                IN      NS      ns3.test.local.
@                IN      NS      ns4.test.local.
@                IN      NS      ns5.test.local.

@                IN      MX 10   ns1.test.local.



70               PTR    ns4.
70               PTR    ald.
70               PTR    lns1.

71               PTR    lns2.
71               PTR    sb.
71               PTR    ns5.

72               PTR    ns1.
72               PTR    mail.
72               PTR    jabber.

73               PTR    ns2.
73               PTR    monitor.

74               PTR    ns3.
 

oko

New member
Сообщения
1 254
to azm9s
В вашей ситуации, вероятно, не поможет с проблемой, но все же: используйте А-запись только для nsX (ns1, ns2, ns3...), а для остальных имен делайте CNAME nsX (например, ald IN CNAME ns4.test.local.). Так оно правильнее и по RFC, и с позиции bind9, который крайне привередлив...
Если бы MX запись вела на другой сервер (не ns1, а, например, на mx1), то для нее тоже необходимо было бы делать А-запись, иначе bind9 "потерял" бы почтовый сервер. Впрочем, такая бага наблюдается в дефолтных версиях bind9 вплоть до Debian 9. Что там с Astra (по логике вещей - то же самое, но все же) - не проверял...
В /etc/hosts каждого клиента от греха подальше пропишите 192.168.1.70 ald ald.test.local Можно сюда добавить и мыло-сервер, если вновь начнутся косяки. Тогда точно будем уверены, что дело не в DNS...
И, кстати, проблематика root-домена .local, пришедшего к нам из древних руководств Microsoft, уже обсуждалась (и тут на форуме, и вообще). Лучше использовать .lan
Дополнительно по /etc/bind/named.conf.local на основном DNS-сервере:
  • в allow-transfer можно перечислять в {} через ;
  • включите уведомления для подчиненных серверов через notify YES
  • включите передачу уведомлений на подчиненные серверы через also-notify {перечень-ip-адресов-подчиненных-через-;}
  • путь к файлу зоны лучше указывать абсолютный (/etc/bind/object.local, например)
  • все это и для прямой, и для обратной зон
Большое количество DNS-slave серверов тоже плохо. Где-то трансфер не прошел, а клиент обратился - и привет...

ЗЫ Кстати, пришла шальная мысль. ald-сервер у вас не на master-сервере DNS? Если так, то при регистрации нового клиента должны быть проблемы с обновлением информации в DNS-зонах (вернее, можно запутаться при ручном редактировании)...
 
Последнее редактирование:

azm9s

New member
Сообщения
277
ЗЫ Кстати, пришла шальная мысль. ald-сервер у вас не на master-сервере DNS? Если так, то при регистрации нового клиента должны быть проблемы с обновлением информации в DNS-зонах (вернее, можно запутаться при ручном редактировании)...
нет. на ald прописан основной сервер днс.
в hosts прописать еще и mail сервер... в принципе можно. тока что писать? hostname или mail?
Большое количество DNS-slave серверов тоже плохо. Где-то трансфер не прошел, а клиент обратился - и привет...
в этом плане все проверено. все доходит, все получается. проверял многократно. да и зоны локальные править не надо уже, все списки мне дали как должно быть и ни на шаг влево\вправо.

значит по крайней мере исключили одно звено - днс сервер :)
уф...

завтра попробую порядок krb5,krb5i
кстати... а почему параметр клиента не работает с двойным таким же вводом... у сервера есть, у клиента нет - обидна)
 

azm9s

New member
Сообщения
277
прописка всех хостов в hosts ни к чему не привела.
в днс зонах убрал все лишнее, сейчас там только одни hostname.domain, нет никаких записей ns\mail\jabber\ect нет.(с заменой серийного номера :) )
привел настройку днс в рекомендуемый вид. все сервера работают, отвечают нормально.

все так же остается, сетевые шары монтируются, файлы работают, настроил и работает apache2 по керберос авторизации, а почта все также не ходит. на почтовом сервере все так же, от любого юзера все ходит и внутри и на внешку, а вот с любой другой ЭВМ - нифига...

установил порядок krb5,krb5i - но проверить забыл, другие дела появились....
p.s. параметр в 10-auth.conf у dovecot auth_gssapi_hostname = чему должен быть равен? ald или imap\smtp серверу? а то мало ли... не то вписал... хотя у меня "$ALL"
 

oko

New member
Сообщения
1 254
to azm9s
В 10-auth.conf должен быть равен fqdn-имени почтового сервера, для которого ранее заводились принципалы kerberos, либо, как в вашем случае, "$ALL". Но рекомендую попробовать без ALL для очистки совести...
Кстати, вы ВНАЧАЛЕ вводили рабочие станции и серверы в ALD, а ЗАТЕМ генерировали принципалы для почтовика? Или наоборот? Помнится, в случае "наоборот" у меня возникали проблемы, пусть и не похожие на ваше описание...
И да, параметры аутентификации Exim4 на почтовом сервере проверьте по Руководству администратора...

ЗЫ Интересная мысль пришла. От чьего имени dovecot пишет в шаренные каталоги (которые на ald-сервере в /home/ald...)? Т.е. какая тут схема работы: клиент через thunderbird дает запрос imap/smtp + kerberos-билет -> почтарь проверяет kerberos-билет и форму запроса, и если все верно -> передача/прием писем по imap/smtp от/к клиенту -> клиент через службы ald + cifs дает запрос на запись в шару, содержащую его домашний каталог, на сервер ald -> сервер ald проверяет kerberos-билет и форму запроса и дает возможность монтирования шары? Просто, судя по вашей ошибке, схема может быть слегка другой (dovecot пытается писать в пользовательскую шару на сервере ald, что не выходит и фиксируется, соответственно, ошибка монтирования в doveadm)...
 

oko

New member
Сообщения
1 254
*вдогонку*
А ведь так и должно быть, раз IMAP, а не POP3. Почта-то хранится на сервере, пусть и в пользовательском каталоге, только отнюдь не в .thunderbird. Туда попадает метаинформация о имеющихся письмах, которую у вас Thunderbird и отображает. Но тело письма увидеть нельзя, пока не пройдет kerberos-аутентификация и IMAP от dovecot не отработает полностью. И, принимая во внимание ошибку "doveadm mount...", получаем, что dovecot попросту не хватает прав на монтирование удаленного каталога ald-сервера и создания в нем пользовательских каталогов хранения почты. Это может быть связано с:
  • ошибками kerberos-аутентификации между почтовым сервером и сервером ald (отметаем, раз почта у вас с самого почтаря ходит без проблем);
  • ошибками монтирования cifs-шар от лица почтового сервера на сервере ald (вот тут интересно - cifs-utils на почтовом сервере установлены?);
  • ошибками дискреционных прав доступа от лица почтового сервера к пользовательским каталогам на сервере ald (аналогично, можно проверить, смонтировав удаленный каталог ald-сервера с почтаря вручную из-под учетной записи dovecot).
 

azm9s

New member
Сообщения
277
В 10-auth.conf должен быть равен fqdn-имени почтового сервера, для которого ранее заводились принципалы kerberos, либо, как в вашем случае, "$ALL". Но рекомендую попробовать без ALL для очистки совести...
Да, так и есть, указывал полное имя почтового сервера. Но под подозрением уже собственные записи, сделанные ранее...

ВНАЧАЛЕ вводили рабочие станции и серверы в ALD, а ЗАТЕМ генерировали принципалы для почтовика? Или наоборот? Помнится, в случае "наоборот" у меня возникали проблемы, пусть и не похожие на ваше описание...
И да, параметры аутентификации Exim4 на почтовом сервере проверьте по Руководству администратора...
то что сделал:
1. уничтожил сервер ald - ОК
2. создал ald с cifs - ОК
2. ввел 5 станций с krb5i - ОК
3. ввел 5 станций с krb5 - ОК
остальные станции пока вводить не стал, разберусь что не так, потом так же ald destroy\init
4. проверил заход юзеров в свои учетки, создание\удаление\перемещение файлов из категории в категорию. - ОК
5. создал почтовый сервер по руководству.
6. зашел под юзером на ЭВМ юзера на почту - облом, зашел на сервер под юзером - все ок. все ходит, все отправляет.
7. переделал DNS зоны, сейчас в записях только hostname.domain
8. проверил почту - облом, сделал ald-client updave-svc-keytab, проверил почту - облом, с сервера все ходит.
9. поднял apache2 сервер, настроил kerberos авторизацию - работает, зараза. значит проблема только где то в связке ald + dovecot\Exim4
10. после передела DNS снова пересоздал службы, удалив их предварительно, хотя один фиг там только hostname фигурирует, а не другое имя.
12. зашел под юзером на ЭВМ юзера на почту - облом, зашел на сервер под юзером - все ок. все ходит, все отправляет.
13. чего ему еще надо?
и Тех поддержка молчит.

  • ошибками kerberos-аутентификации между почтовым сервером и сервером ald (отметаем, раз почта у вас с самого почтаря ходит без проблем);
  • ошибками монтирования cifs-шар от лица почтового сервера на сервере ald (вот тут интересно - cifs-utils на почтовом сервере установлены?);
  • ошибками дискреционных прав доступа от лица почтового сервера к пользовательским каталогам на сервере ald (аналогично, можно проверить, смонтировав удаленный каталог ald-сервера с почтаря вручную из-под учетной записи dovecot).
1. ну хоть что-то работает :)
2. ставил все пакетом, но мало-ли, проверю завтра.
3. кого, куда монтировать? я с суток и еще весь день пахал - часть написанного недогнал))

p.s. завтра добавлю машину с FS none чтобы проверить, ходит ли почта с таких машин.
 

oko

New member
Сообщения
1 254
to azm9s
Забейте, поглядел еще раз ваши логи - с монтирование это уже лишняя мысль была...
Вы, когда принципалы создавали через ald-admin service-add для imap/ и smtp/, какое имя сервера использовали? То, что в DNS-зоне прописано или то, что в /hostname на самом почтовом сервере? И давали ли доступ dovecot на его keytab-файл через setfacl -m u:dovecot:x?
И какие конфигурации в файле /etc/dovecot/conf.d/10-ssl.conf?
 

azm9s

New member
Сообщения
277
Вы, когда принципалы создавали через ald-admin service-add для imap/ и smtp/, какое имя сервера использовали?
imap/hostname.domain
smtp/hostname.domain
И давали ли доступ dovecot на его keytab-файл через setfacl -m u:dovecot:x?
и через setfacl
и через chown
И какие конфигурации в файле /etc/dovecot/conf.d/10-ssl.conf?
ssl = no
 

Lu99eR

New member
Сообщения
2
Доброго времени суток! Подскажите пожалуйста, столкнулся с проблемой переполнения корневого раздела на сервере с AL SE 1.5, на котором развёрнута почта. Грешил на var/log, но там было менее 20 Гб. Потом обнаружил, что самый большой вес у каталога var/spool/exim4/input - >50 Гб и >500000 файлов.
Попробовал переименовать каталог, чтобы потом его удалить. Перезапустил сервер, создался новый каталог input, но почта с клиентских АРМ перестала уходить на сервер - при отправке выдаёт “unexpected error”.
Может, кто-то сталкивался с похожей проблемой? И можно ли как-то чистить каталог var/spool/exim4, конкретно подкаталог input?