Gestion du courriel mutualisé

Introduction

Comment gérer la gestion des courriels par « courriel.servideo.org ». Aussi bien les boîtes à lettres d'utilisateurs avec Cyrus que les aliases.

Boîtes aux lettres

Poste restante par Cyrus

Création de la boîte

Pour le moment, ça se passe sur xenarthra comme ça

cyradm --server localhost --user postmaster
(password)

Lister les boites existantes:

localhost > lm

Ajoputer une boite (inactivée):

localhost > cm user/toto@domain.net

Notez la syntaxe commençant par user!

Pour quitter:

localhost> quit

Commande permettant de lister tous les noms de domaines gérés par notre gestionnaire de boîtes aux lettres:

sudo grep -e loginrealm /etc/imapd.conf
Suppression de la boîte

Il faut donner les droits de création/suppression à postmaster:

localhost> sam user/toto@domain.net postmaster c

On peut alors supprimer la boîte:

localhost> dm user/toto@domain.net
Déclaration d'un nouveau domaine à gérer

Même si la création de la boîte utilise son domaine, il est nécessaire de le déclarer explicitement dans le fichier de configuration de la poste restante de Cyrus.

Il s'agit du fichier versionné par RCS /etc/imapd.conf:

cd /etc
sudo co -l ./imapd.conf
sudo vim imapd.conf

on recherche al ligne débutant par loginrealms, c'est là qu'on peut ajouter notre domain.net

On referme le fichier:

sudo ci -u ./imapd.conf
sudo chown cyrus imapd.conf
sudo chmod o-r imapd.conf

Un sticky bit ne serait-il pas mieux ici?

Déclaration de la boîte

Avec son client LDAP favori (pour le paramétrage voir Configuration du client LDAP), il faut créer une entrée LDAP héritant au minimum des classes suivantes :

  • « simpleSecurityObject » ;
  • « account » ;
  • « inetLocalMailRecipient ».

Les attributs à renseigner sont « uid » qui doit être égal à la partie local de l'adresse & « mailLocalAddress » à l'adresse complète, « userPassword » au mot de passe. L'entrée doit être classée dans la base « ou=courriel,dc=servideo,dc=org » en décomposant le domaine via les éléments « dc ».

Par exemple pour l'adresse « compte@le.domaine.org », l'entrée ressemblera au LDIFF suivant :

dn: uid=compte,dc=le,dc=domaine,dc=org,ou=courriel,dc=servideo,dc=org
objectClass: top
objectClass: simpleSecurityObject
objectClass: account
objectClass: inetLocalMailRecipient
uid: compte
description: un compte
mailLocalAddress: compte@le.domaine.org
userPassword: (mot de passe)

Déclaration d'aliases

Avec son client LDAP favori (pour le paramétrage voir Configuration du client LDAP), il faut créer une entrée LDAP héritant au minimum des classes suivantes :

  • « account » ;
  • « inetLocalMailRecipient ».

Les attributs à renseigner sont « uid » qui doit être égal à la partie local de l'adresse & « mailLocalAddress » à l'adresse complète, « mailRoutingAddress » à l'adresse de destination. L'entrée doit être classée dans la base « ou=courriel,dc=servideo,dc=org » en décomposant le domaine via les éléments « dc ».

Par exemple pour l'adresse « contact@listes.servideo.org » alias « contact@servideo.org », l'entrée est le LDIFF suivant :

dn: uid=contact,dc=servideo,dc=org,ou=courriel,dc=servideo,dc=org
objectClass: top
objectClass: inetLocalMailRecipient
objectClass: account
mailRoutingAddress: contact@listes.servideo.org
uid: contact
mailLocalAddress: contact@servideo.org

Configuration du client LDAP

Les connexions au serveur sont sécurisé par le TLS. Il faut donc que le client puisse vérifier l'authenticité du certificat présenté par le serveur.

Spécification du certificat de l'autorité de certification (CA CERT)

C'est le certificat de l'autorité qui sert à vérifier l'authenticité.

Il est possible pour certains clients de préciser le fichier le contenant directement dans leur configuration. Cependant, les clients les plus « standard » utilisent directement les mécanismes de vérification de la bibliothèque « libldap ». Ces mécanismes se configurent soit par le fichier « /etc/ldap/ldap.conf » qui a une portée système soit par le fichier « ${HOME}/.ldaprc ».

Nos serveurs utilisent l'autorité libre CACert pour la génération des certificats. Afin de configurer « libldap » il faut mettre dans le fichier de configuration idoine soit la ligne suivante

TLS_CACERT /etc/ssl/certs/class3.pem

soit la ligne suivante

TLS_CACERT /etc/ssl/certs/ca-certificates.crt

La seconde est à préférer à la première. Si l’instruction suivante

test -f /etc/ssl/certs/ca-certificates.crt && echo "La seconde"

renvoie « La seconde », choisir la seconde :-)

Cette configuration suppose que l'on soit sous Debian au moins une « lenny » et que le paquet « ca-certificates » est installé.

Il aurait été intéressant d'utiliser « TLS_CACERTDIR », mais sous Debian, « libldap » est compilée avec « gnutls » alors cette option est inopérante.

Configuration de GQ

Nous n'utilisons plus GQ mais LUMA

Il faut avant tout appliquer le correctif suivant sur les sources de luma :

Puis le configurer comme suit :

Capture-Server settings.png

Capture-Server settings-1.png

Capture-Server settings-2.png

Capture-Server settings-3.png

Capture-Server settings-4.png

Puis copier le fichier de modèle dans le répertoire « .luma » :

SerWikiDeo: Courriel (last edited 2013-01-19 13:34:11 by RomainChantereau)