Аутентифицируйте пользователей CVS против Active Directory
Лично я думаю, чтение и уведомления о доставке добавляют очень мало служебное к серверу. Во всех отношениях, его просто другая почта и очень маленькая в этом.
Если Вы, сервер находится в таком состоянии, что это не может обработать их, то, вероятно, требуется некоторое выполнение работы.
Однако я на самом деле не думаю, что они настолько полезны при отправке внешний к собственному домену. Много систем (против спама и т.д.), а также другие почтовые системы народов, заблокируйте подобные сообщения. Кроме того, плохо установите системы обмена сообщениями, может создать бесконечный автоматический ответ / из офисных циклов, если они обрабатывают их плохо. Я видел сделанный. Сверхспецификация Ваш набор как нормальный и у Вас не должно быть проблем, обрабатывающих их.
Как оказалось, CVS просто использует PAM. Так, если Ваш сервер будет уже настроен для аутентификации к AD, то CVS также получит информацию об аутентификации.
предложение wolfgangsz очень полезно в получении 1-го завершенного шага (аутентификация сервера к AD через LDAP [Вы могли также использовать Winbind]).
Это будет довольно длинным, но давайте сделаем это так или иначе. В первую очередь, да это может быть сделано. Я не могу предоставить много в способе настроить CVS, но я могу обеспечить все, что необходимо заставить сервер Linux аутентифицировать пользователей против Active Directory.
Все это запускается с/etc/nsswitch.conf. Вот соответствующий раздел:
passwd: files ldap compat
shadow: files ldap compat
group: files ldap compat
Теперь, в зависимости от того, какой дистрибутив Вы используете, необходимо будет установить некоторые ldap пакеты. Под Redhat/Fedora/CentOS это было бы nss_ldap под Debian/Ubuntu и подобными, Вам будут нужны libnss-ldap и libpam-ldap. Я также рекомендовал бы некоторый ldap-utils для отладки.
С выше Ваших служб имен попытается использовать LDAP, поэтому теперь необходимо настроить различные пакеты LDAP для использования AD сервера. Поисковая основа должна быть base cn=Users,dc=aminocom,dc=com и связывание DN должно быть binddn cn=LDAPsearch,cn=Users,dc=aminocom,dc=com. Необходимо будет определить определенного Пользователя, чтобы позволить просматривать AD. Мы создали пользователя под названием LDAPSearch и поместили его учетные данные в отдельный файл, названный .secret. Прочитайте документацию этих пакетов для большего количества детали. Кроме того, я рекомендовал бы, чтобы мягкое связало политику и следующие отображения атрибута:
# Services for UNIX 3.5 mappings nss_base_passwd cn=Users,dc=aminocom,dc=com?sub nss_base_shadow cn=Users,dc=aminocom,dc=com?sub nss_base_group cn=Users,dc=aminocom,dc=com?sub nss_map_objectclass posixAccount user nss_map_objectclass shadowAccount user nss_map_attribute uid sAMAccountName nss_map_attribute uidNumber msSFU30UidNumber nss_map_attribute gidNumber msSFU30GidNumber nss_map_attribute loginShell msSFU30LoginShell nss_map_attribute gecos name nss_map_attribute userPassword msSFU30Password nss_map_attribute homeDirectory msSFU30HomeDirectory nss_map_objectclass posixGroup Group nss_map_attribute uniqueMember msSFU30PosixMember nss_map_attribute cn cn pam_login_attribute sAMAccountName pam_filter objectclass=user pam_member_attribute msSFU30PosixMember pam_groupdn cn=nixUsers,cn=Users,dc=aminocom,dc=com pam_password ad
Все это предполагает, что у Вас есть Windows Services для Unix, установленного на Вашем контроллере домена. В AD необходимо будет настроить основную группу Unix (в нашем случае, названном nixUsers), и добавить каждого пользователя CVS в ту группу.
Необходимо, вероятно, смочь использовать AD непосредственно (т.е. без Windows Services для Unix), но это потребует различных отображений атрибута. Вам, возможно, придется экспериментировать немного там.
Теперь мы добираемся до конфигурации PAM. Под Debian существует в основном 4 файла, которым нужны модификации:
1.) общая учетная запись:
account required pam_unix.so broken_shadow account sufficient pam_localuser.so account sufficient pam_succeed_if.so uid2.) common-auth:
auth required pam_env.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >=500 quiet auth sufficient pam_ldap.so use_first_pass auth required pam_deny.so3.) common-session:
session optional pam_keyinit.so revoke session required pam_limits.so session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid session required pam_unix.so session optional pam_ldap.so4.) common-password
password sufficient pam_unix.so md5 shadow nullok try_first_pass password sufficient pam_ldap.so password required pam_deny.so
Под Redhat (и производные) все необходимые изменения должны войти в соответствующие разделы в/etc/pam.d/system-auth и/etc/pam.d/system-auth-ac.
Вышеупомянутое позволит пользователям входить в систему с AD учетными данными. Однако это автоматически не создает корневой каталог для них (если Вы не делаете еще некоторые сценарии вокруг того), и они не позволяют им изменять свои пароли через Linux. Это может быть сделано также, но это требует модификации их рабочих станций (если они используют Linux). Больше вышеупомянутое ре вопросов, просто спросите.
Мы используем это на многих наших серверах, работах как очарование.