オープンソース

サーバー構築のデージーネットTOP > OSS情報 > デージーネットのOSS > postLDAPadmin

next up previous contents
Next: この文書について... Up: postLDAPadmin Previous: 5. 設定詳細(web.conf)


A. Appendix

A.1 LDAPサーバの設定例

LDAPサーバは、次の例にしたがって設定を行ってください。

  • LDAPサーバの基本設定
  • LDAPの基本構造の作成

LDAPサーバの設定については、次のサイトを参考にしてください。

OpenLDAPホームページ

http://www.openldap.org/

A.1.1 LDAPサーバの基本設定

LDAPサーバの設定は、ldapadd,ldapmodify,ldapsearchコマンドを使用して設定、確認を行うことができます。環境に合わせて設定を行ってください。少なくとも、suffix、rootdn、rootpwの項目は設定します。

slapdの設定例
# ldapmodify -Y EXTERNAL -H ldapi:///<CR>
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
dn: olcDatabase={2}hdb,cn=config<CR>
changetype: modify<CR>
replace: olcSuffix<CR>
olcSuffix: dc=designet,dc=jp<CR>
-<CR>
replace: olcRootDN<CR>
olcRootDN: cn=Manager,dc=designet,dc=jp<CR>
-<CR>
replace: olcRootPW<CR>
olcRootPW: {SSHA}H55wd4urFefNKQWc1Qc+jWKapTKMuBqg<CR>
-<CR>
<CR>
modifying entry "olcDatabase={2}hdb,cn=config"
<CTRL+D>

※上記の例では、サフィックス、RootDN、RootDNのパスワードを変更しています。
※<CR>はEnterキーの入力、<CTRL+D>はCTRLキー + Dキーの入力を示しています。

slapdの設定確認例
# ldapsearch -LLL -Y EXTERNAL -H ldapi:/// -b olcDatabase={2}hdb,cn=config<CR>
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
dn: olcDatabase={2}hdb,cn=config
objectClass: olcDatabaseConfig
objectClass: olcHdbConfig
olcDatabase: {2}hdb
olcDbDirectory: /var/lib/ldap
olcSuffix: dc=designet,dc=jp
olcRootDN: cn=Manager,dc=designet,dc=jp
olcRootPW: {SSHA}BviUnbZ6FRbHBUwK34Be02BJpy82Uko9
olcDbIndex: objectClass eq,pres
olcDbIndex: ou,cn,mail,surname,givenname eq,pres,sub
olcDbIndex: uid eq,sub

A.1.2 LDAPの基本構造の作成

LDAPの基本構造を準備します。LDAPの基本構造は、2.2で紹介したLDAPの基本構造の例のように作成することをお勧めします。OpenLDAPの場合は、LDAPの基本構造を作成するために次のようなファイル(init.ldif)を用意します。

LDAPの初期設定例(init.ldif)
# designet.jp                               ← トップのDNのデータ
dn: dc=designet,dc=jp
objectClass: organization
objectClass: dcObject
o: DesigNET, INC.
dc: designet

# test.designet.jp                          ← 管理する仮想ドメインの階層
dn: dc=test,dc=designet,dc=jp
dc: test
objectClass: domain
objectClass: top

# User, test.designet.jp                    ← メールアカウントを管理する階層
dn: ou=User,dc=test,dc=designet,dc=jp
objectClass: organizationalUnit
objectClass: top
ou: User

# List, test.designet.jp                    ← メーリングリストを管理する階層
dn: ou=List,dc=test,dc=designet,dc=jp
objectClass: organizationalUnit
objectClass: top
ou: List

LDIFファイルが用意できましたら、次のようにldapaddコマンドで登録します。

$ ldapadd -x -D "cn=Manager,dc=designet,dc=jp" -f init.ldif -W

A.2 メールサーバの設定例

本章では、MTAのひとつとしてPostfixの設定方法を紹介します。postLDAPadminでは、仮想ユーザごとのクォータ値を管理することができます。仮想ユーザごとのクォータ機能は、VDAパッチを適用したPostfixをインストールすることで利用することができます。VDAパッチを適用したPostfixのインストール、設定方法は、以下のサイトを参考にして行ってください。

  • Postfixホームページ
    http://www.postfix.org/
  • Postfix VDA
    http://vda.sourceforge.net/

本書の執筆時点での最新バージョンは、2.4版のパッチレベル5です。

A.2.1 LDAPによる仮想ユーザ管理

PostfixでLDAPを利用した仮想ユーザ管理を行うには、Postfix検索テーブルでLDAPを参照するように設定する必要があります。

次の設定例にしたがって、以下の項目の設定を行ってください。

  • Postfix設定ファイルの準備
    • 仮想メールボックスに配送するドメインの設定
    • 仮想別名テーブルの設定
    • 仮想メールボックスの配送先の設定
    • 仮想メールボックス容量の設定
    • メール保管アカウントの設定

A.2.1.1 Postfix設定ファイルの準備

main.cfに次の項目を設定します。

main.cfの設定例(追加行)
# 仮想メールボックスに配送するドメインの設定
virtual_mailbox_domains = test.designet.jp

# 仮想メールボックスの配送先の設定
virtual_mailbox_base = /
virtual_mailbox_maps = ldap:/etc/postfix/ldap-account.cf

# 仮想別名テーブルの設定
virtual_alias_maps = ldap:/etc/postfix/ldap-forward.cf

# 仮想メールボックス容量の設定(クォータ制御機能を利用するとき)
virtual_mailbox_limit = 0
virtual_mailbox_limit_maps = ldap:/etc/postfix/ldap-quota.cf
virtual_mailbox_limit_override = yes

# メール保管アカウントの設定
virtual_uid_maps = static:400
virtual_gid_maps = static:400

A.2.1.2 Postfix検索テーブルのLDAP設定ファイルの準備

次に、「virtual_mailbox_maps」「virtual_alias_maps」「virtual_mailbox_limit_maps」で指定したPostfix検索テーブルのLDAP設定ファイルにLDAPの検索条件を設定します。

ldap-account.cfの設定例
server_host = 127.0.0.1
server_port = 389
bind = yes
bind_dn = cn=Manager,dc=designet,dc=jp
bind_pw = secret
scope = sub
search_base = dc=designet,dc=jp
query_filter = (|(mail=%s)(mailAlias=%s))
result_attribute = mailDirectory
result_format = %s/Maildir/

ldap-forward.cfの設定例
server_host = 127.0.0.1
server_port = 389
bind = yes
bind_dn = cn=Manager,dc=designet,dc=jp
bind_pw = secret
scope = sub
search_base = dc=designet,dc=jp
query_filter = (|(mail=%s)(mailAlias=%s))
result_attribute = mailForwardingAddr

ldap-quota.cfの設定例(クォータ機能利用時)
server_host = 127.0.0.1
server_port = 389
bind = yes
bind_dn = cn=Manager,dc=designet,dc=jp
bind_pw = secret
scope = sub
search_base = dc= designet,dc=jp
query_filter = (|(mail=%s)(mailAlias=%s))
result_attribute = quotaSize

Postfix検索テーブルのLDAP設定ファイルの設定項目は、表[*]のとおりです。


表: Postfix検索テーブルのLDAP設定ファイル
項目 解説
server_host LDAPサーバのホスト名またはIPアドレスを設定します。
server_port LDAPサーバのポート番号を設定します。
timeout LDAP検索がタイムアウトする秒数を設定します。
search_base LDAP検索のときに使用するベースDNを指定します。
query_filter LDAP検索で使用する検索フィルタを設定します。
result_attribute LDAP検索の結果として取得すべき属性を指定します。複数の属性が必要な場合には、「,(コンマ)」で区切って並べることができます。
result_format Postfix検索テーブルの結果として返す結果を、指定したLDAP検索の結果から作成する文字列を指定します。
scope LDAP検索を行う場合の検索範囲を指定します。

sub: ベースDNで指定したLDAPディレクトリ配下全体を検索します。

base: ベースDNで指定したLDAPエントリだけを検索します。

one: ベースDNで指定したLDAPエントリのサブエントリ(直下のエントリ)のみを検索します。

bind LDAPサーバへの接続で、バインド処理を行うかどうかを指定します。noを指定すると、anonymous(匿名)モードで接続を行います。
bind_dn LDAPサーバにバインドするDNを指定します。
bind_pw bind_dnに対応するDNに対応するパスワードを指定します。

A.3 POP/IMAPサーバの設定例

メールソフトウェアからメールを読むために、POP/IMAPサーバの設定を行ってください。本書では、POP/IMAPサーバとしてcourier-imapを利用する場合を例として解説をします。courier-imapの設定は次のサイトを参考にしてください。

  • Courier-IMAP
    http://www.courier-mta.org/imap/
  • Courier-Authlib
    http://www.courier-mta.org/authlib/

A.3.1 postLDAPadminのweb.confの設定

postfix、courier-imapはbyte単位でクォータを参照するため、web.confのQuotaUnitの項目はbを設定してください。

A.3.2 LDAPによる仮想ユーザ管理

courier-imapでLDAP仮想ユーザ管理を行うには、authdaemondのLDAP用の設定ファイルauthldaprcを準備してください。

authldaprcの設定例(コメント行を除く)
LDAP_URI                ldap://127.0.0.1
LDAP_PROTOCOL_VERSION   3
LDAP_BASEDN             dc=designet,dc=jp
LDAP_BINDDN             cn=Manager,dc=designet,dc=jp
LDAP_BINDPW             secret
LDAP_TIMEOUT            5
LDAP_AUTHBIND           1
LDAP_MAIL               uid
LDAP_FILTER             (objectClass=postLDAPadmin)
LDAP_GLOB_UID           vmail
LDAP_GLOB_GID           vmail
LDAP_HOMEDIR            mailDirectory
LDAP_CRYPTPW            userPassword
LDAP_TLS                0

authldaprcの設定項目は表[*]のとおりです。


表: authldaprc
項目 解説
LDAP_URI LDAPサーバのアドレスをURIの形式で指定します。
LDAP_PROTOCOL_VERSION LDAPサーバへ接続するLDAPのバージョンを指定します。OpenLDAPの場合には3を指定します。
LDAP_BASEDN LDAP検索を行うときに使用するベースDNを指定します。
LDAP_BINDDN LDAPサーバへの接続に使うDNを指定します。
LDAP_BINDPW LDAP_BINDDNで設定したDNに対応するパスワードを指定します。
LDAP_TIMEOUT LDAP処理のタイムアウト時間を設定します。
LDAP_AUTHBIND ユーザ認証の方法を指定します。0(BINDしない)を指定すると、LDAPサーバからパスワードを取得してauthdaemond側でパスワードを検証します。1(BINDする)を指定すると、該当ユーザのDNでLDAPへ接続し、LDAPサーバ側の認証を利用します。
LDAP_MAIL LDAP検索を行ったときに、POP3ログインで指定したユーザと比較する属性を設定します。POP3のログインで、メールアドレスを入力する場合にはmail属性を指定し、ユーザ名を入力する場合にはuidを指定します。
LDAP_FILTER LDAP検索を行うときに、検索対象とするエントリを示す検索フィルタを設定します。authdaemondは、ここで指定した検索フィルタと、LDAP_MAILで設定した属性から作成したフィルタを組み合わせて検索を行います。
LDAP_GLOB_UID ユーザのUIDをサーバ全体で使用する場合に指定します。Postfixの設定ファイルで指定したvirtual_uid_mapsの値にしたがって設定しておく必要があります。
LDAP_GLOB_GID ユーザのGIDをサーバ全体で使用する場合に指定します。Postfixの設定ファイルで指定したvirtual_gid_mapsの値にしたがって設定しておく必要があります。
LDAP_HOMEDIR メール保存ディレクトリ(ホームディレクトリ)の構成要素として取得すべき属性名を設定します。本書では、mailDirectory属性値でディレクトリを設定していましたので、「mailDirectory」を設定します。
LDAP_CRYPTPW LDAPのパスワードが設定されている属性名を指定します。
LDAP_CREARPW LDAP中に平文でパスワードが保管されている場合に属性名を指定します。必ずLDAP_CRYPTPWかLDAP_CREARPWのどちらかを設定しなければいけません。
LDAP_TLS LDAPサーバへ接続するときに、STARTTLSを利用したTLSによる暗号化を行うかどうかを設定します。

A.4 既にLDAP環境がある場合

既にLDAPの環境が構築されている場合は、次の点に注意してLDAPのユーザのエントリの設定を行ってください。

  • オブジェクトクラスpostLDAPadminが必要であること
  • uid、mail属性が必要であること
  • メール保管ディレクトリのパスを設定すること

A.4.1 postLDAPadminオブジェクトクラス

postLDAPadminのWebインタフェースでは、オブジェクトクラスpostLDAPadminが設定されたエントリだけを編集することができます。postLDAPadminのWebインタフェースを利用する前に、ユーザのエントリにpostLDAPadminオブジェクトクラスを付加してください。

A.4.2 uid属性・mail属性

postLDAPadminでは、ユーザ名にuid属性値、メールアドレスにmail属性値を使用しています。postLDAPadminのWebインタフェースを利用する前に、ユーザのエントリにuid属性・mail属性が設定されていることを確認してください。

A.4.3 メール保管ディレクトリのパスの設定

postLDAPadminでは、LDAPのユーザアカウントのデータからメール保管ディレクトリのパスを取得します。postLDAPadminのWebインタフェースを利用する前に、ユーザのエントリにメール保管ディレクトリのパスを属性値として持つ属性を付加してください。


A.5 dovecot-sieveの設定例

以下の動作設定はCentOS 6.5上にdovecotおよびdovecot-pigeonholeを用いて設定を行っています。
以降の設定は、dovecotおよびdovecot-pigeonholeをインストール後に行なって下さい。

A.5.1 dovecotを利用したローカル配送の設定例

A.5.1.1 postfixの設定例

postfixの設定は、main.cf, master.cfファイルで行います。環境に合わせて設定を行ってください。

/etc/postfix/main.cfの設定例(コメント行を除く)
virtual_transport = dovecot              バーチャルドメインの配送でdovecotを利用するという設定
dovecot_destination_recipient_limit = 1  Dovecotの宛先の受信者の制限

/etc/postfix/master.cfの設定例(コメント行を除く)
dovecot   unix -        n       n       -       -       pipe
  flags=DRhu user=vmail:vmail argv=/usr/libexec/dovecot/deliver -f ${sender} -d ${recipient}
※dovecotのdeliverを利用するのに必要な設定

以上の設定後、postfixをrestartします。

A.5.1.2 dovecotの配送設定例

次に、dovecotによるバーチャルドメインの配送設定を行います。環境に合わせて設定してください。

/etc/dovecot/conf.d/10-mail.confの設定例(コメント行を除く)
mail_plugins            = $mail_plugins quota
mail_location           = maildir:~/Maildir
mail_uid                = vmail
mail_gid                = vmail

/etc/dovecot/conf.d/10-master.confの設定例(コメント行を除く)
service auth {
  unix_listener auth-userdb {
    mode                = 0600
    user                = vmail
    group               = vmail
  }
}

/etc/dovecot/conf.d/15-lda.confの設定例(コメント行を除く)
postmaster_address      = root@localhost
protocol lda {
  userdb {
    driver = ldap
    args = /etc/dovecot/ldap/userdb-lda.conf.ext
  }
  mail_plugins = $mail_plugins sieve
}

/etc/dovecot/conf.d/90-quota.confの設定例(コメント行を除く)
plugin {
  quota                   = maildir:User quota
}

/etc/dovecot/ldap/userdb-lda.conf.extの設定例(コメント行を除く)
hosts                   = 127.0.0.1:389
dn                      = cn=Manager,dc=designet,dc=jp
dnpass                  = secret
base                    = dc=designet,dc=jp
scope                   = subtree
user_filter             = (|(mail=%u)(mailAlias=%u))
user_attrs              = mailDirectory=home,quotaSize=quota_rule=*:bytes=%$K

dovecotのLDAP設定ファイルの設定項目は、表[*]のとおりです。


表: Postfix検索テーブルのLDAP設定ファイル
項目 解説
hosts LDAPサーバのホスト名またはIPアドレスを設定します。
dn LDAP検索の時に使用するベースDNを設定します。
dnpass ベースDNに対応するパスワードを設定します。
auth_bind パスワードの有効性を確認するために認証バインドを使用するかどうかを設定します。
base LDAP検索のときに使用するベースDNを指定します。
scope LDAP検索を行う場合の検索範囲を指定します。

sub: ベースDNで指定したLDAPディレクトリ配下全体を検索します。

base: ベースDNで指定したLDAPエントリだけを検索します。

one: ベースDNで指定したLDAPエントリのサブエントリ(直下のエントリ)のみを検索します。

user_attrs userの属性を設定します。
本設定例では以下の設定を行っています。

home: メールディレクトリのPATHを指定しています。

quota_rule: 容量制限のルールをキロバイト単位で指定しています。

user_filter userのフィルターを設定します。

以上の設定後、dovecotをstartします。

A.5.1.3 sieveの設定例

次に、sieveを有効化する設定を行います。環境に合わせて設定してください。

/etc/dovecot/conf.d/90-sieve.confの設定例(コメント行を除く)
sieve = ~/Maildir/dovecot.sieve

以上の設定後、dovecotをrestartします。

A.6 参考文献

  • 『Linuxで作る完全メールシステム構築ガイド』(2007年2月5日第1版第1刷 デージーネット著)
  • OpenLDAPホームページ
    http://www.openldap.org/
  • Postfixホームページ
    http://www.postfix.org/
  • Postfix VDA
    http://vda.sourceforge.net/
  • Apache Software Foundation
    http://www.apache.org/
  • Dovecotホームページ
    http://www.dovecot.org/


next up previous contents
Next: この文書について... Up: postLDAPadmin Previous: 5. 設定詳細(web.conf)

29年11月01日