CentOS 6.5 -LDAP PAM 整合驗證 Postfix + Dovecot

2014-12-14 CentOS, Postfix

最近在計畫將公司的 Mail Server 換掉並重新規劃,繼上一篇 Postfix SMTP + Dovecot 加密 SSL / TLS 之後,這篇的目的要將 Mail Server 帳號整合於 LDAP。

 

此次的範例用到的服務有 Postfix + Dovecot + OpenLDAP,之後還會增加 Webmail 進來,以及 LAB AD 的驗證。

由於小弟用的是 CentOS 6.5 版的設定或許跟一些網友不同,請自行斟酌

 

 

LDAP 整合的概念是利用 PAM 與 LDAP 溝通取得帳號後再與其他服務進行整合

 

設定 PAM 整合 LDAP 登入

step.1 首先你必須先安裝以下套件才能進行整合

pam
pam-devel
pam_ldap
nss-pam-ldapd

 

step.2 再來進行 LDAP 設定透通,可以使用 authconfig-tui 來輕鬆建立

✔ Use LDAP
✔ Use MD5 Passwords
✔ Use Shadow Passwords
✔ Use LDAP Authentication

2014-12-14_064010

 

 

step.3 輸入你的 LDAP Url & Base DN,並點選 OK

之後你會看到 service nslcd start [OK]

nslcd 即是 nss-pam-ldapd 的服務

2014-12-14_064835

 

如果你不想用 authconfig-tui 的方式進行設定,也可以手動編輯 pam_ldap.conf

 

step.4 確認 pam 的系統驗證有包含 ldap

 

 

 

step.5 編輯 nsswitch.conf,修改系統認證優先順序

passwd: ldap files
shadow: ldap files
group: files

※如果 LDAP 也有建立 group 也可加上 ldap

 

step.6 reboot 重開機並使用 LDAP 帳號登入測試。範例使用 eric 這個帳號進行登入

第一次登入因為沒有建立家目錄,所以會提示 No directory 並且起始為 / 根目錄

在這邊會看到我 LDAP 的家目錄為 /home/domain/eric 而不是 /home/eric,是為了方便管理,不將 domain 使用者與本機使用者混在一起使用。

※一般使用者建議權限都使用 /sbin/nologin,僅有測試或管理者才給予 bash login 權限。

 

 

step.6 幫使用者建立信箱及家目錄

由於習慣將 home 的目錄切比較大,所以將有成長空間的 /var/spool/mail ln 到 /home/mailspool

 

 

Postfix SMTP 整合 LDAP

檢查 Postfix 是否支援 LDAP 驗證

 

 

由於 Postfix 的驗證走的是 SASL,SASL 用的就是 PAM 所以 Postfix 不需要進行調整,但還是必須要測試一下。

OK Success 代表驗證 LDAP 沒問題。

 

 

Dovecot 整合 LDAP

要讓 Dovecot 支援 LDAP,其實在 2.0.9 之後已經很完善了,也有範例的設定檔

step.1 設定 dovecot 的驗證檔

auth-system.conf.ext 是驗證 pam 用

auth-ldap.conf.ext 是搜尋 ldap 帳號用

 

step.2 確認 auth-system.conf.ext 採用 pam 驗證無誤

 

step.3 確認 auth-ldap.conf.ext

可以看到這邊也 include 了 dovecot-ldap.conf

 

step.4 dovecot-ldap.conf 這隻設定檔必須自行建立,這是讓 dovecot 登入 LDAP 使用的

 

 

step.5 restart dovecot

使用 MUA 測試登入成功,搞定收工!!

 

One comment

  1. […] CentOS 6.5 -LDAP PAM 整合驗證 Postfix + Dovecot […]

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *

彙整

分類

open all | close all

License

訂閱 Mr. 沙先生 的文章

輸入你的 email 用於訂閱

%d 位部落客按了讚: