9.2. LDAP 인증을 사용하여 Dovecot 서버 설정

프로세스

1. 개인 키 파일에 대한 보안 권한을 설정합니다.

   # chown root:root /etc/pki/dovecot/private/server.example.com.key
   # chmod 600 /etc/pki/dovecot/private/server.example.com.key

   Copy to Clipboard Toggle word wrap

2. Diffie-Hellman 매개변수를 사용하여 파일을 생성합니다.

   # openssl dhparam -out /etc/dovecot/dh.pem 4096

   Copy to Clipboard Toggle word wrap

   서버의 하드웨어 및 엔트로피에 따라 4096비트로 Diffie-Hellman 매개변수를 생성하는 데 몇 분이 걸릴 수 있습니다.

3. /etc/dovecot/conf.d/10-ssl.conf 파일에서 인증서 및 개인 키 파일의 경로를 설정합니다.

   1. ssl_cert 및 ssl_key 매개변수를 업데이트하고 서버의 인증서 및 개인 키의 경로를 사용하도록 설정합니다.

      ssl_cert = </etc/pki/dovecot/certs/server.example.com.crt
      ssl_key = </etc/pki/dovecot/private/server.example.com.key

      Copy to Clipboard Toggle word wrap

   2. ssl_ca 매개변수의 주석을 제거하고 CA 인증서의 경로를 사용하도록 설정합니다.

      ssl_ca = </etc/pki/dovecot/certs/ca.crt

      Copy to Clipboard Toggle word wrap

   3. ssl_dh 매개변수의 주석을 제거하고 Diffie-Hellman 매개변수 파일의 경로를 사용하도록 설정합니다.

      ssl_dh = </etc/dovecot/dh.pem

      Copy to Clipboard Toggle word wrap
   중요

   Dovecot가 파일에서 매개변수 값을 읽도록 하려면 경로는 선행 < 문자로 시작해야 합니다.

절차

1. vmail 사용자를 만듭니다.

   # useradd --home-dir /var/mail/ --shell /usr/sbin/nologin vmail

   Copy to Clipboard Toggle word wrap

   dovecot는 나중에 이 사용자를 사용하여boxes를 관리합니다. 보안상의 이유로 dovecot 또는 dovenull 시스템 사용자를 사용하지 마십시오.

2. /var/mail/ 와 다른 경로를 사용하는 경우 mail_spool_t SELinux 컨텍스트를 설정합니다. 예를 들면 다음과 같습니다.

   # semanage fcontext -a -t mail_spool_t "<path>(/.*)?"
   # restorecon -Rv <path>

   Copy to Clipboard Toggle word wrap

3. vmail 사용자에게 /var/mail/ 에 대한 쓰기 권한을 부여합니다.

   # chown vmail:vmail /var/mail/
   # chmod 700 /var/mail/

   Copy to Clipboard Toggle word wrap

4. /etc/dovecot/conf.d/10-mail.conf 파일에서 mail_location 매개 변수의 주석을 해제하고 이 매개 변수를 copy 형식 및 위치로 설정합니다.

   mail_location = sdbox:/var/mail/%n/

   Copy to Clipboard Toggle word wrap

   이 설정으로 다음을 수행합니다.

   • Dovecot는 high-performant dbox box format을 단일 모드에서 사용합니다. 이 모드에서 서비스는 maildir 형식과 유사하게 각 이메일을 별도의 파일에 저장합니다.
   • dovecot는 사용자 이름 경로의 %n 변수를 해결합니다. 이 작업은 각 사용자에게 해당 2.10에 대한 별도의 디렉터리가 있는지 확인하는 데 필요합니다.

절차

1. /etc/dovecot/conf.d/10-auth.conf 파일에서 인증 백엔드를 구성합니다.

   1. 주석 처리에 는 auth-*.conf.ext 인증 백엔드 구성 파일에 대한 설명이 포함되어 있습니다. 예를 들면 다음과 같습니다.

      #!include auth-system.conf.ext

      Copy to Clipboard Toggle word wrap

   2. 다음 줄의 주석을 해제하여 LDAP 인증을 활성화합니다.

      !include auth-ldap.conf.ext

      Copy to Clipboard Toggle word wrap

2. /etc/dovecot/conf.d/auth-ldap.conf.ext 파일을 편집하고 다음과 같이 override_fields 매개변수를 userdb 섹션에 추가합니다.

   userdb {
     driver = ldap
     args = /etc/dovecot/dovecot-ldap.conf.ext
     override_fields = uid=vmail gid=vmail home=/var/mail/%n/
   }

   Copy to Clipboard Toggle word wrap

   수정된 값으로 인해 Dovecot는 LDAP 서버에서 이러한 설정을 쿼리하지 않습니다. 따라서 이러한 속성도 존재할 필요가 없습니다.

3. 다음 설정으로 /etc/dovecot/dovecot-ldap.conf.ext 파일을 만듭니다.

   1. LDAP 구조에 따라 다음 중 하나를 구성합니다.

      • 사용자가 LDAP 디렉터리의 다른 트리에 저장된 경우 동적 DN 조회를 구성합니다.

        dn = cn=dovecot_LDAP,dc=example,dc=com
        dnpass = password
        pass_filter = (&(objectClass=posixAccount)(uid=%n))

        Copy to Clipboard Toggle word wrap

        dovecot는 지정된 DN, password 및 filter를 사용하여 디렉터리에서 인증 사용자의 DN을 검색합니다. 이 검색에서 Dovecot는 필터의 %n 을 사용자 이름으로 교체합니다. LDAP 검색에서는 하나의 결과만 반환해야 합니다.

      • 모든 사용자가 특정 항목에 저장된 경우 DN 템플릿을 구성합니다.

        auth_bind_userdn = cn=%n,ou=People,dc=example,dc=com

        Copy to Clipboard Toggle word wrap

   2. LDAP 서버에 인증 바인딩을 활성화하여 Dovecot 사용자를 확인합니다.

      auth_bind = yes

      Copy to Clipboard Toggle word wrap

   3. URL을 LDAP 서버로 설정합니다.

      uris = ldaps://LDAP-srv.example.com

      Copy to Clipboard Toggle word wrap

      보안상의 이유로 LDAP 프로토콜을 통해 LDAPS 또는ECDHE TLS 명령을 사용하여 암호화된 연결만 사용하십시오. 후자의 경우 설정에 tls = yes 를 추가합니다.

      작업 인증서 검증을 위해 LDAP 서버의 호스트 이름이 TLS 인증서에 사용된 호스트 이름과 일치해야 합니다.

   4. LDAP 서버의 TLS 인증서 확인을 활성화합니다.

      tls_require_cert = hard

      Copy to Clipboard Toggle word wrap

   5. 사용자 검색을 시작할 DN으로 기본 DN을 설정합니다.

      base = ou=People,dc=example,dc=com

      Copy to Clipboard Toggle word wrap

   6. 검색 범위를 설정합니다.

      scope = onelevel

      Copy to Clipboard Toggle word wrap

      dovecot는 지정된 기본 DN에서만 onelevel 범위로, 하위 트리에서 하위 트리 범위를 사용하여 검색합니다.

4. /etc/dovecot/dovecot-ldap.conf.ext 파일에 보안 권한을 설정합니다.

   # chown root:root /etc/dovecot/dovecot-ldap.conf.ext
   # chmod 600 /etc/dovecot/dovecot-ldap.conf.ext

   Copy to Clipboard Toggle word wrap

절차

1. 사용자에게 CloudEvent 또는 POP3 서비스만 제공하려면 /etc/dovecot/dovecot.conf 파일에서 protocols 매개변수의 주석을 제거하고 필요한 프로토콜로 설정합니다. 예를 들어, POP3이 필요하지 않은 경우 다음을 설정합니다.

   protocols = imap lmtp

   Copy to Clipboard Toggle word wrap

   기본적으로 imap,pop3, lmtp 프로토콜이 활성화됩니다.

2. 로컬 방화벽에서 포트를 엽니다. 예를 들어, CloudEventS,Forwarded, POP3S 및 POP3 프로토콜의 포트를 여는 경우 다음을 입력합니다.

   # firewall-cmd --permanent --add-service=imaps --add-service=imap --add-service=pop3s --add-service=pop3
   # firewall-cmd --reload

   Copy to Clipboard Toggle word wrap

3. dovecot 서비스를 활성화하고 시작합니다.

   # systemctl enable --now dovecot

   Copy to Clipboard Toggle word wrap

검증

1. Mozilla Thunderbird와 같은 메일 클라이언트를 사용하여 Dovecot에 연결하고 이메일을 읽습니다. 메일 클라이언트 설정은 사용하려는 프로토콜에 따라 다릅니다.

   Expand

   표 9.2. Dovecot 서버에 대한 연결 설정

   프로토콜	포트	연결 보안	인증 방법
   IMAP	143	STARTTLS	PLAIN[a]
   IMAPS	993	SSL/TLS	PLAIN[a]
   POP3	110	STARTTLS	PLAIN[a]
   POP3S	995	SSL/TLS	PLAIN[a]
   [a] 클라이언트는 TLS 연결을 통해 암호화된 데이터를 전송합니다. 따라서 인증 정보가 공개되지 않습니다.

   Show more

   기본적으로 Dovecot는 TLS가 없는 연결에 대한 일반 텍스트 인증을 허용하지 않으므로 이 테이블에는 암호화되지 않은 연결에 대한 설정이 나열되지 않습니다.

2. 기본값이 아닌 값을 사용하여 구성 설정을 표시합니다.

   # doveconf -n

   Copy to Clipboard Toggle word wrap