Смоленск 1.5 Настройка почтового сервера на Astra Linux 1.5 special edition

azm9s

New member
Сообщения
213
не, какой там территориально разделенный)
кто мне даст то так развернуться))

не, я больше смотрю на реальное существование на объектах, где сервера с Нго года обслуживались пару раз всего....
и часто есть такие где сервак можно просто взять и уйти в ребут, причем не про программной части)

99% объектов:
2 сервака, один другого стоят... оба на ладан дышут, перезапускаются от чиха мартовского кота в соседнем переулке, видел даже порты ethernet выгоревшие :)
замены ждать еще лет 50...

в таком случае из обоих серваков поднять один кластер, уж если кластер ляжет - то ляжет просто ВСЁ, а не так: тут что-то робит, а что-то нет :)
такую ситуацию я уже обкатал и вроде даже что-то живое и работоспособное получилось.


неее, с cifs это один единственный такой object, надеюсь таких больше не будет(хотя как оказалось проблема в DNS)
 

WindWatcher

New member
Сообщения
45
... прошу принять извинения за свои 5 копеек.
Честно говоря, с некоторым облегчением увидел строчки про "тонкое место" в виде ALD-сервера.
Ещё в мае 18-го, когда только начиналось наполнение этого ресурса участвовал в высказывании мысли о том, что подавляющему большинству коллег эти грабли в виде домена совершенно не нужны. За истекшее время уже были несколько раз "сработавшие" мины в виде этих "внедрённых" решений. И тут ваши обсуждения "за жизнь" в атмосфере ALD. Наши "наставники" до сих пор не научились ставить системы по -минимуму наверняка, ставить без деградации того, что было поставлено во времена "табуреткина"....
Жаль (несколько) что столько времени прошло, но "радует", что осознание пришло не к тем, кто принимает решение.
Ну да никто не отменял ни платья голого короля, ни того, что история учит только тому, что ничему не учит.
 

azm9s

New member
Сообщения
213
энти грабли нужны тока службе на три буквы, в начале З... пароли менять, права раздавать, админить можно все с одной машины из каропки :)
связистам и рядовым пользователям ПОФИГ откуда учетка, где хранится пароль и документы юзера, главное чтобы он мог с ними работать))

сам "программный" ald сервер готов работать хоть годами - тока правильно настрой.
вся проблема в старом и не обслуженном железе, которое устаревает все сильнее и сильнее, а новое не поставляют.

тот же доступ от вннис мог делать это, правда работал с пятое на десятое при определенных фазах планет и влияниях всех спутников солнечной системы...

p.s. такой случай касательно времени жизни тикетов...
машина работает 24\7, ald-renew-tikets on, почему все равно через 7 суток надо перезаходить на ЭВМ? на что тогда влияет ald-renew-tikets?
и как тогда автоматизировать обновление принципалов и тикетов?
ald-renew-tikets был поставлен в on под логином root. (sudo ald-renew-tikets on)

p.p.s. пост считать офтопиком :)
 

WindWatcher

New member
Сообщения
45
:) "в правильно поставленном вопросе уже половина ответа"
Это надо не "трём_буквам" на "З" Это надо даже не трём буквам на "Ф", хотя они здесь хорошо "покувыркалисть". Зхх было достаточно продукта от НПО Марс. Да и то что пришло совсем не замена тому, что было. Даже с учётом хрени с тикетами.
Для меня вопрос не в том, что АЛД "работает...", а в том, что потребуется, если он ляжет. Это называется "мина замедленного действия". Они уже несколько раз сработали. Так что...
Начальники мечтают, что в нашей системе никогда не будет ситуации как с коронавирусом, хотя за то, чтобы не мечтать они и получают деньги...
 

oko

New member
Сообщения
626
*в сторону*
Вопрос не в том, что IPv4 работает, а в том, что делать, когда диапазон закончится...
Вопрос не в том, что АЭС работает, а в том, что делать, когда взорвется реактор...
Вопрос не в том, что атмосфера работает, а в том, что делать, когда мы окажемся на Марсе...
Вопрос не в том, что... Attention! Module-of-rhetorical has been crashed... Segmentation fault...
 

azm9s

New member
Сообщения
213
Вопрос не в том, что IPv4 работает, а в том, что делать, когда диапазон закончится...
это что надо такое сделать, чтобы в локальных сетях закончилось Ipv4? (про глобалнет сейчас не говорим)
по второму - тикать оттудова, да побыстрее ветра :)
по третьему - а мы там точно будем?
четвертый - смотреть какой прием был использован в логах перед падением :)
 

WindWatcher

New member
Сообщения
45
:) "История учит только тому, что она ничему не учит" (с)
(Включая, что очевидно, и ситуацию с корона-вирусом :)
 

azm9s

New member
Сообщения
213
а вы думали))))
с других стороны карантина(при котором государство берет на себя заботу, чтобы народ не помер от голода) нет. выживать то людям надо))
я сам сдал тест, правда пришлось сказать, что мол видел одного заражённого по телевизору и я с ним в одном автобусе ехал, просто так хрен кто тестирует, даже за деньги... вердикт - не болен. пока что... так как что будет 19.04 + 2 недели инкубации - представляется мрачные дни...
 

sire

New member
Сообщения
2
Всем привет!

Кто-нибудь настраивал почту с ALD и SSL? У меня что-то не получается.

Настроил в Astra Linux SE 1.6 электронную почту с аутентификацей GSSAPI в домене ALD согласно руководству администратора РУСБ.10015-01 95 01-1. При выключенном SSL сообщения приходят и уходят — всё хорошо. При включении в Thunderbird STARTTLS для сервера входящей почты подключение к серверу завершается с ошибкой, в журнале Dovecot фиксируется сообщение:
Код:
 Jun 01 15:42:31 imap-login: Fatal: FATAL_ERROR: failed to set MAC for fd_ssl (fd_ssl = 8 pid=17693, fd_ssl_lev=0 Operation not permitted)
Все действия производятся в нулевом мандатном контексте.

Настройки SSL в /etc/dovecot/conf.d/10-ssl.conf:
Код:
ssl = yes
ssl_cert = </etc/dovecot/private/dovecot.pem
ssl_key = </etc/dovecot/private/dovecot.key
Файлы сертификата и ключа существуют.
 
Последнее редактирование:

ingener

New member
Сообщения
165
смысла в SSL нет. все что уходит за пределы контролируемой зоны должно защищаться сетрифицированными средствами. SSL к таким не относится.
 

sire

New member
Сообщения
2
Кроме mil.zs есть и другие организации, где применение SSL востребовано ;)
 

Iskatel

New member
Сообщения
1
Здравствуйте. Пытаюсь поднять почту по https://forum.astralinux.ru/threads/84/page-22#post-11492 руководству выше с 22й страницы и рук. админа, перепробовал как мог и вынужден задать вопросы. AL SE 1.6 без ald на виртуалке, делаю минималку с PAM (и в случае непонимания ставлю иногда shadow).
Итак:
1) В методике выше не сказано про auth-system.conf.ext в 10-auth.conf, а без него идёт ошибка "auth: FATAL: No passdb specified in configuration file. PLAIN mechanism needs one.". Если раскомментировать !include auth-system.conf.ext, а в самом этом файле passdb { driver pam } и userdb { driver = passwd }, вход происходит.
Но про это не было описано. В минималке должно работать без определения userdb passdb?

2) Почта по стандартному /var/mail/ - директории создаются с именем пользователя, uid/gid пользователя, права 700 со stick-битом. Кое как подключился через Thunderbird по руководству, в логе /var/log/dovecot/main.log спамит вот такое:
2020-09-21 15:26:05imap(username): Info: /usr/sbin/astrase-fix-maildir /var/mail/username
2020-09-21 15:26:05imap: Error: parsec_suid() failed: Operation not permitted

а в /var/log/dovecot/debug.log появляется 15 строк, последняя намекает как-то словами "maildir++" на такое же действие:
2020-09-21 16:31:17imap(username): Debug: Effective uid=1000, gid=1000, home = /home/username
2020-09-21 16:31:17imap(username): Debug: maildir++: root=/var/mail/username, index=, indexpvt=, control=, inbox = /var/mail/username, alt=

Команда astrase-fix-maildir делает все директории и файлы 3:0:2:0:CCNRA и 0:0:0:0:ehole в папке с почтой, но не могу найти где именно ей самой прав на выполнение не хватает. В консоли от этого пользователя команда проходит. После её выполнения через консоль ничего не меняется. Что делать для устранения ошибки? Почему она происходит? Про parsec_suid() вообще ничего не нашёл, видимо это вписано в давкот астровый.

3) при auth_username_format = %Lu есть ошибка:
......при driver = pam ->
2020-09-21 15:59:24auth-worker(86245): Info: pam(user@astra16, 127.0.0.1, <buYZa9Kvdut/AAAB>): pam_authenticate() failed: Auth failure (password mismatch?).
......при driver = shadow ->
2020-09-21 15:59:24auth-worker(86245): Info: shadow(user@astra16, 127.0.0.1, <buYZa9Kvdut/AAAB>): unknown user (given password: 12345678)
......в обоих случаях после:
2020-09-21 16:01:06imap-login: Info: Disconnected (auth failed, 2 attempts....) user: user@astra16, method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, session=...

Поэтому использую auth_username_format = %Ln - так хотя бы логинится. Где-то надо поменять, чтобы %Lu съедало?

Настройки
2.2.27 /etc/dovecot/dovecot.conf
auth_debug = yes
auth_debug_passwords = yes
auth_default_realm = astra16
auth_realms= astra16 astra16.hom localhost
auth_username_format = %Ln
auth_verbose = yes
auth_verbose_passwords = plain
debug_log_path: /var/log/dovecot/debug.log
disable_plaintext_auth = no
listen = *
log_path = /var/log/dovecot/main.log
log_timestamp = %Y-%m-%d %H:%M:%S
mail_debug = yes
mail_location = /var/main/%u
passdb {
driver = pam
}
plugin {
mail_log_events = delete undelete expunge copy mailbox_delete mailbox_rename
}
protocols = imap
service auth {
unix_listener auth-client {
mode = 0600
user = Debian-exim
}
service imap-login {
inet-listener imap {
port = 143
}
}
ssl = no
userdb = {
driver = passwd
}
verbose_ssl = yes
}

Благодарю всех заранее! Это моё первое задание на Астре, я погряз уже надолго. Надо как-то поднять почту.
 

oko

New member
Сообщения
626
to Iskatel
Много времени прошло с того мануала, виртуалок уже не осталось с результатами...
Собственно, там не пошаговка по настройке описана была, а основные моменты, не указанные в Руководстве администратора (часть 1, "защищенный комплекс программ электронной почты"). Посмотрите его внимательно, выполните все шаги совместно с моими записями. Должно заработать...
Кстати, конфигурацию dovecot лучше разбить на несколько файлов, как у меня указано. И для realm лучше использовать fqdn-имя домена, а не сокращенное и не localhost...
 

oko

New member
Сообщения
626
to Iskatel
Проверил у себя навскидку: Руководство администратора + мои записи по принципу "если опция указана и отсутствует в файлах по умолчанию - дописать; если присутствует - раскомментировать"...
Заработало все, но с правкой auth_username_format = %Ln вместо auth_username_format = %Lu. Судя по мануалу, эта опция отбрасывает "@имя_домена" при аутентификации. Подозреваю, что в этот раз (равно как и у вас) вся загвоздка в отсутствии настроенного DNS-сервера для резолва домена (у меня в примере - astra.lan). Читай, при настройке всех резолвов через правку /etc/hosts. Помнится, DNS-сервер всегда настраивал априори (NS-записи, MX-записи, все вот это, ага)...
И еще, там в конфигах мелкая ошибка: auth_default_realm, а не auth_default_realms...
 

Snaps

New member
Сообщения
1
Если у кого-то есть трудности с настройкой можете писать в лс, чем смогу помогу. Касается причастных к зс