作者 主題: OpenWebmail + AD 認證  (閱讀 9319 次)

0 會員 與 1 訪客 正在閱讀本文。

andro

  • 可愛的小學生
  • *
  • 文章數: 5
    • 檢視個人資料
OpenWebmail + AD 認證
« 於: 2005-03-25 14:46 »
請教各位先進:
 
環境:
1 mail server : postfix + openwebmail + dovecot
2 帳號認證伺服器: Win2003 AD
3 postfix,openwebmail,docot(pop3/imap)都是透過AD來做帳號認證
   Linux上沒有mail 帳號,只儲存mail,帳號全部都是依靠AD

問題:
1 Mail帳號與ad帳號不同名,是否可用微軟的 SFUv3來解決??
   http://www.microsoft.com/technet/interopmigration/unix/sfu/nfsauth.mspx

2 若上述1可解決,那Linux上需要建立帳號嗎?(我希望不要建帳號)

3 使用SFUv3時,openwebmail的密碼更改功能可以在此種環境下使用嗎?

4 是否有更好的解決方法? (架構不變下)



謝謝!!

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8827
    • 檢視個人資料
    • http://www.24online.cjb.net
Re: OpenWebmail + AD 認證
« 回覆 #1 於: 2005-03-25 14:51 »
引述: "andro"

1 Mail帳號與ad帳號不同名,是否可用微軟的 SFUv3來解決??
   http://www.microsoft.com/technet/interopmigration/unix/sfu/nfsauth.mspx

2 若上述1可解決,那Linux上需要建立帳號嗎?(我希望不要建帳號)

3 使用SFUv3時,openwebmail的密碼更改功能可以在此種環境下使用嗎?

4 是否有更好的解決方法? (架構不變下)

謝謝!!


A1: 理論上, 可以. 但不太建議. 先前偷偷跑過, 不曉得是硬體還是軟體不夠強, 二十多人連線就讓AD連線中斷.

A2: 如果LDAP連線成功, 不需要建立帳號 (請看小弟筆記)

A3: 先前有朋友問過相同問題, 你可以查詢一下.

A4: 把AD拿去丟掉; 或者, 花點錢去找廠商推薦For AD的產品. ( 我隨便說說的啊~~ )
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

andro

  • 可愛的小學生
  • *
  • 文章數: 5
    • 檢視個人資料
OpenWebmail + AD 認證
« 回覆 #2 於: 2005-03-25 15:26 »
感謝您的熱心與回答!!
可否再請教幾個問題:

1 若沒有AD與linux mail帳號不同的問題, 應該是不用使用SFUv3吧??
   畢竟我只是用到它的Name map功能, 如果是這樣, AD的認證負載能力應該
    沒那麼差吧??  依您所說的2x個上線就垮台有點恐佈.

2 Openmail的登入認證, 所輸入的帳號是使用unix style的帳號,如 jack;
   或是需要使用 jack@xxx.com.tw 類似AD的domain user.
   我想應該是unix style的帳號吧, 我是想確認這部份是因為
   openwebmail/dovecot/postfix 已自己概括承受,還是AD本來就接受這樣的帳號?


謝謝!!

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8827
    • 檢視個人資料
    • http://www.24online.cjb.net
OpenWebmail + AD 認證
« 回覆 #3 於: 2005-03-25 16:18 »
我當初的測試, 是做到用AD建立帳號, 然後Linux就單純接收AD的帳號密碼而已. Linux端要做的步驟不是很多(指令是一堆啦@@ )

至於進入的帳號與密碼, 只需要用someuser這樣就好, 並不需要輸入someuser@somedomain.com這樣.

微軟的AD, 因為本身並不是按照公認的LDAP規格在跑(有些許修改), 所以, 當你要用一個獨特的語言跟別人溝通的時候, 還是需要翻譯官(Service for Unix)來處理的....


記得, 要做之前, 先做好實驗, 避免後悔...  :roll:
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

andro

  • 可愛的小學生
  • *
  • 文章數: 5
    • 檢視個人資料
OpenWebmail + AD 認證
« 回覆 #4 於: 2005-03-25 16:31 »
引述: "日京三子"

微軟的AD, 因為本身並不是按照公認的LDAP規格在跑(有些許修改), 所以, 當你要用一個獨特的語言跟別人溝通的時候, 還是需要翻譯官(Service for Unix)來處理的....



依照您上述的說法, 若AD上沒有安裝 SFUv3 的話, openwebmail/dovecot的
ldap認證模組也是無法通過AD的認證囉??

您說的是這樣的意思嗎??
Thanks!!

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8827
    • 檢視個人資料
    • http://www.24online.cjb.net
OpenWebmail + AD 認證
« 回覆 #5 於: 2005-03-25 16:37 »
原則上, 是的.
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

ryuse

  • 憂鬱的高中生
  • ***
  • 文章數: 103
    • 檢視個人資料
OpenWebmail + AD 認證
« 回覆 #6 於: 2005-03-28 12:03 »
抱歉.. 問一下  日京三子  前輩

  您在第二封 回信中有提到

  "A2: 如果LDAP連線成功, 不需要建立帳號 (請看小弟筆記) "

  小弟 想問 請問 前輩  您的  筆記  文章. 可否 給小弟參考 說


   另外小弟有幾個PAM觀念問題 不甚了解 不知 前輩  可否指教一下 ...

   Linux 帳號資訊 , 除了  帳號密碼外 還需要幾個必須的  uid,gid,home, login script  ...等
 
   某些服務 需要完整的帳號資訊, 例如 "登入"服務 ,   telnet  或 ssh
 
   當輸入帳號密碼 後  會 停在  home的目錄中..  

   如果以 LDAP 當帳號管理的話,, 新增一個 user 後  Ldap record 後

   但實際上 沒有 home 的目錄...

   不知服務後續要如何  處理呢....

     感恩.....

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8827
    • 檢視個人資料
    • http://www.24online.cjb.net
OpenWebmail + AD 認證
« 回覆 #7 於: 2005-03-28 12:17 »
你努力的往下翻找一下, 應該就會看到了.....


或者,  用我的名字,  加上"ldap 筆記 " 這兩個關鍵字應該也會找到  :wink:
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。