目次 1 概要...1 2 動作環境...1 3 事前準備...1 4 動作概要...1 5 プロトコル...3 6 設定項目...3 7 LDAP 検索属性...5 8 メールボックス追加時のパスワード設定 クォータ制限...5 9 モジュール利用時の注意事項...6
1 概要商用版 Sendmail 製品では 独自のユーザデータベースを参照することで登録アカウントの POP/IMAP/SMTP 認証機能を提供しています これに加え 認証モジュールの拡張機能を使用し Active Directory を含む外部 LDAP サーバを利用した認証も可能な設計となっています しかしながら LDAP での認証を行う場合 認証の対象となるアカウント情報そのものの同期には対応していないため 管理者は LDAP アカウントと Sendmail の内部アカウントの双方のメンテナンスを行う必要が出てまいります 本ドキュメントでは LDAP アカウントと Sendmail 内部のアカウントの同期を取るためのオプション製品である Sendmail AD 連携モジュール について解説します Sendmail AD 連携モジュールを使用することにより Active Directory を利用している環境において Sendmail のユーザ メールボックス管理を自動化することができます Sendmail AD 連携モジュールを使用すると 管理者によって追加 削除された Active Directory 内のユーザ情報をもとに Sendmail のメールボックスを自動的に同期します 2 動作環境対象 Sendmail 製品 Sendmail Advanced Message Server 1.3.2J Windows Sendmail MailCENTER 3J Linux Active Directory Windows 2000 Server ファミリ / Windows Server 2003 ファミリの Active Directory 3 事前準備 Sendmail AD 連携モジュールを利用する環境では Sendmail による Active Directory 認証の設定を行うことを強くお勧めします Active Directory 認証が設定されていない場合 Sendmail AD 連携モジュールではユーザ作成時に同一のデフォルトパスワードが適用されます Active Directory 認証の設定に関しましては 製品同梱の Sendmail Advanced Message Server Reference Guide を参照してください 4 動作概要 Sendmail AD 連携モジュール は次の三つのモジュールから構成されています - 1 -
これらのモジュールを Windows のタスク設定や Linux の cron を利用して適切なタイミングで定期的に実行します (A) メインモジュール (main.exe Linux 版の場合 main) Active Directory 上に登録されているユーザ情報を取得します また 取得した情報をもとに Sendmail メールボックスの追加及び無効化 ( 削除対象化 ) を実施します (B) 通知モジュール (notify.exe Linux 版の場合 notify) 削除対象メールボックスが存在した場合 管理者にメール通知します (C) 削除モジュール (delete.exe Linux 版の場合 delete) 削除対象メールボックスを実際に削除します メインモジュールでは (1) グローバルカタログサーバへ ドメイン管理権限を持つアカウントを使用し アクセスします (2) LDAP 経由で Active Directory 内のユーザ情報を取得します (3) メールホスティングサーバ (Sendmail) から現在のユーザ情報を取得します (4) Active Directory に存在するユーザで Sendmail 上に作成されていないメールボックスがある場合は メールボックスを作成し Active Directory から既に削除されたユーザのメールボックスが Sendmail 上に残った状態の場合はそれを一旦無効化します 無効化されたメールボックスは 削除モジュールが実行されるタイミングで実際にメールボックスの削除が行われるため 事前に通知モジュールを使用して管理者に対して通知メールの送信処理を行います -2-
5 プロトコルメールホスティングサーバから グローバルカタログサーバへ Active Directory ユーザ情報の取得を行う際 使用されるプロトコルは以下の通りです メールホスティングサーバ - グローバルカタログサーバ間 LDAP プロトコルポート :3268 (Microsoft Global Catalog) 6 設定項目 Sendmail AD 連携モジュール では 設定ファイル (samsad.cfg) ファイルに記述された設定に基づき動作します ここでは 設定ファイルに必要な項目について説明します ( 設定項目については 全て必須となります ) ( 設定例 ) ## SECTION: Sendmail MBOX_ADD SETTINGS [DefaultPassword] password [StorageQuota] 200 [MessageQuota] 0 [MSADMPath] C: Program Files Sendmail Advanced ( 略 ) ## SECTION: LDAP QUERY SETTINGS [LDAPServer] 192.168.0.10 [LDAPPort] 3268-3-
[LDAPUsername] administrator@example.com [LDAPPassword] ant [LDAPSearchString] (&(objectclass=user)(objectcategory=person)) [LDAPBaseDN] dc=example,dc=com [LDAPAttribute] mail ## SECTION: NOTIFICATION SETTINGS [NotifyFrom] notifier@example.com [NotifyTo] administrator@example.com [SMTPServer] localhost [NotifySubject] Sendmail-AD MAINTENANCE NOTIFICATION [DisabledLDAPAccount] 1 [ExpiredLDAPAccount] 1 各設定項目の詳細については以下の通りです 設定項目 [DefaultPassword] [StorageQuota] [MessageQuota] [MSADMPath] [LDAPServer] [LDAPPort] [LDAPUsername] [LDAPPassword] 説明 Sendmail の内部認証アカウントのパスワードです Sendmail の Active Directory 認証を行わない場合 このパスワードが使用されます 一括追加されるものについてはこのパスワードが適用されます 追加するメールボックスのストレージクォータ制限値をメガバイト単位で指定します 追加するメールボックスのメッセージクォータ値を指定します Sendmail 管理シェル (MSADM) へのパスを指定します スペースを含むパス (Program Files など ) を含む場合は パス全体を ( ダブルクォーテーション ) で囲います グローバルカタログサーバのサーバ名または IP アドレスを入力します IP アドレス指定時に [] は必要ありません グローバルカタログサーバへの接続ポート番号 デフォルトは 3268 番ポートを利用します グローバルカタログサーバの管理者アカウントを入力します グローバルカタログサーバの管理者アカウントパスワードを入力します -4-
[LDAPSearchString] [LDAPBaseDN] [LDAPAttribute] [NotifyFrom] [NotifyTo] [SMTPServer] [NotifySubject] [DisabledLDAPAccount] [ExpiredLDAPAccount] LDAP 検索条件を指定します 書式は RFC2254 に定義されています 検索の開始位置を表す DN を指定します ディレクトリツリー構造のうち ここで示されたエントリ以下が検索対象となります LDAP 検索にて取得する属性名となります 特別な場合を除き この値は変更しないでください 削除予定メールボックスの管理者通知メールの送信元アドレスです 削除予定メールボックスの管理者通知メールの宛先アドレスです 複数指定する場合は カンマ区切りで入力します 管理者通知メールの送信に使用する SMTP サーバの FQDN 名または IP アドレスを指定します 管理者通知メールの件名を指定します 半角英数文字で入力します AD で無効となっているアカウントについての処理を定義します 1 の場合は 無効アカウントは存在しないものとみなして Sendmail からも削除します AD で期限切れとなっているアカウントについての処理を定義します 1 の場合は 期限切れアカウントは存在しないものとみなして Sendmail からも削除します 7 LDAP 検索属性メールホスティングサーバ上に配置された Sendmail AD 連携モジュールからグローバルカタログサーバに対して LDAP 検索を行う際 各ユーザの電子メール ('mail') 属性を取得します 従って ユーザにこの属性値が設定されていない場合 ユーザが存在しないと見なされます 8 メールボックス追加時のパスワード設定 クォータ制限 Sendmail AD 連携モジュールを使用して追加されるメールボックスのパスワード設定 ストレージクォータ制限 メッセージクォータ制限については モジュールの設定項目にて設定される既定値が使用されます クォータ値が異なるメールボックスが存在する場合は モジュールにて追加後 手動で該当ユーザのクォータ値を変更することとします -5-
9 モジュール利用時の注意事項 Sendmail AD 連携モジュールでは メールホスティングサーバ上の Sendmail ドメインについては あらかじめ作成しておく必要があります Sendmail AD 連携モジュールでは ユーザ削除フラグとしてアカウントの無効化を利用します このため本モジュール利用時には Sendmail のアカウント無効化機能は利用しないでください admin という名前のドメイン名は Sendmail 側で管理ドメインとして予約されていますので AD 側にこのドメイン名を使用しないでください 各ドメインにおいて anonymous, anyone という名前のアカウントは Sendmail 側で予約されておりますので AD 側にこのアカウント名を持ったメールアドレスを作成しないでください 多数のユーザが登録されている Active Directory 環境下において Sendmail AD 連携モジュールがユーザ情報を取得出来ない場合があります その場合は Active Directory の LDAP ポリシー設定 (MaxPageSize 値 ) を変更することで 多くの場合 ユーザ情報を取得出来るようになります 設定変更方法については Windows または Active Directory のドキュメント等を参照してください -6-
2008 年 8 月 1 日初版発行 発行所株式会社 CSK Win テクノロジ 160-0023 東京都新宿区西新宿 6-24-1 西新宿三井ビル