Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Kerio Connect (ex Kerio MailServer)

Автор: Tihon_one
Дата сообщения: 17.09.2013 12:26
ildar
косяк версии конекта, обновись до актуальной.
Автор: RomiX82
Дата сообщения: 17.09.2013 16:04
Народ, а как-то можно сделать, чтобы коннект сохранял где-нибудь на сервере все отправленные пользователями письма, не зависимо от почтового клиента, метода отправки и т.д?
Автор: coder666
Дата сообщения: 18.09.2013 00:54
а функция бэкапа Тебе на что?
Автор: RomiX82
Дата сообщения: 18.09.2013 09:34
Причем тут бекап...

Уже разобрался:
Если для подключения к серверу Вы используете протокол POP3, то письма отправленные на сервере сохраняться не будет.
Автор: coder666
Дата сообщения: 18.09.2013 09:55

Цитата:
Причем тут бекап...


Прояви смекалку...
Все письма могут сохраняться. А подключив каталог архив фолдерс их даже можно видеть
А дальше включи мозг и сделай сам

Добавлено:
у меня архивировались и поп3 и смтп и то что по мх
Автор: Tihon_one
Дата сообщения: 18.09.2013 10:26
RomiX82
тебе нужна функция архивирования.
Автор: coder666
Дата сообщения: 18.09.2013 12:04
прошу прощения, может не правильно выразился...
это действительно архивирование.
Автор: tgkonvent
Дата сообщения: 20.09.2013 11:25
Поднял Kerio Connect Virtual Appliance 8.1.3 на Hyper-V.
Портрировал все настройки с рабочего сервера версии 8.0.1 под Windows. Сервер взлетел нормально, как бегает почта пока не проверял, так как это пока тестовый сервер. С AD соединение прошло нормально, все учетные записи почтовик увидел, тест соединения с AD тоже проходит нормально. Но, блин при попытке зайти в почтовый ящик под учетной записью из AD почтовик выдает, что не верный пароль. В логах сервера висят вот такие записи:

Код: [20/Sep/2013 12:00:54] HTTP/WebMail: Authentication failed for user ***@******l.**. Attempt from IP address ***.***.***.***. External authentication service rejected authentication due to invalid password or authentication restriction.
Автор: voale
Дата сообщения: 21.09.2013 11:28

Цитата:
Поднял Kerio Connect Virtual Appliance 8.1.3 на Hyper-V.
Портрировал все настройки с рабочего сервера версии 8.0.1 под Windows.

расскажи плиз поподробнее..?
потому как есть только vmdk файл с с версией 8.1.3
и есть ли леченный вариант для windows или nix ?
Автор: compupu
Дата сообщения: 21.09.2013 14:50
voale http://forum.ru-board.com/topic.cgi?forum=8&topic=27990&start=3240#7
Автор: tgkonvent
Дата сообщения: 21.09.2013 17:16

Цитата:
расскажи плиз поподробнее..?
потому как есть только vmdk файл с с версией 8.1.3
и есть ли леченный вариант для windows или nix ?

vmdk образ леченный ДокторомРу, переконвертированный для работы под Hyper-V
Я думал может дело в настройках, которые я переташил с виндовой версии. Нефига! Запустил еще один виртуальный керио коннект сервер, настроил его побыстрому для работы с AD и в нем проявилась та же самая беда (((
Автор: voale
Дата сообщения: 22.09.2013 00:08

Цитата:
vmdk образ леченный ДокторомРу, переконвертированный для работы под Hyper-V

т.е этот образ можно использовать для hyper-v ?
Автор: tgkonvent
Дата сообщения: 23.09.2013 07:12

Цитата:
т.е этот образ можно использовать для hyper-v ?

После конвертации - ДА!
Автор: tgkonvent
Дата сообщения: 23.09.2013 13:32
Блин, неужели ни кто не может подсказать, как найти причину почему Линуксовый Керио не аутентифицирует пользователей через AD?
Сам то список пользователей из AD он показывает. А, вот при проверке логина пароля выдает ошибку. (
Такое ошушение, что у этого почтаря вообще криво идет аутентификация по LDAP.

Добавлено:
Вопрос выше снят.
Нашел ответ:

Цитата:
Q:Когда делаешь импорт юзеров из ActiveDirectory и соответственно используешь NT аутентификацию при логине пользователя на KMS, то KMS отвечает, что неправильный пароль для пользователя. Когда ставишь использовать для аутентификации внутренную базу сервера, то все OK.
A: В настройках домена, на вкладке Advanced, есть поле, где нужно указать имя домена, который будет использоваться для аутентификации и все OK.
A:Если KMS установлен на *nix системах, авторизация из AD работать не будет. Это фича, ответ получен с офф. форума Kerio.

разочаровал меня что-то Kerio ((((
Автор: ildar
Дата сообщения: 23.09.2013 14:06
Часть писем в общедоступных папках Kerio Connect стали показываться с неверной датой получения:
Дата - 2012 год, получено - 2013 год.
Переиндексация не помогла.
Как можно исправить даты получения?

Автор: Tihon_one
Дата сообщения: 23.09.2013 16:50
tgkonvent

Цитата:
A:Если KMS установлен на *nix системах, авторизация из AD работать не будет. Это фича, ответ получен с офф. форума Kerio.


что за галиматья?

документацию вообще читать не желаем? hxxp://manuals.kerio.com/connect/adminguide/en/sect-krblin.html

Добавлено:
туда же как добавка hxxp://manuals.kerio.com/connect/adminguide/en/chap-kerberos.html
Автор: maneteren
Дата сообщения: 23.09.2013 20:13
Tihon_one

Мне кажется вопрос про авторизацию неверно сформулирован. Она, конечно, работает, но логин и пароль нужно вводить в outlook connector вручную, тогда как в windows версии определяет пользователя автоматически.
Автор: tgkonvent
Дата сообщения: 24.09.2013 06:50

Цитата:
что за галиматья?

взято из шапки http://forum.ru-board.com/topic.cgi?forum=8&topic=27990&start=0&limit=1&m=1#1
Автор: AdmDiks
Дата сообщения: 24.09.2013 07:31
Вопрос по работе с виртуальной машиной.

1. Неужели все кто этим пользуются хранят весь почтовый каталог прямо в виртуалке?

2. Кто нить пробовал организовать подключение общей папки на VBOX к этому Дебиану?
Автор: tgkonvent
Дата сообщения: 24.09.2013 10:43

Цитата:
Вопрос по работе с виртуальной машиной.

1. Неужели все кто этим пользуются хранят весь почтовый каталог прямо в виртуалке?

2. Кто нить пробовал организовать подключение общей папки на VBOX к этому Дебиану?

Пробовал! Кое-что получилось. Так, как я с линуксом на ВЫ, не смог найти через какого юзвера запускается Kerio-Connect в Debiane, чтобы удаленную папку по сети подключить с доступом для этого юзвера. Так, то папка подключалась автоматом, через SSH мог создавать и удалять папки/файлы там. А, вот уже сам Kerio возврашал ошибку, что нету доступа на запись. Может кто подкинет инфу как определить юзвера под которым запускается Kerio?
Если надо то могу в личку скинуть как я подключал удаленную папку с почтовой базой по сети.
Автор: Tihon_one
Дата сообщения: 24.09.2013 13:22
tgkonvent
maneteren
т.к. образом будем называть вещи своими именами, да конечно NTLM не отрабатывает, НО доменная аутентификация таким работает, но в ручном режиме.
Автор: tgkonvent
Дата сообщения: 24.09.2013 15:15

Цитата:
т.к. образом будем называть вещи своими именами, да конечно NTLM не отрабатывает, НО доменная аутентификация таким работает, но в ручном режиме.

У меня получилось запустить аутентификацию по Kerberos5. Пытаюсь прикрутить в krb5 по какой учетной записи и паролем он должен сам аутентифицироваться первоночально с AD. Иначе AD его не пускает
Автор: AdmDiks
Дата сообщения: 24.09.2013 18:22
tgkonvent
Нее я не про сетевую папку говорю. А про общую папку с родительской ОС.

Я конечно на выходных попробую подключить отдельный винт к виртуалке.

Да и КТО НИТЬ знает какой файрвол блокирует порты на подключение извне???

На дебиане iptable не помогло или я что то не то сделал
Автор: Tihon_one
Дата сообщения: 25.09.2013 09:35
AdmDiks
с работой в аплансе конекта тебе сюда: hxxp://kb.kerio.com/784 раздел - General actions with the firewall settings

tgkonvent

Цитата:
Пытаюсь прикрутить в krb5 по какой учетной записи и паролем он должен сам аутентифицироваться первоночально с AD


боюсь смысла этих слов не уловил...
Автор: AdmDiks
Дата сообщения: 25.09.2013 11:24
Tihon_one
Спасибо помогло

Теперь осталось решить проблему с монтажом общей, с родительской ubuntu, папки.

Добавлено:

Цитата:
Теперь осталось решить проблему с монтажом общей, с родительской ubuntu, папки.


Вопрос снят, все решает установка гостевой ОС с VBoxGuestAdditions.iso

С одним небольшим НО. Керио должна грузиться последней.
Автор: Tihon_one
Дата сообщения: 25.09.2013 15:24
AdmDiks
на будущее, там обычный, полноценный дебиан, отталкиваться в планировании взаимодействия ПО надо именно от этой точки.
Автор: tgkonvent
Дата сообщения: 25.09.2013 15:42
Помучался, я помучался и научил Kerio Connect Application дружить с Microsoft AD. А, точнее Debian Squeeze под которым работает наш Kerio. Что дает возможность авторизации пользователей по логину и паролю из AD.
Привожу все шаги действия, которые я предпринял!

1.    Перед запуском образа, увеличим размер виртуального диска до нужного размера под почтовые базы

2.    После установки сервера Kerio Connect Application и первоначальной его настройки – сеть, временная зона и т.п. Нажимаем Alt+F2, вводим логин (root) и пароль.

3.    Первым делом обновим репозитарий
sudo apt-get update

4.    Установим NTP пакет для синхронизации времени
sudo apt-get install ntp ntpdate
Поскольку Kerberos должен синхронизироваться с контроллерами домена настроим NTP. Для этого в командной строке введите - vi /etc/ntp.conf
И в конфигурационном файле найдите раздел по настройке серверов, например как указано ниже.
    # You do need to talk to an NTP server or two (or three).
    #server ntp.your-provider.example
    server domaincontroller1.example.local
    server server2.example.local
Указываем свои контроллеры домена в сети, где установлены службы времени.

5.    Перезапускаем службу и протестируем ее.
    service ntp stop
    service ntp start
    invoke-rc.d ntp restart
    ntpq –p

Вы должны увидеть сервера с которыми будет синхронизироваться данная служба.
Если в поле reach есть хотя бы 2 единицы, то все в порядке. В противном случае нужно проверить список серверов в /etc/ntp.conf и сетевую конфигурацию сервера и конфигурацию сетевого фильтра.
Я еще настроил вот этот файлик /etc/defaults/rcS
поставил UTC=no.
UTC=yes - ОС считает время BIOS по Гринвичу и + часовой пояс
UTC=no, тогда ОС работает по времени биоса
Указал системе получать текущее время из биоса. Все равно часы на сервере Hyper-V синхронизируется с контроллером домена. В общем поступайте, кому как ндравиться.

6.    Для работы с доменной структурой на основе Windows, нам необходимы две службы -Kerberos, Samba. Установим их:
sudo aptitude install krb5-user samba

Настройку можете пропустить, это сделаем через изменение параметров конфигурационных файлов.

7.    Теперь убедитесь, что вы задали нужное имя компьютера в файле /etc/hostname

8.    Кроме того необходимо отредактировать файл /etc/hosts так, чтобы в нём была запись с полным доменным именем компьютера и обязательно коротким именем хоста, ссылающаяся на один из внутренних IP:
# Имена этого компьютера
127.0.0.1 localhost
127.0.1.1 smbsrv01.domain.com smbsrv01

9.    Перезагрузим систему

10.     Теперь настроим авторизацию через Kerberos
Вам потребуется изменить файл /etc/krb5.conf
У меня он выглядит вот так:
[libdefaults]
    default_realm = DOMAIN.COM

    krb4_config = /etc/krb.conf
    krb4_realms = /etc/krb.realms
    kdc_timesync = 1
    ccache_type = 4
    forwardable = true
    proxiable = true
    ticket_lifetime=1d
renew_lifetime=1d

    v4_instance_resolve = false
    v4_name_convert = {
        host = {
            rcmd = host
            ftp = ftp
        }
        plain = {
            something = something-else
        }
    }
    fcc-mit-ticketflags = true

[realms]
    DOMAIN.COM = {
        kdc = dc. DOMAIN.com
        kdc = dc2. DOMAIN.com
        admin_server = dc. DOMAIN.com
    }

[domain_realm]
    .domain.com = DOMAIN.COM
    domain.com = DOMAIN.COM

[login]
    krb4_convert = true
    krb4_get_tickets = false


Вам конечно нужно изменить domain.com на ваш домен и dc и dc2 на ваши доменконтроллеры. Кстати, возможно вам понадобится написать полные имена доменконтроллеров, т.е. в моём случае dc.domain.com и dc2.domain.com. Поскольку у меня прописан домен поиска в DNS, то мне это делать не нужно.
Обратите особое внимание на регистр написания имени домена - везде, где домен написан в верхнем регистре, его обязательно нужно писать именно в верхнем регистре. Иначе волшебным образом ничего может не заработать.

11.    Теперь настало время проверить, что мы можем авторизоваться в домене. Для этого выполните команду:
kinit username@DOMAIN.COM

Вместо username естественно стоит вписать имя существующего пользователя домена.
Имя домена необходимо писать заглавными буквами!
Если вы не получили никаких ошибок - значит вы настроили всё верно и домен отдаёт вам билет Kerberos. Убедиться в том, что билет получен, можно выполнив команду -klist
Удалить все билеты (они вам вообще говоря не нужны) можно командой -kdestroy

12.    Настройка Samba и вход в домен
Для того, чтобы войти в домен, необходимо прописать правильные настройки в файле /etc/samba/smb.conf.

У меня они выглядят вот так:
[global]
security = ADS
password server = dc.domain.com
encrypt passwords = yes
workgroup = DOMAIN
realm = DOMAIN.COM
netbios name = «NetBios имя вашей системы»
local master = no
winbind refresh tickets = yes
#winbind offline logon - yes
domain master = no
winbind use default domain = yes
winbind enum users = yes
winbind enum groups = yes
preferred master = no
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
template homedir = /home/%U
template shell = /bin/bash

os level = 0
load printers = no
show add printer wizard = no
printcap name = /dev/null
disable spoolss = yes
dns proxy = no
socket options = TCP_NODELAY

13.     После того, как вы отредактируете smb.conf выполните команду testparm
Она проверит ваш конфиг на ошибки и выдаст суммарную сводку о нём:
# testparm
Load smb config files from /etc/samba/smb.conf
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions

Если есть ошибка в виде «rlimit_max: rlimit_max (1024) below minimum Windows Limit (16384)» выполните следующую команду «ulimit -n 16384». И после опять протестируете настройки Samba.

14.    Теперь пора попытаться непосредственно войти в домен. Для этого введите команду
sudo net ads join -U username -D DOMAIN
Вместо username необходимо подставить имя какого-нибудь администратора домена, вместо DOMAIN - собственно сам домен3). У вас спросят пароль для введённого пользователя и в случае успеха вы увидите что-то похожее на:
# net ads join -U username -D DOMAIN
Enter username's password:
Using short domain name -- DOMAIN
Joined 'SMBSRV01' to realm 'domain.com'

Если больше никаких сообщений нет - значит всё хорошо. Попробуйте попинговать свой компьютер по имени с другого члена домена, чтобы убедиться, что в домене всё прописалось так, как надо.

15. Заходите через веб в настройки Kerio Connect Application. Делаете все настройки которые Вам нужны. Настраиваете Службу каталогов в разделе Домены, проверяете как коннектится Kerio к домену. Добавляете нужных пользователей из домена в Пользователи.

16. Теперь пользователи могут заходить в свои почтовые ящики используя логин и пароль из AD.

17. Наслаждаетесь жизнью


PS. Просьба сильно не пинать! Я с Linuxom на ВЫ, перерыл кучу информации и сделал как мог. Может какие то параметры в настройках и лишние. Я даже вижу какие, но влом редактировать и убирать их. Так, что не обессудьте!
Автор: Tihon_one
Дата сообщения: 25.09.2013 17:29
tgkonvent
слююшай зачем так сложно-то?
Автор: tgkonvent
Дата сообщения: 25.09.2013 17:35

Цитата:
слююшай зачем так сложно-то?

Подскажи проше методику!
Пока не научил Debian нормально работать с AD, Kerio не пускал под учетками AD. Может проблема и в другом - ХЗ. Я не линуксоид. Нашел свое решение так сказать. Вот и поделился!
Буду рад другим решениям, по проше )
Автор: Tihon_one
Дата сообщения: 26.09.2013 10:39
tgkonvent
я же уже ссылку кидал, там всё есть, не надо выдумывать велосипед hxxp://manuals.kerio.com/connect/adminguide/en/sect-krblin.html

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139

Предыдущая тема: Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.