mercoledì 11 aprile 2012

L'angolo della soluzione: sincronizzare le password fra MDaemon e Active Directory

NOTA STRAMALEDETTAMENTE MOLTO BENE: Le soluzioni che pubblichero' hanno funzionato quando le ho applicate ma non mi assumo assolutamente NESSUNA responsabilita' nel caso in cui una di queste soluzioni vi incasinasse tutta l'azienda anziche' risolvere il problema. Siete stati avvisati e, nel caso ci fosse qualcosa di poco chiaro, siete pregati di rileggere questa nota finche' non vi si fissa nel cranio come si deve (e qua mi rivolgo piu' che altro agli utOnti). :)


Guida alla sincronizzazione delle password fra un server MDaemon in DMZ e un dominio Active Directory

Un cliente ci ha richiesto che le password della posta elettronica fossero sincronizzate con quelle degli utenti codificati all'interno del dominio Active Directory. La procedura non e' nulla di complicato.

  1. Sul firewall devono essere aperte le seguenti porte dal server MDaemon in DMZ alla LAN (o al/ai controller di dominio e server DNS):
Windows NT
42 TCP
Dalla 137 alla 139 UDP
Windows 2000/2003
53 TCP e UDP
88 TCP e UDP
135 e 139 TCP
389 TCP e UDP
445 TCP
636 TCP
3268 e 3269 TCP
Windows 2008/2008 R2
53 TCP e UDP
88 TCP e UDP
123 UDP
135 e 139 TCP
138 UDP
389 TCP e UDP
445 TCP
636 TCP
3268 e 3269 TCP
5722 TCP
  1. Una volta attivato il passaggio dei dati sul firewall fra DMZ e LAN, si puo' joinare il server MDaemon al dominio con la procedura standard. Consiglio per sicurezza, dopo questa operazione, di verificare nei log del firewall che non ci siano porte bloccate dal server MDaemon alla LAN;
  2. Creare un utente di test all'interno del dominio;
  3. Creare lo stesso utente di test in MDaemon dando come password la stringa \\NOMEDOMINIO e verificare che nella sezione "Account details", in basso, la "Dynamic authentication" sia "enabled";
  4. Testare l'account creato per avere conferma del corretto funzionamento del sistema;
  5. Per modificare gli account esistenti, basta cambiare la password in \\NOMEDOMINIO e verificare che la "Dynamic authentication" passi da "disabled" a "enabled".

2 commenti:

  1. Interessante, anche se, personalmente, non vorrei un server nella DMZ come Member Server del dominio della LAN...
    Secondo te, è possibile far funzionare l'autenticazione su AD anche per trust tra domini?

    Mi spiego, io DCPROMOerei (adoro i verbi inventati ;-P ) il server con il MDaemon e gli creerei un suo dominio di AD, tipo mail.$azienda.local, poi imposterei, sempre sul mail server, il trust verso il dominio della LAN (N.B. trust MONOdirezionale DMZ -> LAN, non DMZ <- LAN).

    RispondiElimina
    Risposte
    1. Anch'io non vorrei mettere un server nella DMZ all'interno del dominio della LAN. Sfortunatamente e' uno dei requisiti per poter sincronizzare le password di MDaemon con quelle di Active Directory.
      Non ne ho la piu' pallida idea. Mi sa che l'unica possibilita' sia quella di provarlo di persona. Non conosco cosi' bene i sistemi Microsoft. :)

      Elimina