@<doména> (napˇ r. pro žádost o nápovˇ edu ke konferenci diskuze v doménˇ e firma.cz pošleme e-mail na adresu: [email protected]). Zde uvádíme pˇ rehled pˇ rípon, které m˚ uže uživatel v adrese konference použít: • • • •
subscribe — požadavek na pˇ rihlášení uživatele do konference, unsubscribe — požadavek na odhlášení uživatele z konference, help — žádost o nápovˇ edu pro použití konference, owner, owners — zaslání zprávy moderátor˚ um konference (uživatel nemusí znát jejich e-mailové adresy).
243
Kapitola 23
Plánování zdroj˚ u
Kerio MailServer poskytuje nástroj pro sdílení a rezervaci zdroj˚ u vaší spoleˇ cnosti. Jednotlivými zdroji jsou mínˇ eny místnosti a zaˇ rízení, jako jsou konferenˇ cní místnosti, projektory, sdílené firemní automobily atd. Uživatelé mohou rezervovat zdroje pomocí kalendᡠrových klient˚ u, které umí pracovat s událostmi a pozvánkami. Oficiálnˇ e podporované jsou následující: • MS Outlook s Kerio Outlook Connectorem — konkrétní nastavení v pˇ ríruˇ cce uživatele. • Kerio WebMail — konkrétní nastavení najdete v pˇ ríruˇ cce uživatele. • Microsoft Entourage • Apple iCal
najdete
Plánování zdroj˚ u se v poštovních klientech provádí pomocí zakládání událostí v kalendᡠri a funguje na stejném principu jako plánování sch˚ uzek. Kromˇ e pˇ ripojení úˇ castník˚ u ke sch˚ uzce lze nyní pˇ ripojit i libovolný zdroj, který je uveden v seznamu zdroj˚ u v Kerio MailServeru. Podrobnˇ e je plánování zdroj˚ u popsáno v pˇ ríruˇ cce uživatele. Aby bylo plánování zdroj˚ u efektivní, je d˚ uležité, aby uživatelé pˇ ri jeho rezervaci vidˇ eli, zda je na danou dobu již obsazen ˇ ci zda je volný. Tuto možnost zajišt’uje Free/Busy kalendᡠr, který se standardnˇ e používá pˇ ri plánování sch˚ uzek. Aby se rezervace zdroj˚ u ve Free/Busy kalendᡠri zobrazovaly, musí existovat kalendᡠr každého zdroje. Z toho d˚ uvodu byla v Kerio MailServeru zabudována podpora pro zdroje a jejich správu. V administraˇ cním rozhraní existuje sekce Zdroje, kam je tˇ reba pˇ ridat všechny zdroje vaší spoleˇ cnosti.
23.1 Princip funkce plánování zdroj˚ u Založením nového zdroje do Kerio MailServeru vytvoˇ ríte podobnˇ e jako pˇ ri zakládání uživatele úˇ cet, který bude obsahovat kalendᡠr zdroje. Do tohoto kalendᡠre se budou zaznamenávat veškeré rezervace. Ve veˇ rejných složkách se pˇ ri založení prvního zdroje vytvoˇ rí nová složka s kontakty nazvaná Zdroje. Tato složka bude obsahovat jednotlivé zdroje, pˇ riˇ cemž každému zdroji je pˇ ridˇ elena e-mailová adresa složená z jeho jména a domény (napˇ ríklad [email protected]). Veˇ rejná složka Zdroje slouží pˇ redevším k tomu, aby si uživatelé nemuseli názvy zdroj˚ u pamatovat, ale pˇ ri rezervaci je vybírali z nabízených podobnˇ e jako e-mailové adresy úˇ castník˚ u pˇ ri zakládání sch˚ uzek. Plánování zdroj˚ u je založeno na fungujícím Free/Busy kalendᡠri v poštovním klientovi uživatele. Díky Free/Busy je hned pˇ ri zakládání události zˇ rejmé, zda je zdroj na danou dobu již 244
23.2 Založení nového zdroje
rezervován nˇ ekým jiným ˇ ci nikoliv. Pokud uživatelé nemají funkˇ cní Free/Busy kalendᡠr, lze si kalendᡠre zdroj˚ u jednoduše pˇ rihlásit pomocí klasického sdílení nebo delegace složek. Uživatelé, kteˇ rí mají rezervaci daného zdroje povolenou si mohou kalendᡠr pˇ rihlásit s právy pro ˇ ctení, takže vidí ve svých poštovních schránkách, kdy je zdroj volný.
Správce zdroj˚ u Jak je popsáno výše, plánování zdroj˚ u je ˇ rešeno tak, aby systém rezervace zdroj˚ u spravoval samostatnˇ e. Pˇ resto v systému existuje uživatel se speciálními právy — správce zdroj˚ u, který má pˇ ristup ke kalendᡠru ˚m zdroj˚ u a m˚ uže mˇ enit jejich události, posouvat je, mazat a i vytvᡠret nové. Správce zdroj˚ u má tato práva pˇ redevším kv˚ uli ˇ rešení pˇ rípadných kolizí a priorit v rezervacích.
Doˇ casné vypnutí zdroje Zdroj, který je již založen, lze ze systému vyjmout, aniž by bylo tˇ reba jej mazat. Tuto vlastnost lze využít zejména tehdy, je-li zdroj doˇ casnˇ e nevyužitelný (napˇ ríklad je-li firemní automobil v servisu). Pokud zdroj vypnete, stane se následující: uživatel˚ um se takový zdroj pˇ restane zobrazovat ve veˇ rejné složce Zdroje, kalendᡠr zdroje si nebude možné pˇ rihlásit nebo delegovat, již pˇ rihlášené kalendᡠre budou automaticky odpojeny od schránek uživatel˚ u, pokud si daný zdroj uživatel vybere pro rezervaci, ve Free/Busy kalendᡠri se vypnutý zdroj zobrazí jako permanentnˇ e zaneprázdnˇ ený, • pokud uživatel vypnutý zdroj zarezervuje, bude mu doruˇ cena DSN zpráva o nedoruˇ citelnosti rezervace.
• • • •
Podrobnosti zdroj˚ u V kalendᡠrích zdroj˚ u se standardnˇ e nezobrazují pˇ rípadné komentᡠre, které událost obsahuje a pˇ redmˇ et zprávy. Je-li pro vás d˚ uležité, aby rezervace v kalendᡠrích zdroj˚ u tyto informace obsahovaly, proved’te následující: 1. 2. 3. 4. 5.
Zastavte Kerio MailServer. Pˇ repnˇ ete se do adresᡠre, kde je nainstalován Kerio MailServer (Kerio\MailServer) a otevˇ rete soubor mailserver.cfg. Najdˇ ete v konfiguraˇ cním souboru zdroj, kterému chcete zobrazovat podrobnosti. Hodnotu promˇ enné ClearEventSubject nastavte na 0 a zmˇ enu uložte. Spust’te Kerio MailServer.
23.2 Založení nového zdroje Nastavení zdroj˚ u lze provést v záložce Nastavení domény → Zdroje:
245
Kapitola 23 Plánování zdroj˚ u
1. 2.
3.
Kliknˇ ete na tlaˇ cítko Pˇ ridat. Do dialogu v záložce Obecné doplˇ nte název zdroje (vizte obrázek 23.1). Pamatujte na to, že název bude sloužit jako ˇ cást e-mailové adresy pˇ red zavinᡠcem. Z toho d˚ uvodu není dovoleno, aby název obsahoval diakritiku, mezery a speciální znaky. V položce Typ vyberte, zda jde o místnost ˇ ci zaˇ rízení. Zdroje jsou dˇ eleny na místnosti a zaˇ rízení z toho d˚ uvodu, že v rozhraní Kerio WebMail lze místnosti vybírat jako Umístˇ ení událostí a sch˚ uzek. Proto jako místnosti oznaˇ cte d˚ uslednˇ e všechny místnosti a jako zaˇ rízení oznaˇ cte všechny ostatní typy zdroj˚ u (napˇ ríklad projektory, tabule, mikrofony, sdílené firemní automobily atd.).
Obrázek 23.1
4.
5.
Nastavení nového zdroje — záložka Obecné
Pˇ repnˇ ete se do záložky Oprávnˇ ení a pˇ ridejte ke zdroji všechny uživatele, kteˇ rí mají nárok zdroj rezervovat (vizte obrázek 23.2). Tito uživatelé budou zdroj moci vidˇ et a vybrat v dialozích pro plánování ve svých klientech. Pˇ ridˇ elit práva je možné následujícím subjekt˚ um: • Kdokoliv — zdroj si m˚ uže zarezervovat jakýkoliv uživatel. • Všichni uživatelé ze serveru — zdroj si m˚ uže zarezervovat libovolný uživatel mající poštovní úˇ cet v daném Kerio MailServeru. • Všichni uživatelé z domény — zdroj si m˚ uže zarezervovat libovolný uživatel ze zadané poštovní domény. • Skupina — zdroj si m˚ uže zarezervovat libovolný ˇ clen zadané skupiny (nové skupiny lze definovat v administraˇ cní konzoli v sekci Nastavení domény → Skupiny). • Uživatel — zdroj si m˚ uže zarezervovat zadaný uživatel. Nastavte správce rezervací. Správcem rezervací zdroj˚ u je uživatel, kterému je umožnˇ eno zasahovat do kalendᡠre zdroj˚ u. Rezervace m˚ uže v pˇ rípadˇ e potˇ reby mazat nebo pˇ resouvat na jinou dobu. Výchozím správcem zdroj˚ u je správce domény. Pokud má zdroje spravovat jiná osoba, vyberte ji jako správce rezervací (tlaˇ cítko Vybrat).
Poznámka: Kromˇ e zadávání a mazání zdroj˚ u lze zdroj doˇ casnˇ e vyˇ radit ze seznamu (napˇ ríklad v pˇ rípadˇ e nutnosti opravy zdroje). V takové situaci staˇ cí otevˇ rít dialog pro editaci daného zdroje a v záložce Obecné zaškrtnout Zdroj není k dispozici.
246
23.2 Založení nového zdroje
Obrázek 23.2
Nastavení nového zdroje — záložka Oprávnˇ ení
247
Kapitola 24
Stavové informace
Kerio MailServer umožˇ nuje správci (popˇ r. jiné oprávnˇ ené osobˇ e) pomˇ ernˇ e detailnˇ e sledovat jeho ˇ cinnost. V podstatˇ e se jedná o tˇ ri druhy informací: sledování stavu, záznamy a statistiky. • Sledovat je možno stav fronty odchozích e-mail˚ u, pˇ ripojení k jednotlivým službám Kerio MailServeru a doruˇ cující procesy (tj. procesy odesílající jednotlivé zprávy z fronty na cílové SMTP servery). • Záznamy jsou soubory, do nichž se postupnˇ e pˇ ridávají informace o urˇ citých událostech (napˇ r. chybová ˇ ci varovná hlášení, ladicí informace atd.). O záznamech se dozvíte více v kapitole 25. • Statistiky obsahují podrobné informace o používání jednotlivých služeb Kerio MailServeru, pˇ rijatých a odmítnutých zprávách, chybách atd. Kerio MailServer také umí graficky vyhodnocovat poˇ cet pˇ ripojení k jednotlivým službám a poˇ cet zpracovaných zpráv za urˇ cité ˇ casové období. Jaké informace lze sledovat a jak lze pˇ rizp˚ usobit sledování potˇ rebám uživatele je popsáno v následujících kapitolách.
24.1 Fronta zpráv Veškeré e-maily, které pˇ res Kerio MailServer procházejí, jsou ˇ razeny do tzv. fronty zpráv. Fyzicky se jedná o adresᡠr store/queue v adresᡠri, kde je Kerio MailServer nainstalován. Do tohoto adresᡠre je každá zpráva uložena jako dva soubory: • Soubor s pˇ ríponou .eml je vlastní odesílaný e-mail • Soubor s pˇ ríponou .env je jeho SMTP obálka. Ta se používá pouze pˇ ri komunikaci mezi SMTP servery a pˇ ri uložení zprávy do cílové schránky je oˇ ríznuta (tj. zahozena). Oba tyto soubory mají shodný název, pˇ redstavující jednoznaˇ cný identifikátor zprávy. Odeslání zprávy z fronty se provádí bud’ bezprostˇ rednˇ e po jejím pˇ ríchodu do fronty, nebo vˇ casech ˇ rízených plánovaˇ cem — dle nastaveného typu internetového pˇ ripojení — vizte kapitolu 11. Odesílá-li SMTP server zprávy pˇ rímo do cílových domén (tzn. nepoužívá se žádný nadˇ razený SMTP server), m˚ uže také nastat situace, že zprávu nelze odeslat (žádný ze server˚ u cílové domény není dostupný). V tomto pˇ rípadˇ e se zpráva vrací do fronty a její odeslání je pˇ replánováno na pozdˇ ejší dobu. Poznámka: Pracuje-li server v režimu Offline, pak se zpráva zaˇ radí zpˇ et do fronty a další pokus o odeslání zprávy se provede až v nejbližším ˇ case stanoveném plánovaˇ cem (Další pokus se tedy nastavuje na konkrétní ˇ cas pouze v režimu Online). V režimu Offline (který se používá typicky u pˇ ripojení vytᡠcenou linkou) je proto výhodnˇ ejší odesílat zprávy pˇ res nadˇ razený SMTP server. 248
24.1 Fronta zpráv
Prohlížení fronty zpráv Potˇ reba zkontrolovat frontu zpráv vzniká typicky pˇ ri podezˇ rení, že zprávy ze serveru neodcházejí. Prohlížení fronty pˇ rímo v adresᡠri na disku není pˇ ríliš komfortní, navíc zpravidla v˚ ubec není možné, jestliže je Kerio MailServer spravován vzdálenˇ e (musel by být k dispozici nˇ ejaký další nástroj pro vzdálený pˇ rístup na poˇ cítaˇ c, na nˇ emž Kerio MailServer bˇ eží). Z tohoto d˚ uvodu je možné sledovat frontu také pˇ rímo v Kerio Administration Console, a to v sekci Stav → Fronta zpráv. Záložka kromˇ e fronty zpráv obsahuje také statistické údaje o aktuálním poˇ ctu zpráv ve frontˇ e a jejich celkové velikosti.
Obrázek 24.1
Fronta zpráv
Na každé ˇ rádce tohoto okna je zobrazena jedna zpráva ve frontˇ e. Sloupce obsahují následující informace: ID fronty Jedineˇ cný identifikátor zprávy. Tento identifikátor také tvoˇ rí názvy soubor˚ u, v nichž je zpráva a její obálka uložena v adresᡠri mail/queue. Vytvoˇ reno Datum a ˇ cas uložení zprávy do fronty. Další pokus Datum a ˇ cas dalšího pokusu o odeslání zprávy (interval pokus˚ u a dobu, po níž budou provádˇ eny, lze nastavit v sekci Konfigurace → SMTP server — vizte kapitolu 12.2). Zkratka ASAP znamená As Soon As Possible — ˇ cili „ihned, jakmile to bude možné“. Takto je plánováno odeslání zpráv, které jsou do fronty zaˇ razeny poprvé — v módu Online jsou odeslány okamžitˇ e a v módu Offline v nejbližším ˇ case daném plánovaˇ cem. Velikost Velikost zprávy (nezahrnuje SMTP obálku).
249
Kapitola 24 Stavové informace
Od, Komu E-mailová adresa odesílatele a pˇ ríjemce zprávy. Pokud je položka Od prázdná, pak je to systémová DSN zpráva odeslaná Kerio MailServerem. Stav Sloupec popisuje stav odeslání zprávy, resp. d˚ uvod, proˇ c zpráva nebyla odeslána.
Manipulace se zprávami ve frontˇ e Tlaˇ cítky po oknem Fronta zpráv je možno ruˇ cnˇ e spustit následující akce: Obnovit K obnovení informací v oknˇ e Fronta zpráv dochází vždy, když nastane ve frontˇ e nˇ ejaká zmˇ ena. Kromˇ e toho je možné zobrazení obnovit ruˇ cnˇ e tlaˇ cítkem Obnovit. Odstranit zprávy Odstranˇ ení zpráv z fronty. Tlaˇ cítko obsahuje menu, kde je možné vybrat, zda mají být odstranˇ eny z fronty vybrané zprávy, všechny zprávy nebo zprávy odpovídající kritériím (elektronické adresy odesílatele a pˇ ríjemce). Zkus odeslat okamžitˇ e Pokus o okamžité odeslání vybrané zprávy. Odeslat zprávy z fronty Zahájení odesílání zpráv z odchozí fronty.
24.2 Zpracování fronty zpráv Pˇ ri zpracování fronty zpráv vytvoˇ rí Kerio MailServer pro každou zprávu nový proces, který provede její zpracování (doruˇ cení do lokální schránky nebo na vzdálený SMTP server, antivirovou kontrolu atd.), a poté se ukonˇ cí. Takovýchto proces˚ u m˚ uže být spuštˇ eno nˇ ekolik souˇ casnˇ e (paralelnˇ e) — z toho vyplývá, že Kerio MailServer je schopen odesílat více odchozích zpráv souˇ casnˇ e. Maximální poˇ cet odesílajících proces˚ u lze nastavit v sekci Konfigurace → Vlastnosti SMTP, záložka Volby, parametr Maximální poˇ cet doruˇ cujících proces˚ u (výchozí hodnota je 32). V sekci Stav → Fronta zpráv v záložce Zpracování fronty zpráv je možno tyto procesy sledovat (kdy byl proces vytvoˇ ren, jakou zprávu zpracovává, na který SMTP server je odesílána...) a zjišt’ovat jejich stav (antivirová kontrola, odesílání, lokální doruˇ cování...). Jednotlivé sloupce okna mají následující význam: ID Jednoznaˇ cný identifikátor zprávy, kterou proces zpracovává (odpovídá ID zprávy ve frontˇ e a názvu souboru v adresᡠri mail/queue). Velikost Velikost doruˇ cované zprávy (v bytech).
250
24.3 Aktivní spojení
Obrázek 24.2
Zpracování fronty zpráv
Od, Komu E-mailová adresa odesílatele a pˇ ríjemce zprávy. Stav Stav procesu: Spouští se, Zálohování, Filtrování obsahu (kontrola na zakázané typy pˇ ríloh), Antivirová kontrola, Lokální doruˇ cování (jestliže se zpráva ukládá do lokální schránky), SMTP doruˇ cování (jestliže se odesílá na jiný SMTP server), Ukonˇ cuje se (závˇ ereˇ cná fáze, ukonˇ cení procesu). Proces nemusí nutnˇ e projít všemi uvedenými fázemi — je-li napˇ r. vypnuto zálohování pošty, fáze Zálohování se pˇ reskoˇ cí. Server SMTP server, na nˇ ejž je zpráva doruˇ cována (pouze ve fázi SMTP doruˇ cování). ˇ Cas Doba bˇ ehu procesu (ˇ cas od jeho vytvoˇ rení). Procent Informace o pr˚ ubˇ ehu odesílání zprávy (jaká ˇ cást zprávy již byla odeslána). Informace v oknˇ e Doruˇ cující procesy jsou automaticky obnovovány, navíc je také možno je aktualizovat ruˇ cnˇ e tlaˇ cítkem Obnovit.
24.3 Aktivní spojení V sekci Stav → Aktivní spojení lze sledovat veškerá sít’ová pˇ ripojení ke Kerio MailServeru, a to jednak k jeho službám (SMTP, POP3 atd.), a jednak ke správˇ e (programem Kerio Administration Console).
Aktivní spojení Na každé ˇ rádce této záložky je zobrazeno jedno spojení. Jedná se o sít’ová spojení, nikoliv pˇ ripojení uživatel˚ u (každý klientský program m˚ uže napˇ r. z d˚ uvodu pˇ rijímání a odesílání zpráv najednou navázat více spojení souˇ casnˇ e). Sloupce zobrazují následující informace:
251
Kapitola 24 Stavové informace
Obrázek 24.3
Aktivní spojení
Protokol Typ protokolu, který klient používá (resp. služby, k níž je pˇ ripojen). Pojmenování koresponduje s názvy služeb v sekci Konfigurace → Služby, ADMIN znamená pˇ ripojení ke správˇ e programem Kerio Administration Console. Zabezpeˇ cený Volba umožˇ nuje zabezpeˇ cení spojení protokolem SSL (technická poznámka: vzdálená správa umožˇ nuje pouze zabezpeˇ cené pˇ ripojení). ˇ Cas Doba pˇ ripojení klienta. U nˇ ekterých služeb funguje timeout — automatické odpojení klienta pˇ ri neˇ cinnosti (jestliže se spojením nepˇ renášejí žádná data). Od IP adresa, z níž se klient pˇ ripojuje. Namísto IP adresy je zde možné zobrazit DNS jméno klienta získané reverzním DNS dotazem, jestliže je zapnuta volba Provádˇ et reverzní DNS dotazy na pˇ ríchozí spojení v sekci Konfigurace → Upˇ resˇ nující nastavení (vizte též kapitolu 12.6). Doporuˇ cujeme zapínat tuto volbu pouze v pˇ rípadˇ e, chcete-li cílenˇ e sledovat, odkud se klienti pˇ ripojují — reverzní dotazy zpomalují ˇ cinnost serveru. Uživatel Jméno pˇ rihlášeného uživatele. V nˇ ekterých pˇ rípadech se jméno nezobrazuje (napˇ r. pˇ ripojení k SMTP serveru, není-li vyžadováno ovˇ eˇ rení uživatele — klient je anonymní). Informace Další informace o pˇ ripojení (napˇ r. IMAP složka, verze administraˇ cního programu atd.). Informace v oknˇ e Aktivní spojení jsou automaticky obnovovány, navíc je také možno je obnovit ruˇ cnˇ e tlaˇ cítkem Obnovit.
252
24.4 Otevˇ rené složky
Aktivní pˇ ripojení k rozhraní WebMail V této záložce jsou zobrazováni uživatelé pˇ ripojení k rozhraní Kerio WebMail. Každý ˇ rádek zaznamenává jednoho uživatele (jeho elektronickou adresu), IP adresu, ze které se pˇ ripojuje ke Kerio MailServeru a ˇ cas automatického konce pˇ ripojení.
Obrázek 24.4
Aktivní pˇ ripojení k webovému rozhraní
Uživatel Uživatel pˇ ripojený pˇ res Kerio WebMail ke Kerio MailServeru. Adresa klienta IP adresa poˇ cítaˇ ce, ze kterého se uživatel pˇ ripojuje ke Kerio MailServeru. Skonˇ cí Rozhraní Kerio WebMail provádí z bezpeˇ cnostních d˚ uvod˚ u automatické odhlášení uživatele po urˇ cité dobˇ e neˇ cinnosti (1 hodina). Komponenta Uživatel m˚ uže být k serveru pˇ ripojen tˇ remi r˚ uznými komponentami — Kerio WebMailem (HTTP/WebMail), Kerio WebMailem Mini (HTTP/WebMail Mini) a Kerio Web Administration (HTTP/WebAdmin).
24.4 Otevˇ rené složky Sekce Stav → Otevˇ rené složky zobrazuje všechny uživatele, kteˇ rí mají ve svých poštovních klientech otevˇ reny nˇ ejaké složky. Tato sekce zobrazuje o složkách následující informace: Jméno Název uživatelské složky ve tvaru ~uzivatelske_jmeno@domena/nazev slozky
253
Kapitola 24 Stavové informace
Obrázek 24.5
Otevˇ rené složky
Uživatelské úˇ cty Položka obsahuje všechny uživatele, kteˇ rí mají v daném ˇ case složku otevˇ renou. Uživatel˚ u m˚ uže být více najednou v pˇ rípadˇ e veˇ rejných nebo sdílených složek. Poˇ cet referencí Položka zobrazuje poˇ cet uživatel˚ u, kteˇ rí mají v daném ˇ case složku otevˇ renou. Uživatel˚ u m˚ uže být více najednou v pˇ rípadˇ e veˇ rejných nebo sdílených složek. Stejnˇ e tak m˚ uže být jedna složka otevˇ rena vícekrát jedním uživatelem. Index naˇ cten Položka signalizuje, zda byl serverem naˇ cten soubor index.fld, díky kterému se uživateli správnˇ e zobrazují r˚ uzné informace ke zprávám (pˇ ríznaky, informace o tom, zda je zpráva oznaˇ cena jako smazaná nebo pˇ reˇ ctená, atd.). Tlaˇ cítko Obnovit v levém dolním rohu sekce ruˇ cnˇ e aktualizuje zobrazení otevˇ rených složek. Poznámka: Obnovu zobrazení je možné nastavit také periodicky v urˇ cených ˇ casových intervalech. Zapnout a nastavit automatické obnovování lze pˇ res kontextové menu (nabídka vyvolaná pravým tlaˇ cítkem myši).
24.5 Grafy V sekci Stav → Grafy je možno graficky sledovat poˇ cet pˇ ripojení k jednotlivým službám Kerio MailServeru a poˇ cet zpracovaných zpráv (pˇ ríchozích i odchozích) za urˇ cité ˇ casové období. Graf umožˇ nuje nastavení následujících parametr˚ u: Sledovaný parametr První pole slouží pro výbˇ er sledovaného parametru: • • • • •
Pˇ ripojení Pˇ ripojení Pˇ ripojení Pˇ ripojení Pˇ ripojení
/ / / / /
HTTP — poˇ cet pˇ ripojení ke službˇ e HTTP IMAP — poˇ cet pˇ ripojení ke službˇ e IMAP LDAP — poˇ cet pˇ ripojení ke službˇ e LDAP NNTP — poˇ cet pˇ ripojení ke službˇ e NNTP Odchozí SMTP — poˇ cet odchozích spojení služby SMTP 254
24.5 Grafy
Obrázek 24.6
Grafy v Kerio MailServeru
• Pˇ ripojení / Odmítnuté SMTP — poˇ cet odmítnutých pˇ ripojení ke službˇ e SMTP (pˇ ripojení odmítnutá spamovým filtrem Odrazování spammer˚ u) • Pˇ ripojení / POP3 — poˇ cet pˇ ripojení ke službˇ e POP3 • Pˇ ripojení / SMTP — poˇ cet pˇ ripojení ke službˇ e SMTP • Zprávy / Pˇ rijaté — poˇ cet zpráv zpracovaných poštovním serverem (souˇ cet odchozích a pˇ ríchozích SMTP zpráv a zpráv stažených ze vzdálených POP3 schránek) • Zprávy / Spam — poˇ cet zpráv oznaˇ cených antispamovým filtrem jako spam ˇ Casové období Ve druhém poli je možno vybrat ˇ casové období, ve kterém má být sledování provádˇ eno (v rozsahu 2 hodiny — 30 dní). Zvolené ˇ casové období je vždy bráno od aktuálního ˇ casu do minulosti („poslední 2 hodiny“, „posledních 30 dní“, apod.). Komentᡠr pod grafem zobrazuje interval vzorkování (tj. interval, za který se hodnoty seˇ ctou a zaznamenají do grafu). Pˇ ríklad: Je-li zvoleno ˇ casové období 2 hodiny, provádí se vzorkování po 20 sekundách. To znamená, že se každých 20 sekund zaznamená do grafu poˇ cet pˇ ripojení (resp. zpráv) za uplynulých 20 sekund. Pod grafem jsou umístˇ ena tˇ ri tlaˇ cítka: • Tlaˇ cítko Obnovit umožˇ nuje okamžitou aktualizaci grafu. • Pomocí tlaˇ cítka Uložit umístˇ eného pod grafem lze tento graf uložit jako obrázek ve formátu PNG. • Tlaˇ cítko Nastavení otevírá dialog pro detailní nastavení vlastností grafu.
255
Kapitola 24 Stavové informace
Obrázek 24.7 Nastavení grafu
Osa Y Nastavení minimální a maximální hodnoty na ose y Poznámka: Mˇ eˇ rítko osy x je pevnˇ e dáno vybraným ˇ casovým intervalem. ˇ Cas Volba, který ˇ cas má být v grafu zobrazován (ˇ cas serveru nebo lokální ˇ cas poˇ cítaˇ ce, na nˇ emž bˇ eží Kerio Administration Console). Obecnˇ e platí následující: • Je-li Kerio Administration Console spuštˇ ena pˇ rímo na poˇ cítaˇ ci, kde je Kerio MailServer nainstalován, jsou tyto ˇ casy vždy shodné. • Totéž platí, pokud je ˇ cas na obou poˇ cítaˇ cích synchronizován (napˇ r. protokolem NTP ˇ ci ve Windows NT doménˇ e). • Není-li ˇ cas synchronizován, ale oba poˇ cítaˇ ce jsou ve stejném ˇ casovém pásmu, doporuˇ cujeme používat ˇ cas serveru. • Je-li každý z tˇ echto poˇ cítaˇ cu ˚ v jiném ˇ casovém pásmu, zvolte ˇ cas serveru nebo administraˇ cní konzoly podle potˇ reby. Zobrazit mˇ rížku Volba umožˇ nuje zobrazit nebo skrýt mˇ rížku v pˇ ríslušném grafu. Barva kˇ rivky v grafu Volba barvy kˇ rivky, která má být v grafu použita. Tlaˇ cítkem Zmˇ enit lze otevˇ rít standardní okno s paletou a vybrat zde vyhovující barvu.
24.6 Statistiky K zobrazení statistických údaj˚ u slouží sekce Stav → Statistiky. Pro lepší pˇ rehlednost jsou informace v této sekci rozdˇ eleny do tabulek (napˇ r. „Využití diskového prostoru“, „Zprávy odeslané
256
24.6 Statistiky
na nadˇ razený SMTP server“, „Statistika POP3 klienta“ apod.). Každá tabulka zobrazuje data, která k sobˇ e tématicky patˇ rí. Sekce Statistiky obsahuje nˇ ekolik tlaˇ cítek:
Obrázek 24.8
Zobrazení statistik
Obnovit Tlaˇ cítko slouží k pr˚ ubˇ ežným obnovám dat ve statistikách. TIP Konkrétní statistika se obnoví také v pˇ rípadˇ e, že klikneme na její záhlaví. Základní režim/Rozšíˇ rený režim Statistiky mají dva režimy: • Základní režim — obsahuje pouze ˇ ctyˇ ri nejpoužívanˇ ejší statistiky: Stav serveru, Využití diskového prostoru, Statistika antivirové kontroly a Statistika spamového filtru. • Rozšíˇ rený režim — obsahuje všechny statistiky. Uložit jako Tlaˇ cítko slouží k uložení statistiky v HTML formátu.
257
Kapitola 24 Stavové informace
Vynulovat Tlaˇ cítko umožˇ nuje restart poˇ cítání údaj˚ u. To znamená, že se všechny statistiky zaˇ cnou poˇ cítat znovu od zaˇ cátku. Upozornˇ ení Všechny statistiky jsou mˇ eˇ reny vždy od prvního spuštˇ ení Kerio MailServeru nebo od posledního restartu statistik. Vpravo dole v sekci Statistiky jsou zobrazeny datum a ˇ cas poˇ cátku poˇ cítání statistik.
258
Kapitola 25
Záznamy
Záznamy jsou soubory, do nichž se postupnˇ e pˇ ridávají informace o urˇ citých událostech (napˇ r. chybová ˇ ci varovná hlášení, ladicí informace atd.). Každá položka je zapsána na jedné ˇ rádce a uvozena ˇ casovou znaˇ ckou (datum a ˇ cas, kdy událost nastala, s pˇ resností na sekundy). Zprávy vypisované v záznamech jsou ve všech jazykových verzích Kerio MailServeru anglicky (generuje je pˇ rímo Kerio MailServer Engine).
25.1 Nastavení záznam˚ u V oknˇ e každého záznamu se po stisknutí pravého tlaˇ cítka myši zobrazí kontextové menu, v nˇ emž lze zvolit r˚ uzné funkce nebo zmˇ enit parametry záznamu (zobrazení, pˇ ríp. sledované informace).
Obrázek 25.1
Kontextové menu v záznamech
Kopírovat Zkopírování oznaˇ ceného textu do schránky (clipboardu). Pro tuto funkci lze využít také klávesové zkratky operaˇ cního systému (napˇ r. ve Windows Ctrl+C nebo Ctrl+Insert). Uložit záznam Pomocí volby Uložit záznam je možno celý záznam nebo jeho ˇ cást uložit do libovolného souboru na disku. Volby dialogu jsou následující: 259
Kapitola 25 Záznamy
Obrázek 25.2
Uložit záznam
• Formát — Záznam m˚ uže být uložen bud’ formou prostého textu (TXT) nebo ve formátu HTML. Bude-li záznam uložen v HTML formátu, z˚ ustane zachováno nastavené kódování a také barva, pokud bylo nastaveno zvýrazˇ nování. Záznam v textovém formátu m˚ uže být lepší volbou, pokud bude záznam dále zpracováván nˇ ejakým skriptem. • Zdroj — Volba umožní uložit bud’ celý záznam nebo také vybraný text záznamu oznaˇ cený kurzorem. Volba Pouze vybraný text standardnˇ e není aktivní. Pouze v pˇ rípadˇ e, že je ˇ cást záznamu oznaˇ cena kurzorem, bude možné vyznaˇ cenou ˇ cást uložit. Najít Umožní vyhledat konkrétní ˇ rádek záznamu. Do pole Najít zadejte ˇ retˇ ezec, který má být vyhledán.
Obrázek 25.3
Vyhledávání
• Hledat od — Vyhledávání lze nastavit bud’ od zaˇ cátku záznamu, nebo od zaˇ cátku zobrazeného textu (vyhledávat se bude pouze v textu, který je zobrazen v oknˇ e), a nebo od posledního nalezeného výskytu. • Smˇ er — Touto položkou lze nastavit smˇ er prohledávání textu (Nahoru, Dol˚ u).
260
25.1 Nastavení záznam˚ u
Zvýrazˇ nování Kerio MailServer umožˇ nuje zvýraznit jakýkoliv text v záznamu. Toto zvýraznˇ ení slouží pˇ redevším ke zlepšení orientace v záznamu. Po kliknutí na volbu Zvýraznˇ ení se otevˇ re okno, kde je možno zadávat, mˇ enit a mazat zvýraznˇ ení pomocí standardních tlaˇ cítek Pˇ ridat, Zmˇ enit a Odebrat.
Obrázek 25.4
Zvýrazˇ nování
Nastavit parametry nového zvýraznˇ ení lze v oknˇ e Pˇ ridat zvýraznˇ ení: • Popis — zvýraznˇ ení m˚ uže být libovolné množství, a proto lze pro lepší orientaci každé výstižnˇ e popsat. • Podmínka (podˇ retˇ ezec) — v záznamu bude barevnˇ e odlišen každý ˇ rádek, který bude obsahovat ˇ retˇ ezec zadaný do tohoto pole. Po zaškrtnutí možnosti Interpretovat jako regulární výraz, lze do pole zapsat libovolný regulární výraz (komplexní definice, pro zkušené uživatele). Regulární výrazy (regular expression) jsou speciální jazyky standardu POSIX pro popis ˇ retˇ ezce. Jsou tvoˇ reny sadou flexibilních vzor˚ u, které programy porovnávají s r˚ uznými ˇ retˇ ezci. • Barva — menu obsahuje barevnou škálu, kterou je možno použít ke zvýraznˇ ení textu. Každé nastavené zvýraznˇ ení platí pro všechny typy záznamu. Nastavené zvýraznˇ ení se projeví na všech ˇ rádcích vyhovujících podmínce v celém záznamu. Vybrat písmo Volba umožˇ nuje otevˇ rení standardního okna pro nastavení velikosti, stylu a typu písma záznamu. Kódování znak˚ u Nastavení kódování pro pˇ ríslušný záznam. Nastavení záznamu Tato volba otevírá dialog, kde je možné nastavit podmínky, za jakých bude záznam vymazán nebo uložen, a kam bude uložen. Záložka Záznam do souboru
261
Kapitola 25 Záznamy
Obrázek 25.5
Ukládání záznam˚ u
• Povolit záznam do souboru — volba umožní zápis záznamu do souboru. Do pole Cesta lze zapsat cestu k souboru, kam se budou záznamy zapisovat. • Rotovat pravidelnˇ e — vyberete jeden z následujících ˇ casových údaj˚ u: • Každou hodinu — záznam je každou hodinu archivován a zaˇ cne se zapisovat do nového souboru. • Každý den — záznam je rotován každých 24 hodin. • Každý týden — záznam je rotován vždy jednou týdnˇ e. • Každý mˇ esíc — záznam je rotován každý mˇ esíc. • Rotovat, jestliže velikost souboru pˇ resáhne — v poli Max. velikost souboru záznamu lze nastavit archivaci záznam˚ u podle velikosti souboru (v KB). • Uchovávat nejvýše ... soubor˚ u záznamu. — poˇ cet soubor˚ u záznamu, které mají z˚ ustat uchovány. Pˇ ri každé rotaci záznamu se vždy nejstarší soubor smaže. Záložka Externí záznam Záložka Externí záznam umožˇ nuje nastavení parametr˚ u pro odesílání záznamu na Syslog server. • Povolit záznam na Syslog server — volba umožˇ nuje zapnout/vypnout záznam na server Syslog. • Syslog server — DNS jméno nebo IP adresa Syslog serveru. • Typ záznamu — slouží mimo jiné k rozlišení, odkud záznam pˇ rišel (Syslog server 262
25.2 Config
Obrázek 25.6
Ukládání logu na Syslog server
m˚ uže pˇ rijímat záznamy z mnoha r˚ uzných zdroj˚ u). • D˚ uležitost — nastavení d˚ uležitosti záznamu (Syslog server umožˇ nuje filtrování záznam˚ u podle stupnˇ e d˚ uležitosti). Smazat záznam Smazání okna záznamu (informace se smažou i z pˇ ríslušného souboru). Zprávy Možnost detailního nastavení informací, které mají být sledovány (podrobnosti vizte dále). Pouze v sekci Debug.
25.2 Config Záznam Config uchovává kompletní historii komunikace Kerio Administration Console s Kerio MailServer Engine — z tohoto záznamu lze zjistit, který uživatel kdy provádˇ el jaké administraˇ cní úkony. Do okna Config jsou zapisovány tˇ ri druhy záznam˚ u: Informace o pˇ rihlašování uživatel˚ u ke správˇ e Kerio MailServeru Pˇ ríklad: [30/Jun/2004 09:09:18] Admin - session opened for host 127.0.0.1 • [30/Jun/2004 09:09:18] — datum a ˇ cas, kdy byl záznam zapsán • Admin — jméno uživatele pˇ rihlášeného ke správˇ e Kerio MailServeru. • session opened for host 127.0.0.1 — informace o zahájení komunikace a IP adrese poˇ cítaˇ ce, ze kterého se uživatel pˇ ripojuje Zmˇ eny v konfiguraˇ cní databázi Jedná se o zmˇ eny provedené uživatelem v Kerio Administration Console. Pro pˇ ríklad si uved’me založení nového uživatelského úˇ ctu. [30/Jun/2004 13:09:48] Admin - insert User set Name=’tjandak’, Domain=’firma.cz’, Account_enabled=’1’,
263
Kapitola 25 Záznamy
Auth_type=’0’, Password=xxxxxx, Rights=’1’, ForwardMode=’0’, Qstorage=’10485760’, Qmessage=’5000’ • [30/Jun/2004 13:09:48] — datum a ˇ cas, kdy byl záznam zapsán • Admin — jméno uživatele pˇ rihlášeného ke správˇ e Kerio MailServeru. • insert User set Name=’tjandak’... — zápis parametr˚ u, které byly novému uživatelskému úˇ ctu nastaveny Ostatní konfiguraˇ cní zmˇ eny Typickým pˇ ríkladem je zálohovací cyklus. Po stisknutí tlaˇ cítka Použít v sekci Konfigurace → Zálohování se do záznamu Config vypíše datum a ˇ cas každé zálohy. [30/Jun/2004 09:29:08] Admin - Store backup started • [30/Jun/2004 09:29:08] — datum a ˇ cas zaˇ cátku zálohování • Admin — jméno uživatele pˇ rihlášeného ke správˇ e Kerio MailServeru. • Store backup started — informace o spuštˇ ení zálohy
25.3 Mail Záznam Mail obsahuje informace o jednotlivých zprávách, které byly Kerio MailServerem zpracovány. Záznam obsahuje všechny typy zpráv: • • • •
pˇ ríchozí zprávy, odchozí zprávy, zprávy e-mailových konferencí, DSN (Delivery Status Notification).
Pˇ ríchozí a odchozí zprávy Všechny zprávy, které byly pˇ rijaty serverem pˇ res protokoly SMTP, HTTP nebo byly staženy protokolem POP3. Pro pˇ ríklad m˚ užeme uvést dva ˇ rádky patˇ rící k jedné zprávˇ e a blíže si rozebereme jejich jednotlivé položky: [30/Nov/2005 17:57:14] Recv: Queue-ID: 438dd9ea-00000000, [30/Nov/2005 17:57:14] Recv: Queue-ID: 438dd9ea-00000000, Service: SMTP, From: <[email protected]>, To: <[email protected]>, Size: 1229, User: [email protected], Sender-Host: 195.39.55.2, SSL: yes [30/Nov/2005 17:57:15] Sent: Queue-ID: 438dd9ea-00000000, Recipient: <[email protected]>, Result: delivered, Status: 2.0.0 • [30/Nov/2005 17:57:14] — datum a ˇ cas, kdy byla doruˇ cena nebo odeslána zpráva. • Recv/Sent — toto pole obsahuje informaci, zda server zprávu pˇ rijal, ˇ ci zda ji odesílá. Proto se zde mohou vyskytovat dvˇ e položky: Sent nebo Recv (received). • Queue-ID: 438d6fb6-00000003 — ˇ císlo, které od serveru zpráva obdržela ve frontˇ e odchozích zpráv. Slouží jako identifikátor, který oznaˇ cuje stejným ˇ císlem 264
25.3 Mail
•
• • • • • • • • •
všechny ˇ rádky patˇ rící k jedné zprávˇ e. Každá zpráva je serverem nejprve pˇ rijata, a poté odeslána. V záznamu se tedy objeví ke každé zprávˇ e nejménˇ e dva ˇ rádky (pˇ ríjem zprávy a její odeslání). Nejménˇ e proto, že zpráva m˚ uže být doruˇ cena více pˇ ríjemc˚ um (každý další pˇ ríjemce znamená další ˇ rádek v záznamu). Service: HTTP — protokol, pˇ res který byla zpráva pˇ rijata serverem (HTTP, SMTP). Tuto informaci lze najít pouze u pˇ ríchozích zpráv. U odchozích zpráv se tato informace nezobrazuje, protože nemá smysl. Všechny odchozí zprávy jsou odesílány protokolem SMTP. From: <[email protected]> — elektronická adresa odesílatele. To: <[email protected]> — elektronická adresa pˇ ríjemce. Size: 378 — velikost zprávy v bytech. User: [email protected] — uživatelský úˇ cet, ze kterého byla zpráva odeslána. Sender-Host: 195.39.55.2 — IP adresa poˇ cítaˇ ce, ze kterého byla zpráva odeslána. SSL: yes — informuje o použití šifrovaného spojení (zobrazuje se pouze u protokolu SMTP). Recipient: <[email protected]> — elektronická adresa pˇ ríjemce. Result: delivered — výsledek pokusu o doruˇ cení zprávy. Status: 2.0.0 — kód odpovˇ edi protokolu SMTP (více vizte RFC 821 a 1893). Pokud kód zaˇ cíná ˇ císlicí 2, zpráva byla úspˇ ešnˇ e doruˇ cena. Zaˇ cíná-li kód ˇ císlicí 4 nebo 5, pak zpráva doruˇ cena nebyla.
Zprávy generované serverem Tento typ zprávy generuje Kerio MailServer. Napˇ ríklad pokud zpráva nem˚ uže být doruˇ cena, server tuto skuteˇ cnost formou DSN sdˇ elí odesílateli. [30/Nov/2005 15:31:40] Recv: Queue-ID: 438db7cc-00000000, Service: DSN, From: <>, To: <[email protected]>, Size: 1650, Report: failed • [30/Nov/2005 15:31:40] — datum a ˇ cas, kdy byla zpráva vygenerována • Recv: — toto pole obsahuje informaci, zda server zprávu pˇ rijal, ˇ ci zda ji odesílá. Proto se zde mohou vyskytovat dvˇ e položky: Sent nebo Received. • Queue-ID: 438db7cc-00000000 — ˇ císlo, které od serveru zpráva obdržela ve frontˇ e odchozích zpráv. • Service: DSN — Delivery Status Notification; zprávy generované Kerio MailServerem. • From: <> — položka je prázdná, protože zpráva je generována serverem. • To: <[email protected]> — elektronická adresa pˇ ríjemce. • Size: 1650 — velikost zprávy v bytech. • Report: failed — typ hlášení. Zprávy konferencí Mail záznam obsahuje všechny zprávy e-mailových konferencí. Zaznamenány jsou jak
265
Kapitola 25 Záznamy
jednotlivé pˇ ríspˇ evky do konferencí, tak ˇ rídící zprávy konference. [30/Nov/2005 19:09:11] Recv: Queue-ID: 438deac7-00000009, Service: List, From:
25.4 Security Záznam Security obsahuje informace, které souvisejí s bezpeˇ cností Kerio MailServeru. Také obsahuje záznam o všech zprávách, které nebylo možno doruˇ cit. Jedná se zejména o tyto typy událostí: Nalezené viry a zakázané pˇ rílohy Pro pˇ ríklad uved’me zprávu, v níž byl obsažen vir: [16/Jun/2004 18:37:17] Found virus in mail from <[email protected]> to <[email protected]>: W32/Netsky.p@MM • • • • •
[16/Jun/2004 18:37:17] — datum a ˇ cas, kdy byl virus nalezen. Found virus in mail — provedená akce (zpráva o nalezení viru). from <[email protected]> — elektronická adresa odesílatele. to <[email protected]> — elektronická adresa pˇ ríjemce. W32/Netsky.p@MM — typ nalezeného viru.
Odmítnutí spam filtrem Zpráva s pˇ ríliš vysokým hodnocením spamového filtru: [16/Jun/2004 18:37:17] Message from <[email protected]> to <[email protected]> rejected by spam filter: score 9.74, threshold 5.00 • [16/Jun/2004 18:37:17] — datum a ˇ cas, kdy byla zpráva odmítnuta. • from <[email protected]> — elektronická adresa odesílatele. 266
25.4 Security
• to <[email protected]> — elektronická adresa pˇ ríjemce. • rejected by spam filter — provedená akce (odmítnutí zprávy spamovým filtrem). • score 9.74, threshold 5.00 — hodnocení spamového filtru SpamAssassin. Neúspˇ ešné pokusy o pˇ rihlášení Záznam obsahuje neplatné pokusy o pˇ rihlášení. Obvyklou pˇ ríˇ cinou bývá neplatné jméno/heslo nebo nepovolená IP adresa. D˚ uvod neúspˇ ešného pokusu o pˇ rihlášení m˚ užete nalézt také v záznamu Warning (kapitola 25.5). [13/Apr/2004 17:35:49] Failed IMAP login from 192.168.36.139, missing parameter in AUTHENTICATE header • [13/Apr/2004 17:35:49] — datum a ˇ cas neúspˇ ešného pokusu o pˇ rihlášení. • Failed IMAP login — provedená akce (neúspˇ ešný pokus o pˇ rihlášení). • from 192.168.36.139 — IP adresa, ze kterého byl pokus uˇ cinˇ en. D˚ uvod˚ u neúspˇ echu pˇ rihlášení m˚ uže být nˇ ekolik: • missing parameter in AUTHENTICATE header — byla poslána špatná nebo neplatná hlaviˇ cka s pˇ rihlašovacími informacemi, • authentication method PLAIN is disabled — použitá autentizaˇ cní metoda je v Kerio MailServeru vypnutá, • authentication method CRAM_MD5 is invalid or unknown — Kerio MailServer neumí nebo nezná tuto metodu ovˇ eˇ rování, • error during authentication with method CRAM-MD5 — došlo k chybˇ e pˇ ri ovˇ eˇ rování hesla, napˇ r. chyba pˇ ri komunikaci s ovˇ eˇ rovacím serverem, • authentication with method CRAM-MD5 cancelled by user — uživatel (klient) pˇ rerušil ovˇ eˇ rování, • (Failed IMAP login from 127.0.0.1), authentication method PLAIN — uživatel nebyl ovˇ eˇ ren (uživatel neexistuje, špatnˇ e zadané heslo, uživatelský úˇ cet v Kerio MailServeru je vypnutý nebo nelze ovˇ eˇ rit jméno a heslo uživatele, protože daná metoda ovˇ eˇ rování neposkytuje dostatek údaj˚ u pro ovˇ eˇ rení uživatele v Active Directory). Pokusy o zneužití serveru (relaying) Pro pˇ ríklad pokusu o relaying si uved’me: [11/Jun/2004 00:36:07] Relay attempt from IP address 61.216.46.197, mail from <[email protected]> to
[11/Jun/2004 00:36:07] — datum a ˇ cas pokusu o zneužití serveru. Relay attempt — provedená akce (neúspˇ ešný pokus relaying). 61.216.46.197 — IP adresa, ze které byl pokus o relaying uˇ cinˇ en. from <[email protected]> — adresa odesílatele. to
Kapitola 25 Záznamy
Antibombing cnostní volby. Ochrana proti zahlcení serveru — vizte kapitolu 12.2, sekce Bezpeˇ [16/Jun/2004 18:53:43] Directory harvest attack from 213.7.0.87 detected • • • •
[16/Jun/2004 18:53:43] — datum a ˇ cas neúspˇ ešného útoku. Directory harvest attack — typ útoku. from 213.7.0.87 — IP adresa, ze které byl pokus o útok uˇ cinˇ en. detected — provedená akce (zjištˇ eno a zakázáno).
Nalezení odesílatele v databázích zakázaných server˚ u Odesílatel byl nalezen v databázi zakázaných server˚ u (ORDB, vlastní skupina IP adres). [13/Apr/2004 17:44:02] IP address 212.76.71.93 found in DNS blacklist ORDB, mail from <[email protected]> to <[email protected]> • [13/Apr/2004 17:44:02] — datum a ˇ cas pˇ rijetí zprávy. • 212.76.71.93 — IP adresa, ze které byla zpráva odeslána. • found in DNS blacklist ORDB — typ akce (adresa byla nalezena v databázi zakázaných server˚ u). • from <[email protected]> — elektronická adresa odesílatele. • to <[email protected]> — elektronická adresa pˇ ríjemce. Vzdálené vyˇ cištˇ ení mobilního zaˇ rízení Uživateli bylo odcizeno mobilní zaˇ rízení (nebo ho ztratil) a správce odstranil ze zaˇ rízení všechna data uživatele (více vizte sekci 36.5). V záznamu Security se mohou objevit v podstatˇ e tˇ ri typy záznamu o vyˇ cištˇ ení mobilního zaˇ rízení. První záznam se týká zahájení vyˇ cištˇ ení. Tento záznam se pˇ ri vyˇ cištˇ ení zaˇ rízení objevuje vždy. V této fázi lze obvykle vyˇ cištˇ ení ještˇ e stornovat. Druhý typ záznamu se tedy objeví právˇ e pˇ ri stornování vyˇ cištˇ ení zaˇ rízení. Tˇ retí záznam se vyskytne, pokud vyˇ cištˇ ení nebylo stornováno a vyˇ cištˇ ení se skuteˇ cnˇ e provede. To probˇ ehne pˇ ri prvním následujícím pˇ ripojení zaˇ rízení k serveru. • První pˇ ríklad záznamu zobrazuje jeho iniciaci: [22/Aug/2006 12:30:23] Device with id C588E60FCF2FB2C107FBF2ABE09CA557(user: [email protected]) will be wiped out by request Admin • Druhý pˇ ríklad záznamu zobrazuje jeho stornování: [22/Aug/2006 12:36:51] Wiping out of the device C588E60FCF2FB2C107FBF2ABE09CA557 (user: [email protected]) has been cancelled by Admin • Tˇ retí pˇ ríklad zobrazuje oznámení o vymazání zaˇ rízení: [22/Aug/2006 12:31:11] Device C588E60FCF2FB2C107FBF2ABE09CA557 268
25.5 Warning
(user: [email protected]), connected from: 192.168.44.178 has been irrecoverable wiped out
25.5 Warning Záznam Warning zobrazuje varovná hlášení, což jsou ve své podstatˇ e chyby, které nemají závažný charakter. Typickým pˇ ríkladem takového varování m˚ uže být napˇ r. zpráva, že uživatel s administrátorskými právy má prázdné heslo, že uživatelský úˇ cet tohoto jména neexistuje, nebo že vzdálený POP3 server je nedosažitelný. Události, které zp˚ usobují varovná hlášení v tomto záznamu, nemají zásadní vliv na ˇ cinnost Kerio MailServeru, mohou však signalizovat urˇ cité (pˇ rípadnˇ e potenciální) problémy, napˇ r. u konkrétních uživatel˚ u. Záznam Warning m˚ uže pomoci napˇ r. v pˇ rípadˇ e, jestliže si jeden uživatel stˇ ežuje na nefunkˇ cnost nˇ ekterých služeb.
25.6 Operations Záznam Operations ukládá informace o mazání a pˇ resunu položek (zpráv, kontakt˚ u, událostí, úkol˚ u a poznámek) v uživatelských schránkách. Je výhodný hlavnˇ e tehdy, nem˚ uže-li uživatel najít nˇ ejakou zprávu ve své schránce. Ze záznamu lze snadno zjistit, zda si ji nesmazal. Kromˇ e položek je v záznamu vedena informace také o mazání a pˇ resunu všech složek v poštovních schránkách. Kromˇ e mazání ukládá také záznam o pˇ resunu položek (eviduje je jako smazané ze složky, odkud byla položka pˇ resunuta). Pˇ resun složek je oznaˇ cen zvláštním pˇ ríznakem. Informace jsou ukládány v následujícím tvaru: Smazání (pˇ resunutí) položky [07/Aug/2008 11:07:02] {DELETE} Protocol: HTTP/WebMail, User: [email protected], IP: 127.0.0.1, Folder: [email protected]/Deleted Items, From: "Josef ˇ Cerný" <[email protected]>, Subject: "Dovolená", Delivered: 07/Aug/2008 11:05:27, Size: 1320 • [07/Aug/2008 11:07:02] — datum a ˇ cas akce (mazání nebo pˇ resunu položky). • {DELETE} — typ akce. Položka byla smazána nebo pˇ resunuta. • Protocol — typ protokolu, pˇ res který bylo vymazání nebo pˇ resun odesláno. Podle typu protokolu lze zjistit, z jakého poštovního klienta uživatel pˇ ristupoval k serveru (napˇ ríklad: HTTP/WebMail — rozhraní Kerio WebMail, SYSTEM — automatické mazání položek, HTTP/WebDAV — MS Outlook s Kerio Outlook Connectorem nebo MS Entourage). • User — uživatelská schránka, kde byla provedena akce. • IP — IP adresa poˇ cítaˇ ce, ze kterého byla akce provedena. • Folder — složka, ve které byla akce provedena. • Subject — pˇ redmˇ et položky. 269
Kapitola 25 Záznamy
• Delivered — datum doruˇ cení, pokud se jedná o e-mail. • Size — velikost položek. Smazání složky [07/Aug/2008 12:14:57] {DELETE_FOLDER} Folder: [email protected]/Deleted Items/Pracovní deleted • • • •
[07/Aug/2008 12:14:57] — datum a ˇ cas akce (mazání složky). {DELETE_FOLDER} — typ akce. Složka byla smazána. Folder — název mazané složky. deleted — akce.
Pˇ resun složky [07/Aug/2008 12:14:26] {MOVE_FOLDER} Protocol: HTTP/WebMail, User: [email protected], IP: 127.0.0.1, Old location: [email protected]/INBOX/Pracovn&AO0-, New location: [email protected]/Deleted Items/Pracovní, Items count: 3 • [07/Aug/2008 12:14:26] — datum a ˇ cas akce (pˇ resunutí složky). • {MOVE_FOLDER} — typ akce. Složka byla pˇ resunuta. • Protocol — typ protokolu, pˇ res který byl pˇ resun složky odeslán. Podle typu protokolu lze zjistit, z jakého poštovního klienta uživatel pˇ ristupoval k serveru. • User — uživatel, který složku pˇ resunul. • IP — IP adresa poˇ cítaˇ ce, ze kterého byla akce provedena. • Old location — p˚ uvodní umístˇ ení složky. • New location — nové umístˇ ení složky. • Items count — poˇ cet položek (napˇ ríklad e-mail˚ u) umístˇ ených ve složce.
25.7 Error Na rozdíl od záznamu Warning, záznam Error zobrazuje závažné chyby, které mají zpravidla vliv na chod celého serveru. Správce Kerio MailServeru by mˇ el tento záznam pravidelnˇ e sledovat a zjištˇ ené chyby v co nejkratší možné dobˇ e napravit. V opaˇ cném pˇ rípadˇ e hrozí nejen nebezpeˇ cí, že uživatelé nebudou moci využívat nˇ ekteré (ˇ ci dokonce všechny) služby, ale m˚ uže dojít také ke ztrátˇ e zpráv ˇ ci k bezpeˇ cnostním problém˚ um (napˇ r. ke zneužití serveru k rozesílání nevyžádaných e-mail˚ u nebo doruˇ cování zpráv obsahujících viry). Typickým chybovým hlášením v záznamu Error bývá napˇ ríklad: problém se spuštˇ ením nˇ ekteré služby (vˇ etšinou z d˚ uvodu kolize na pˇ ríslušném portu), problém se zápisem na disk, s inicializací antivirové kontroly, s externím ovˇ eˇ rením uživatele apod.
270
25.8 Spam
25.8 Spam Do záznamu Spam jsou zapisovány informace o veškeré nevyžádané poštˇ e, která je uložena v Kerio MailServeru. Každý ˇ rádek záznamu obsahuje informace o jednom konkrétním spamu. Jednotlivé záznamy se liší podle toho, jak bylo zjištˇ eno, že je zpráva nevyžádaná. Záznam Spam zaznamenává také zprávy, které byly z nˇ ejakého d˚ uvodu Kerio MailServerem oznaˇ ceny jako spam, ale uživatel je urˇ cil jako korektní. Nevyžádaná zpráva detekovaná filtrem Zpráva vyhodnocená jako nevyžádaná spamovým filtrem Kerio MailServeru: [06/Sep/2004 08:43:17] Message marked as spam with score: 8.00, To: [email protected], Message size: 342, From: [email protected], Subject: • [06/Sep/2004 08:43:17] — datum a ˇ cas detekce spamu. • Message marked as spam with score: 8.00 — typ akce (zpráva byla oznaˇ cena jako spam, protože jí bylo spamovým filtrem pˇ ridˇ eleno pˇ ríliš vysoké skóre). • To: [email protected] — elektronická adresa pˇ ríjemce. • Message size: 342 — velikost zprávy v bytech. • From: [email protected] — elektronická adresa odesilatele. • Subject: — pˇ redmˇ et zprávy (v tomto pˇ rípadˇ e prázdný). Nevyžádaná zpráva detekovaná uživatelem Zpráva, která byla uživatelem oznaˇ cena jako nevyžádaná: [06/Sep/2004 08:40:39] User [email protected] marked a message as spam, Folder: [email protected]/INBOX, Size: 462, From: "Jan Novák" <[email protected]>, Subject: Hallo • [06/Sep/2004 08:40:39] — datum a ˇ cas, kdy byla zpráva oznaˇ cena jako spam. • User [email protected] — elektronická adresa uživatele, kterému byla zpráva doruˇ cena. • marked a message as spam — typ akce (zpráva byla uživatelem oznaˇ cena jako spam). • Folder: [email protected]/INBOX — složka, ve které je zpráva uložena • Size: 462 — velikost zprávy v bytech. • From: "Jan Novák" <[email protected]> — elektronická adresa odesilatele . • Subject: Hallo — pˇ redmˇ et zprávy. Zpráva není spam Zpráva, která byla uživatelem oznaˇ cena jako korektní: [06/Sep/2004 08:43:32] User [email protected] marked a message as not spam, Folder: [email protected]/Junk E-mail, Size: 500, From: "Jan ˇ Cerný" <[email protected]>, Subject: *SPAM* • [06/Sep/2004 08:43:32] — datum a ˇ cas, kdy byla zpráva oznaˇ cena, že není
271
Kapitola 25 Záznamy
spam. • User: [email protected] — elektronická adresa uživatele, kterému byla zpráva doruˇ cena. • marked a message as not spam — typ akce (zpráva byla uživatelem oznaˇ cena jako korektní). • Folder: [email protected]/Junk E-mail — složka, ve které je zpráva uložena (v tomto pˇ rípadˇ e je to vždy složka pro nevyžádanou poštu). • Size: 500 — velikost zprávy v bytech. • From: "Jan ˇ Cerný" <[email protected]> — elektronická adresa, ze které byla zpráva odeslána. • Subject: **SPAM** — pˇ redmˇ et zprávy.
25.9 Debug Debug (ladicí informace) je speciální záznam, který slouží zejména k detailnímu sledování urˇ citých informací. Proto m˚ uže významnˇ e pomoci pˇ ri odstraˇ nování problém˚ u. Standardnˇ e obsahuje informace o startu a ukonˇ cení Kerio MailServeru, výpis služeb s informací o adresách a portech, na kterých navazují spojení. Dále zapisuje zprávy zpracovávající se ve frontˇ e a podobnˇ e. Ostatní informace se týkají služeb a proces˚ u, které provádˇ ejí veškerou ˇ cinnost serveru. Tˇ echto informací je pomˇ ernˇ e velké množství, což by zp˚ usobilo naprostý nepˇ rehled, pokud by byly zobrazovány všechny najednou. Zpravidla je však tˇ reba sledovat pouze informace týkající se konkrétní služby ˇ ci funkce. Upozornˇ ení Zobrazování velkého množství informací navíc zpomaluje ˇ cinnost Kerio MailServeru. Doporuˇ cujeme tedy zapínat sledování pouze tˇ ech informací, které vás skuteˇ cnˇ e zajímají, a to pouze po dobu nezbytnˇ e nutnou.
Nastavení záznamu Debug Z výše uvedených d˚ uvod˚ u umožˇ nuje záznam Debug nastavit, jaké informace v nˇ em mají být zobrazovány. Toto se provádí volbou Zprávy v kontextovém menu okna Debug (nabídka, která se otevˇ re po kliknutí pravým tlaˇ cítkem myši v logu). Otevˇ re se okno Zaznamenávané informace, kde je k dispozici mnoho voleb pro zapnutí konkrétních záznam˚ u: Services Sekce Services obsahuje možnost zapnutí záznam˚ u týkajících se služeb spuštˇ ených v Kerio MailServeru: • SMTP Server — Detailní výpis komunikace klient˚ u a SMTP serveru. Záznam je vhodné použít pˇ ri problémech s pˇ ríjmem pošty pˇ res MX záznamy. • IMAP Server — Detailní výpis komunikace klient˚ u s IMAP serverem. Záznam také poskytuje informace o komunikaci pˇ res rozhraní MAPI. 272
25.9 Debug
Obrázek 25.7
Nastavení záznamu Debug
• POP3 Server — Detailní výpis komunikace klient˚ u s POP3 serverem. Spolu s následujícími dvˇ ema záznamy (IMAP server session, HTTP server session) napomáhá ˇ rešení problém˚ u s vybíráním schránek. • HTTP Server — Komunikace klient˚ u s HTTP serverem pro rozhraní Kerio WebMail. • LDAP Server — Detailní sledování komunikace klient˚ u s LDAP serverem a vyhledávání kontakt˚ u v databázi. • NNTP Server — Detailní výpis komunikace klient˚ u s news serverem. Message Delivery Sekce Message Delivery obsahuje volby pro zaznamenávání pr˚ ubˇ ehu doruˇ cování zpráv: • Queue Processing — Zpracování odchozí fronty (odesílání a pˇ ríjem zpráv, plánování apod.). • Remote POP3 Download — Vybírání vzdálených POP3 schránek (Kerio MailServer je v roli POP3 klienta) a tˇ rídicích pravidel (pˇ ri pˇ rijetí zprávy ˇ ci jejím stažení ze vzdálené POP3 schránky). Záznam Remote POP3 download slouží spolu se záznamem Alias Expansion k ˇ rešení problém˚ u s tˇ rídˇ ením doménového koše. • SMTP Client — Odesílání odchozích zpráv (komunikace Kerio MailServeru s nadˇ razeným SMTP serverem nebo serverem cílové domény). Záznam obsahuje pˇ ríkazy a odezvy serveru a klienta pˇ resnˇ e podle poˇ radí jednotlivých událostí. Proto tento záznam m˚ uže pomoci pˇ ri problémech s odesíláním pošty. • Mailing List Processing — Sledování e-mailových konferencí (pˇ rihlašování a odˇ hlašování clen˚ u, posílání zpráv, akce moderátor˚ u apod.). • Alias Expansion — Zpracování alias˚ u (pˇ ri pˇ rijetí zprávy ˇ ci jejím stažení ze vzdá273
Kapitola 25 Záznamy
lené POP3 schránky). Záznam Alias processing slouží spolu se záznamem Remote POP3 download k ˇ rešení problém˚ u s tˇ rídˇ ením doménového koše. • Sieve Filters — Filtrování zpráv dle uživatelských filtr˚ u. Content Filters Sekce Content Filters obsahuje volby k zapnutí/vypnutí záznam˚ u o pr˚ ubˇ ehu antivirové a antispamové kontroly: • Antivirus Checking — Antivirová kontrola zpráv (komunikace s antivirovým programem, zpracování jednotlivých pˇ ríloh zprávy). Záznam lze použít, pokud zavirované zprávy nejsou rozpoznávány antivirovým programem a prochází až k uživateli. • Spam Filter — Zaznamenává hodnocení každé zprávy hodnocené spamovým filtrem Kerio MailServeru. • SPF Record Lookup — Volba vypisuje informace o SPF dotazech na SMTP servery. Lze využít pˇ ri problémech s SPF kontrolou. • SpamAssassin Processing — volba umožˇ nuje sledování proces˚ u, ke kterým dochází pˇ ri testování zpráv spamovým filtrem SpamAssassin. Message Store Sekce Message Store umožˇ nuje zaznamenávat operace týkající se úložištˇ e dat, vyhledávání, zálohování atd.: • Message Folder Operation — Operace s uživatelskými a veˇ rejnými složkami (otevírání, ukládání zpráv, uzavírání). Tento záznam lze použít napˇ ríklad pˇ ri problémech s mapováním veˇ rejných složek. • Searching and Sorting — záznam obsahuje operace, které server provádí pˇ ri vyhledávání v poštovních, kalendᡠrových, kontaktních nebo úkolových složkách. Zaznamenávají se také operace, které jsou provádˇ eny pˇ ri tˇ rídˇ ení (napˇ r. email˚ u podle abecedy nebo data pˇ rijetí). • Quota and Login Statistics— záznam lze dobˇ re využít zejména v pˇ rípadˇ e, že se objevuje nˇ ejaký problém s nastavenými uživatelskými kvótami a podobnˇ e. • Store Backup — Výpis mapuje pr˚ ubˇ eh zálohy, procházení a zálohovaní všech složek. Pomocí tohoto záznamu lze získat informaci, zda záloha probíhá správnˇ e, a zda nebyla pˇ rerušena. • Messages decoding — Tento záznam m˚ uže pomoci pˇ ri identifikaci problém˚ u s dekódováním TNEF a uuencode zpráv. • Items clean-out — Záznam napomáhá pˇ ri odhalení problém˚ u s automatickým mazáním zpráv ze složek Odstranˇ ená pošta a Nevyžádaná pošta. HTTP Server Modules Sekce HTTP Server Modules poskytuje volby, které umožˇ nují zaznamenávat informace o komunikaci pˇ res rozhraní HTTP: • WebDAV Server Requests — Záznam vypisuje všechny akce rozhraní WebDAV. Tento záznam je užiteˇ cný pˇ ri ˇ rešení problém˚ u v komunikaci mezi Kerio MailSer274
25.9 Debug
verem a MS Entourage, NotifyLink, Kerio Sync Connector a iCal klienty. • SyncML Synchronization — Volba umožˇ nuje uložit záznam veškeré synchronizace provádˇ ené pomocí SyncML. • PHP Engine Messages — Záznam zapisuje informace z rozhraní Kerio WebMail. Tyto informace jsou rozšíˇ rením záznamu Error a lze je využít pˇ ri ˇ rešení problém˚ u v Kerio WebMailu. • ActiveSync Synchronization — Záznam vypisuje komunikaci protokolu ActiveSync mezi mobilními zaˇ rízeními a Kerio MailServerem. • KOC Offline Requests — Záznam napomáhá pˇ ri ˇ rešení problém˚ u, které mohou nastat pˇ ri komunikaci mezi Kerio Outlook Connectorem (Offline Edition) a Kerio MailServerem. Auxiliary Modules Sekce Auxiliary Modules obsahuje následující možnosti zaznamenávání informací: • User Authentication — Externí ovˇ eˇ rování uživatel˚ u (NT doména, Kerberos, PAM). • Network Connections and SSL — Navazování spojení na vzdálené servery (na úrovni TCP), DNS dotazy, SSL šifrování apod. • DNS Resolver— Zjišt’ování server˚ u cílových domén z DNS MX záznam˚ u, záznamy nalezené v interní DNS cache. • Directory Service Lookup — Dotazy do externí databáze uživatel˚ u (Active Directory). Tento záznam m˚ uže pomoci pˇ ri ˇ rešení problém˚ u s importem uživatel˚ u z domény. • Update Checker Activity — Vypisuje komunikaci se serverem update.kerio.com, kde se nacházejí nové verze Kerio MailServeru. • Thread Pool Activity — vypisuje navazování, pr˚ ubˇ eh i ukonˇ cení všech vláken, která Kerio MailServer zpracovává. • Administration Console Connections — zaznamenává pˇ ripojení a ˇ cinnost Kerio Administration Console. • Crash Management Activity — volba se zobrazuje pouze je-li Kerio MailServer nainstalován na systému ˇ rady Mac OS X. Záznam monitoruje funkci utility Mac Assist, která shromažd’uje informace o pádu nˇ ekterého z proces˚ u spamserver, avserver nebo mailserver a odesílá je do spoleˇ cnosti Kerio Technologies k dalším analýzám. Local Services Sekce Local Services spravuje lokální služby Kerio MailServeru: • Service Manager — M˚ uže vám pomoci s ˇ rešením problém˚ u s lokálními službami obecnˇ e (s frontou zpráv nebo plánováním zdroj˚ u). • Resource Service — M˚ uže vám pomoci pˇ ri ˇ rešení problém˚ u s plánováním zdroj˚ u. ˇ • GAL Service — Zapnutí této volby vám m˚ uže pomoci s rešením problém˚ u pˇ ri synchronizaci kontakt˚ u s Global Address Listem.
275
Kapitola 25 Záznamy
25.10 Sledování výkonu (Windows) Je-li Kerio MailServer instalován na operaˇ cní systém Windows ˇ rady 2000, nebo XP, je možno také nainstalovat volitelnou komponentu Performance Monitor (detaily naleznete v kapitole 2.4). Performance Monitor je modul do systémového nástroje Výkon (Performance), který naleznete v Nástrojích pro správu (Administrative Tools). V aplikaci Performance Monitor se pˇ repneme do sekce System Monitor. Tlaˇ cítkem + v nástrojovém panelu této sekce otevˇ reme dialog pro pˇ ridání nových sledovaných objekt˚ u.
Obrázek 25.8
Performance Monitor
V položce Performance object vybereme položku Kerio MailServer. V levém dolním poli je pak možno vybrat statistiky, které chceme sledovat. K dispozici jsou všechny ukazatele, které Kerio MailServer sleduje (vizte též kapitolu 24.6, resp. sekce Stav → Statistiky programu Kerio Administration Console). Tlaˇ cítkem Explain lze získat podrobnˇ ejší informace o vybraném objektu. Poznámka: • Pokud se v seznamu objekt˚ u v poli Performance object neobjeví položka Kerio MailServer, pak zˇ rejmˇ e není komponenta Performance Monitor nainstalována, nebo je poškozena. V tom pˇ rípadˇ e doporuˇ cujeme znovu spustit instalaˇ cní program Kerio MailServeru (vizte kapitolu 2.4). • Detailní informace o aplikaci Performance Monitor naleznete v nápovˇ edˇ e systému Windows.
276
Kapitola 26
Správa složek
Kerio MailServer podporuje následující typy složek: • • • • •
poštovní složky kontakty kalendᡠre úkoly poznámky
Záleží na výbˇ eru poštovního klienta, zda budete moci využít všech typ˚ u složek. Kerio MailServer oficiálnˇ e podporuje produkty MS Outlook a MS Entourage, které dovedou pracovat se složkami všech typ˚ u. Ke všem typ˚ um složek budete mít pˇ rístup také pˇ res rozhraní Kerio WebMail a nˇ ekterá podporovaná mobilní zaˇ rízení. Kromˇ e výše zmínˇ ených typ˚ u složek existuje dˇ elení na osobní a veˇ rejné složky. Osobními složkami nazýváme takové, které si uživatelé spravují, vidí, zakládají a ruší ve svých uživatelských schránkách. Veˇ rejné složky jsou takové, které vytvᡠrí a spravuje uživatel se speciálními pˇ rístupovými právy, a které mají k dispozici pro ˇ ctení všichni uživatelé. Veˇ rejné složky jsou detailnˇ e popsané v následující sekci.
26.1 Veˇ rejné složky Veˇ rejné složky jsou speciálním typem složek, které jsou pˇ rístupné všem uživatel˚ um z domény nebo všem uživatel˚ um celého Kerio MailServeru (ve výchozím nastavení se vytvᡠrejí veˇ rejné složky pro každou doménu zvlášt’). Výchozí nastavení veˇ rejných složek po jejich založení je, že jsou všem uživatel˚ um k dispozici pro ˇ ctení. Samozˇ rejmˇ e je možné jim práva zmˇ enit stejným zp˚ usobem jako u jakýchkoliv jiných složek. Akˇ cemu vlastnˇ e veˇ rejné složky slouží? Vhodné jsou zejména ke sdílení informací napˇ ríˇ c celou spoleˇ cností. Nejˇ castˇ eji používanou veˇ rejnou složkou je složka s kontakty všech zamˇ estnanc˚ u spoleˇ cnosti, kterou lze navíc automaticky vygenerovat z uživatelských úˇ ct˚ u Kerio MailServeru. Dalším vhodným pˇ ríkladem m˚ uže být napˇ ríklad celofiremní kalendᡠr, kam jsou zaznamenávány spoleˇ cné akce, školení nebo rezervace zdroj˚ u (projektor˚ u, zasedacích místností, a podobnˇ e). Veˇ rejné složky m˚ uže vytvᡠret pouze uživatel s pˇ ríslušnými právy. Tato práva jsou standardnˇ e pˇ ridˇ elena administrátorovi primární domény v Kerio MailServeru (speciální administrátorský úˇ cet a jeho možnosti popisuje sekce 8.1), který m˚ uže pˇ ridˇ elit práva libovolným dalším uživatel˚ um. 277
Kapitola 26 Správa složek
26.1.1 Globální vs. doménové složky Jak již bylo ˇ reˇ ceno v úvodu, lze si vybrat, zda mají být veˇ rejné složky vytvᡠreny pro každou doménu zvlášt’, nebo zda mají být pˇ rístupné globálnˇ e pro všechny uživatele Kerio MailServeru. Toto nastavení se provádí následovnˇ e: 1. 2. 3.
V administraˇ cním rozhraní se pˇ repnˇ ete do sekce Konfigurace → Domény. Kliknˇ ete na tlaˇ cítko Upˇ resnˇ ení umístˇ ené v pravém dolním rohu okna. Otevˇ re se dialog, kde m˚ užete vybrat zvolenou možnost (vizte obrázek 26.1).
Obrázek 26.1
Upˇ resˇ nující nastavení pro veˇ rejné složky
Výstraha Pokud potˇ rebujete pˇ repnout tuto vlastnost v dobˇ e, kdy již byl vytvoˇ ren systém veˇ rejných složek, pak vˇ ezte, že se veˇ rejné složky nebudou zobrazovat uživatel˚ um a bude potˇ reba vytvoˇ rit nové.
26.1.2 Vytvᡠrení veˇ rejných složek Vytvoˇ rit veˇ rejnou složku je možné v klientovi MS Outlook (s Kerio Outlook Connectorem), v rozhraní Kerio WebMail nebo v MS Entourage. V obou pˇ rípadech založíte nové veˇ rejné složky stejným zp˚ usobem jako se vytvᡠrejí osobní složky. Postup je následující: 1.
2. 3.
Otevˇ rete MS Outlook s funkˇ cním Kerio Outlook Connectorem nebo Kerio WebMail jako administrátor primární domény nebo jako uživatel, který má pˇ ridˇ elena práva pro vytvᡠrení veˇ rejných složek (nastavení tˇ echto práv popisuje sekce 26.1.3). Ve stromu složek vyberte koˇ ren Veˇ rejné složky a založte novou složku stejným zp˚ usobem, jako se vytvᡠrejí osobní složky (pˇ res kontextovou nabídku). Po vytvoˇ rení složky ji mají všichni uživatelé automaticky pro ˇ ctení. Chcete-li pˇ ridat nˇ ejakému uživateli vyšší práva, je to možné provést standardnˇ e pomocí mechanismu sdílení (detaily jsou popsány v manuálu Kerio MailServer 6, Pˇ ríruˇ cka uživatele).
Každá veˇ rejná složka bude všem nasdíleným uživatel˚ um zobrazena automaticky jako podsložka koˇ rene Veˇ rejné složky. 26.1.3 Pˇ ridˇ elení práv k veˇ rejným složkám Práva k veˇ rejným složkám m˚ uže nastavit uživatel s administrátorskými právy pro správu Kerio MailServeru: 278
26.2 Zobrazení veˇ rejných složek v jednotlivých typech úˇ ct˚ u
1. 2. 3.
Otevˇ rete administraˇ cní rozhraní a pˇ repnˇ ete se do sekce Nastavení domény → Uživatelské úˇ cty. Oznaˇ cte kurzorem uživatele, kterému chcete práva pˇ ridˇ elit a otevˇ rete dialog jeho nastavení (napˇ ríklad tlaˇ cítkem Zmˇ enit). V dialogu se pˇ repnˇ ete do záložky Práva a zaškrtnˇ ete volbu Tento uživatel má právo spravovat veˇ rejné složky.
26.2 Zobrazení veˇ rejných složek v jednotlivých typech úˇ ct˚ u Jednoduchá tabulka zobrazuje, které veˇ rejné složky se uživateli zobrazí v závislosti na typu používaného poštovního úˇ ctu, potažmo klienta. Úˇ cet
a b
Pošta
Kontakty
Kalendᡠr
Úkoly
Poznámky
Kerio Outlook Connector (Offline Edition)
ANO
ANO
ANO
ANO
ANO
Kerio Outlook Connector
ANO
ANO
ANO
ANO
ANO
Kerio WebMail
ANO
ANO
ANO
ANO
ANO
Úˇ cet typu Exchange v MS Entourage
ANO
ANO a
ANO a
NE
NE
Úˇ cet typu Exchange v Apple Mail b
ANO
ANO
ANO
ANO
ANO
IMAP (libovolný klient podporující protokol IMAP)
ANO (pokud je klient umí zobrazit)
NE
NE
NE
NE
POP3 (libovolný klient podporující protokol POP3)
NE
NE
NE
NE
NE
Pouze verze MS Entourage 2004 SP2. Platí pouze v pˇ rípadˇ e nastavení plné podpory IMAP v konfiguraˇ cním souboru Kerio MailServeru (více vizte kapitolu 41). Tabulka 26.1 Zobrazení veˇ rejných složek v jednotlivých typech úˇ ct˚ u
279
Kapitola 27
Ovˇ eˇ rování pˇ res Kerberos
Tato kapitola slouží jako jednoduchý a pˇ rehledný pr˚ uvodce nastavením ovˇ eˇ rování uživatel˚ u pˇ res systém Kerberos. Kerberos je systém založený na architektuˇ re klient — server, která umožˇ nuje autentizaci a autorizaci uživatel˚ u a zvyšuje tak bezpeˇ cí pˇ ri využívání zdroj˚ u v poˇ cítaˇ cové síti. Kerberos je popsán standardem IETF RFC 4120. Kerio MailServer má implementovánu podporu pro Kerberos V5. Pˇ ri ˇ rešení pˇ rípadných problém˚ u s konfigurací vám mohou pomoci následující záznamy: • MS Windows — logy jsou umístˇ eny v menu Start → Nastavení → Ovládací panely → Nástroje pro správu → Prohlížeˇ c událostí • Linux — logy ve standardním adresᡠri /var/log/syslog To se ovšem týká pouze Kerberos klienta. Logování komunikace na stranˇ e serveru lze zajistit pˇ ridáním následující konfigurace do souboru /etc/krb5.conf: [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE: /var/log/kadmind.log Poznámka: Nastavení logování na stranˇ e serveru se týká Kerberos MIT (US implementace Kerberosu aplikovaná v Active Directory a Apple Open Directory). Nastavení logování Kerberos Heimdal (evropská implementace Kerberosu, kterou m˚ užete nalézt 7 v nˇ ekterých linuxových distribucích) se m˚ uže lišit. • Mac OS X Server — záznamy v aplikaci Server Admin (více vizte kapitolu 27.4) • Kerio MailServer — záznamy najdete v administraˇ cní konzoli, v sekci Záznamy. Relevantní jsou v tomto pˇ rípadˇ e záznamy Warning, Error a Debug (musí být spuštˇ eno sledování modulu User Authentication). Bližší popis jednotlivých záznam˚ u obsahuje kapitola 25.
27.1 Kerio MailServer na systému Windows Ovˇ eˇ rování proti Active Directory V pˇ rípadˇ e ovˇ eˇ rování v Active Directory je tˇ reba uvést název Active Directory domény v Kerio MailServeru. Toto lze nastavit v Kerio Administration Console v nastavení domény (vizte obrázek 27.1). 7
Klient Kerberos Heimdal je také standardní souˇ cástí instalace Kerio MailServeru pro linuxové distribuce. Není ovšem podstatné, jaká z obou forem je použita na serveru (Key Distribution Center), a jaká na klientovi (v tomto pˇ rípadˇ e Kerio MailServer), protože protokol je tentýž a server i klientská ˇ cást budou bez problém˚ u spolupracovat.
280
27.1 Kerio MailServer na systému Windows
Obrázek 27.1 Doplnˇ ení Active Directory domény do Kerio MailServeru
Kromˇ e uvedení názvu domény v dialogu Upˇ resnˇ ení (vizte obrázek 27.1) je tˇ reba zajistit aby: 1.
2.
3.
Kerio MailServer byl ˇ clenem domény, proti které se ovˇ eˇ ruje. Pokud Kerio MailServer nebude ˇ clenem domény, pak Kerberos nebude fungovat a uživatelé budou muset používat lokální heslo — tedy jiné než mají nastaveno v doménˇ e. Kerio MailServer používal jako primární DNS server doménový ˇ radiˇ c (Active Directory Controller) — to by mˇ elo být automaticky zajištˇ eno pˇ ridáním poˇ cítaˇ ce do domény (vizte bod 1). Pokud konfigurace sítˇ e vyžaduje ovˇ eˇ rování proti více doménovým ˇ radiˇ cu ˚m zároveˇ n, potom pˇ ridáme jako DNS servery všechny doménové ˇ radiˇ ce, proti kterým se bude Kerio MailServer ovˇ eˇ rovat. V tomto pˇ rípadˇ e je však vyžadována speciální konfigurace DNS server˚ u. Bud’ je tˇ reba nastavit DNS servery tak, že si budou navzájem dotazy pˇ reposílat (pokud daný dotaz není nalezen ve vlastní databázi, je pˇ reposlán dalšímu doménovému ˇ radiˇ ci) nebo musí mít všechny DNS servery nadˇ razený spoleˇ cný primární DNS server. byl synchronizován ˇ cas Kerio MailServeru a Active Directory — to by mˇ elo být automaticky zajištˇ eno pˇ ridáním poˇ cítaˇ ce do domény (vizte bod 1).
Ovˇ eˇ rování proti Open Directory V pˇ rípadˇ e ovˇ eˇ rování v Open Directory je tˇ reba uvést Kerberos realm v Kerio MailServeru (vizte obrázek 27.1). Kromˇ e uvedení názvu Open Directory domény (Kerberos realm) v Kerio MailServeru je tˇ reba zajistit aby:
281
Kapitola 27 Ovˇ eˇ rování pˇ res Kerberos
1.
2. 3.
byl Kerio MailServer ˇ clenem Open Directory domény, proti které se ovˇ eˇ ruje. Pokud Kerio MailServer nebude ˇ clenem domény, pak Kerberos nebude fungovat a uživatelé budou muset používat lokální heslo — tedy jiné než mají nastaveno v doménˇ e. poˇ cítaˇ c s Kerio MailServerem mˇ el správnˇ e nastavený DNS server (IP adresa nebo DNS jméno poˇ cítaˇ ce, na kterém je spuštˇ en Apple Open Directory). byl synchronizován ˇ cas Kerio MailServeru a Open Directory — to by mˇ elo být automaticky zajištˇ eno pˇ ridáním poˇ cítaˇ ce do domény (vizte bod 1).
Ovˇ eˇ rování proti samostatnému Kerberos serveru Chcete-li použít pro ovˇ eˇ rování samostatný Kerberos server (Key Distribution Center), potom bude nutno udržovat databázi uživatelských jmen a hesel v Key Distribution Center i v Kerio MailServeru. Kromˇ e uvedení názvu Kerberos oblasti (Kerberos realm) v Kerio MailServeru (vizte obráreba zajistit následující: zek 27.1) je tˇ 1.
2. 3.
Kerio MailServer musí být ˇ clenem Kerberos oblasti, proti které se ovˇ eˇ ruje. Jména a hesla všech uživatel˚ u založených v Kerio MailServeru musí být definována v Key Distribution Center (pokud se mají ovˇ eˇ rovat pˇ res Kerberos). Poˇ cítaˇ c s Kerio MailServerem musí mít správnˇ e nastavený DNS server (Key Distribution Center vyhledává na základˇ e DNS dotaz˚ u). Poˇ cítaˇ c s Kerio MailServerem musí mít synchronizován ˇ cas s Key Distribution Center (všechny poˇ cítaˇ ce v Kerberos oblasti musí mít synchronizován ˇ cas).
Vyzkoušet si, že Kerio MailServer je schopen ovˇ eˇ rovat se proti Key Distribution Center, je možné pomocí utility Kerbtray. Kontrolu lze provést z poˇ cítaˇ ce, kam budete instalovat Kerio MailServer. Ze systému MS Windows zkontrolujeme ovˇ eˇ rování pomocí utility Kerbtray (vizte obrázek 27.2), která je k dispozici zdarma na stránkách firmy Microsoft. Pokud po instalaci a spuštˇ ení aplikace Kerbtray nenalezne žádné pˇ ridˇ elené lístky (tickety), potom ovˇ eˇ rování funkˇ cní není a je tˇ reba jej v KDC nastavit a spustit. Teprve poté doporuˇ cujeme nastavit ovˇ eˇ rování v Kerio MailServeru v sekci Konfigurace → Domény, v záložce Upˇ resnˇ ení (více vizte kapitolu 7.7).
282
27.2 Kerio MailServer na systému Linux
Obrázek 27.2
Kerberos lístky zobrazené v aplikaci Kerbtray
27.2 Kerio MailServer na systému Linux Ovˇ eˇ rování proti Active Directory Pˇ red nastavením pˇ rihlašování uživatel˚ u do Linuxu pˇ res Kerberos doporuˇ cujeme nejprve zkontrolovat správnou funkci ovˇ eˇ rování proti doménˇ e (pˇ rihlášením se do systému úˇ ctem definovaným v Active Directory). Dále je nutno zajistit následující: 1.
2.
Poˇ cítaˇ c s Kerio MailServerem musí mít nastavený jako primární DNS server doménový ˇ radiˇ c Active Directory domény. Pokud konfigurace sítˇ e vyžaduje ovˇ eˇ rování proti více doménovým ˇ radiˇ cu ˚m zároveˇ n, pˇ ridáme jako DNS servery všechny doménové ˇ radiˇ ce, proti kterým se bude Kerio MailServer ovˇ eˇ rovat. Na poˇ cítaˇ ci s Kerio MailServerem musí být synchronizován ˇ cas s Active Directory.
Dále je nutné pro správnou funkci ovˇ eˇ rování nastavit soubor /etc/krb5.conf Pˇ ríklad nastavení souboru krb5.conf: [logging] default = FILE:/var/log/krb5libs.log 283
Kapitola 27 Ovˇ eˇ rování pˇ res Kerberos
kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] ticket_lifetime = 24000 default_realm = FIRMA.CZ dns_lookup_realm = false dns_lookup_kdc = yes [realms] FIRMA.CZ = { kdc = server.firma.cz admin_server = server.firma.cz default_domain = firma.cz } [domain_realm] .firma.cz = FIRMA.CZ firma.cz = FIRMA.CZ [kdc] profile = /var/kerberos/krb5kdc/kdc.conf [appdefaults] pam = { debug = false ticket_lifetime = 36000 renew_lifetime = 36000 forwardable = true krb4_convert = false } Pokud je ovˇ eˇ rování proti Kerberos serveru plnˇ e funkˇ cní, potom je možné nastavit ovˇ eˇ rování v Kerio MailServeru. Tato nastavení lze provést v sekci Konfigurace → Domény, v záložkách Adresᡠrová služba a Upˇ resnˇ ení. Ovˇ eˇ rování proti Open Directory Pˇ red nastavením pˇ rihlašování uživatel˚ u do Linuxu pˇ res Kerberos doporuˇ cujeme nejprve zkontrolovat správnou funkci ovˇ eˇ rování proti doménˇ e (pˇ rihlášením se do systému úˇ ctem definovaným v Open Directory). Pokud se toto nepodaˇ rí, zkontrolujte prosím následující: 1.
Kerio MailServer musí být ˇ clenem Kerberos oblasti (Open Directory domény), proti které se ovˇ eˇ ruje. Pokud Kerio MailServer nebude ˇ clenem oblasti, pak Kerberos nebude fungovat a uživatelé budou muset používat lokální heslo — tedy jiné než mají nastaveno v doménˇ e. 284
27.2 Kerio MailServer na systému Linux
2. 3.
poˇ cítaˇ c s Kerio MailServerem musí mít správnˇ e nastavenou službu DNS. na poˇ cítaˇ ci s Kerio MailServerem musí být synchronizován ˇ cas s Open Directory.
Dále je nutné pro správnou funkci ovˇ eˇ rování nastavit soubor /etc/krb5.conf Pˇ ríklad nastavení souboru krb5.conf: [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] ticket_lifetime = 24000 default_realm = FIRMA.CZ dns_lookup_realm = false dns_lookup_kdc = yes [realms] FIRMA.CZ = { kdc = server.firma.cz admin_server = server.firma.cz default_domain = firma.cz } [domain_realm] .firma.cz = FIRMA.CZ firma.cz = FIRMA.CZ [kdc] profile = /var/kerberos/krb5kdc/kdc.conf [appdefaults] pam = { debug = false ticket_lifetime = 36000 renew_lifetime = 36000 forwardable = true krb4_convert = false } Je-li ovˇ eˇ rování proti Kerberos serveru plnˇ e funkˇ cní, potom je možné nastavit ovˇ eˇ rování v Kerio MailServeru. Tato nastavení lze provést v sekci Konfigurace → Domény, v záložkách Adresᡠrová služba a Upˇ resnˇ ení.
285
Kapitola 27 Ovˇ eˇ rování pˇ res Kerberos
Ovˇ eˇ rování proti samostatnému Kerberos serveru (KDC) Chcete-li použít pro ovˇ eˇ rování samostatný Kerberos server (Key Distribution Center), potom bude nutno udržovat databázi uživatelských jmen a hesel v Key Distribution Center i v Kerio MailServeru. Pˇ red nastavením pˇ rihlašování uživatel˚ u do Linuxu pˇ res Kerberos doporuˇ cujeme nejprve zkontrolovat správnou funkci ovˇ eˇ rování proti Kerberos oblasti (pˇ rihlášením se do systému úˇ ctem definovaným v Key Distribution Center. Pokud se toto nepodaˇ rí, zkontrolujte prosím následující: 1.
2. 3.
Kerio MailServer musí být ˇ clenem Kerberos oblasti, proti které se ovˇ eˇ ruje: • na stanici musí být nainstalován Kerberos klient, • jména a hesla všech uživatel˚ u založených v Kerio MailServeru musí být definována v Key Distribution Center (pokud se mají ovˇ eˇ rovat pˇ res Kerberos). Poˇ cítaˇ c s Kerio MailServerem musí mít správnˇ e nastavenou službu DNS (Key Distribution Center se orientuje na základˇ e DNS dotaz˚ u). Na poˇ cítaˇ ci s Kerio MailServerem musí být synchronizován ˇ cas s Key Distribution Center (všechny poˇ cítaˇ ce v Kerberos oblasti musí mít synchronizovaný ˇ cas).
Dále je nutné pro správnou funkci ovˇ eˇ rování nastavit soubor /etc/krb5.conf Pˇ ríklad nastavení souboru krb5.conf: [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] ticket_lifetime = 24000 default_realm = FIRMA.CZ dns_lookup_realm = false dns_lookup_kdc = yes [realms] FIRMA.CZ = { kdc = server.firma.cz admin_server = server.firma.cz default_domain = firma.cz } [domain_realm] .firma.cz = FIRMA.CZ firma.cz = FIRMA.CZ [kdc] 286
27.3 Kerio MailServer na systému Mac OS X
profile = /var/kerberos/krb5kdc/kdc.conf [appdefaults] pam = { debug = false ticket_lifetime = 36000 renew_lifetime = 36000 forwardable = true krb4_convert = false } Vyzkoušet si, že je Kerio MailServer schopen ovˇ eˇ rovat se proti Key Distribution Center, je možné pomocí utility kinit. Staˇ cí otevˇ rít terminál (pˇ ríkazovou ˇ rádku) a zadat následující pˇ ríkaz: kinit -S host/nazev_KMS@KERBEROS_REALM uzivatelske_jmeno napˇ ríklad: kinit -S host/[email protected] jnovak Pokud dotaz probˇ ehl v poˇ rádku, budete požádáni o heslo zadaného uživatele. Pokud ne, jako odpovˇ ed’ bude doruˇ ceno chybové hlášení. Teprve poté doporuˇ cujeme provést pˇ ríslušná nastavení v Kerio MailServeru (více vizte kapitolu 7.7).
27.3 Kerio MailServer na systému Mac OS X Ovˇ eˇ rování proti Active Directory Pokud je Kerio MailServer nainstalován na systému Mac OS X a uživatelské úˇ cty jsou mapovány z Active Directory, potom je nutno provést následující nastavení: Konfigurace DNS Aby se mohl systém Mac OS X pˇ ripojit do Active Directory, nastavíme pˇ revod DNS jmen poˇ cítaˇ cu ˚ z Active Directory. Z tohoto d˚ uvodu nastavíme Active Directory jako primární DNS server: 1. 2.
Otevˇ reme aplikaci System Preferences a klikneme na ikonku Network (vizte obrázek 27.3). Otevˇ re se okno Network. V záložce TCP/IP doplníme do položky DNS servers IP adresu Active Directory serveru. Pokud konfigurace sítˇ e vyžaduje ovˇ eˇ rování proti více doménovým ˇ radiˇ cu ˚m zároveˇ n, potom pˇ ridáme jako DNS servery všechny doménové ˇ radiˇ ce, proti kterým se bude Kerio MailServer ovˇ eˇ rovat.
Pˇ ripojení poˇ cítaˇ ce s Kerio MailServerem do Active Directory domény Poˇ cítaˇ c do Active Directory domény pˇ ripojíme pomocí utility Directory Access (Applications → Utilities), která je standardní souˇ cástí systém˚ u Apple Mac OS X. Konfigurace je následující: 287
Kapitola 27 Ovˇ eˇ rování pˇ res Kerberos
1.
Otevˇ reme aplikaci Directory Access a zaškrtneme v záložce Services službu Active Direceˇ rení. Uživatel, tory (více vizte obrázek 27.4). Nejprve ovšem zadáme jméno a heslo pro ovˇ který bude provádˇ et v aplikaci zmˇ eny, musí mít nastavena práva k administraci systému.
Obrázek 27.3
Konfigurace DNS
288
27.3 Kerio MailServer na systému Mac OS X
Obrázek 27.4
2.
Directory Access — záložka Services
Po zaškrtnutí služby klikneme na tlaˇ cítko Configure a do dialogu doplníme název Active Directory domény (vizte obrázek 27.5).
Obrázek 27.5 Directory Access — konfigurace
3.
Klikneme na tlaˇ cítko Bind a nastavíme jméno a heslo administrátora Active Directory, který m˚ uže pˇ ridat poˇ cítaˇ c do Active Directory domény (vizte obrázek 27.6).
Je-li vše nastaveno správnˇ e, poˇ cítaˇ c se po nˇ ekolika vteˇ rinách do domény úspˇ ešnˇ e pˇ ripojí. Nastavení Kerberosu Jakmile se Mac OS X úspˇ ešnˇ e pˇ ripojí k Active Directory doménˇ e, vytvoˇ rí se v adresᡠri /Library/Preferences/ speciální soubor edu.mit.Kerberos. Pˇ resvˇ edˇ cte se, že soubor byl vytvoˇ ren, a že byl vytvoˇ ren správnˇ e. Pro porovnání uvádíme následující pˇ ríklad obsahu souboru: # WARNING This file is automatically created by Active Directory 289
Kapitola 27 Ovˇ eˇ rování pˇ res Kerberos
Obrázek 27.6
Directory Access — zadání jména a hesla administrátora
# do not make changes to this file; # autogenerated from : /Active Directory/firma.cz # generation_id : 0 [libdefaults] default_realm = FIRMA.CZ ticket_lifetime = 600 dns_fallback = no [realms] FIRMA.CZ = { kdc = server.firma.cz.:88 admin_server = server.firma.cz. } Vyzkoušet si, že Kerio MailServer je schopen ovˇ eˇ rovat se proti Active Directory, je možné pomocí utility kinit. Staˇ cí otevˇ rít terminál (pˇ ríkazovou ˇ rádku) a zadat následující pˇ ríkaz: kinit -S host/nazev_KMS@KERBEROS_REALM uzivatelske_jmeno napˇ ríklad: kinit -S host/[email protected] jnovak Pokud dotaz probˇ ehl v poˇ rádku, budete požádáni o heslo zadaného uživatele. Pokud ne, jako odpovˇ ed’ bude doruˇ ceno chybové hlášení. Ovˇ eˇ rování proti Open Directory Kerio MailServer je možno nainstalovat bud’ na stejný server, kde je umístˇ ena také adresᡠrová služba Apple Open Directory nebo je možno Kerio MailServer nainstalovat na jakýkoliv jiný server. Je-li Kerio MailServer umístˇ en na stejném serveru jako Open Directory, potom není nutné kromˇ e instalace Kerio Open Directory Extension provádˇ et jakoukoliv další konfiguraci. Je-li však fyzicky umístˇ en na jiném stroji, pak je tˇ reba nastavit externí ovˇ eˇ rování pˇ res Kerberos do Open Directory. 290
27.3 Kerio MailServer na systému Mac OS X
Kerio MailServer je možno nainstalovat na server se systémem Mac OS X 10.3 a vyšší. Nastavení probíhá na obou verzích systému velmi podobnˇ e. Z toho d˚ uvodu zde bude popsán postup pouze pro verzi Mac OS X 10.4 s tím, že pˇ rípadné odchylky nastavení na systému Mac OS X 10.3 budou explicitnˇ e zmínˇ eny. Nastavení externího ovˇ eˇ rování se provádí pomocí speciální aplikace Directory Access, která se nachází v Applications → Utilities → Directory Access. Tato aplikace v podstatˇ e slouží k vytvoˇ rení speciálního ovˇ eˇ rovacího souboru edu.mit.Kerberos, který najdete v adresᡠri /Library/Preferences. Aby ovˇ eˇ rování fungovalo správnˇ e, je tˇ reba provést následující nastavení: 1. 2.
Otevˇ reme aplikaci Directory Access. V první záložce Services zaškrtneme položku LDAPv3 (vizte obrázek 27.7).
3.
V záložce Services oznaˇ címe kurzorem položku LDAPv3 a stiskneme tlaˇ cítko Configure umístˇ ené pod seznamem služeb. V dialogu, který se otevˇ rel, najdeme tlaˇ cítko New a stiskneme ho. Otevˇ re se okno pro zadání názvu nebo IP adresy serveru. Doplníme IP adresu nebo DNS název serveru, kde je spuštˇ ena služba Apple Open Directory. Po zadání serveru klikneme v levém dolním rohu na tlaˇ cítko Manual (v systému Mac OS X 10.3 toto není potˇ reba) a doplníme libovolný název do pole Configuration name (položka slouží pouze pro lepší orientaci). Konfiguraci uložíme a v menu LDAP Mappings nastavíme Open Directory Server. Po zvolení Open Directory Server se automaticky otevˇ re okno pro zadání pˇ rípony pro hledání (Search Base Suffix). Pˇ ríponu pro hledání je tˇ reba vyplnit tak, jak to zobrazuje
Obrázek 27.7
4. 5.
6. 7.
Directory Access — Výbˇ er služby LDAP
291
Kapitola 27 Ovˇ eˇ rování pˇ res Kerberos
pˇ ríklad na obrázku 27.8: od.firma.cz → dc=od,dc=firma,dc=cz
Obrázek 27.8
Directory Access — Nastavení serveru s Open Directory
Z výše uvedeného pˇ ríkladu tedy vyplývá, že pˇ ríponu je tˇ reba vždy zapsat ve tvaru dc=subdomena,dc=domena. Kolik subdomén v názvu server obsahuje, tolik jich je nutno do pˇ rípony zapsat. 8. Nyní je tˇ reba nastavit serveru s Open Directory ovˇ eˇ rování. K tomuto úˇ celu nám dobˇ re poslouží záložka Authentication (vizte obrázek 27.9). 9. V menu Search musí být zvolena možnost Custom path. 10. Do seznamu Directory Domains je tˇ reba zadat název serveru s Open Directory. Klikneme na tlaˇ cítko Add. Aplikace Directory Access automaticky doplní název Open Directory, který jsme zadali v pˇ redchozí záložce. Nabídnutý název serveru staˇ cí pouze potvrdit. 11. Celé nastavení uložíme tlaˇ cítkem Apply. Directory Access vytvoˇ rí v adresᡠri /Library/Preferences soubor edu.mit.Kerberos. Tento soubor je nutno zkontrolovat, zda jsou v nˇ em uvedena správná data. Soubor by mˇ el obsahovat následující parametry: # WARNING This file is automatically created by Open Directory # do not make changes to this file; # autogenerated from : /Open Directory/firma.cz # generation_id : 0 [libdefaults] default_realm = FIRMA.CZ 292
27.3 Kerio MailServer na systému Mac OS X
Obrázek 27.9 Directory Access — Nastavení ovˇ eˇ rování
ticket_lifetime = 600 dns_fallback = no [realms] FIRMA.CZ = { kdc = server.firma.cz.:88 admin_server = server.firma.cz. } Vyzkoušet si, že je Kerio MailServer schopen ovˇ eˇ rovat se proti Kerberos serveru, je možné pomocí utility kinit. Staˇ cí otevˇ rít terminál (pˇ ríkazovou ˇ rádku) a zadat následující pˇ ríkaz: kinit -S host/KMS_hostname@KERBEROS_REALM username@REALM napˇ ríklad: kinit -S host/[email protected] [email protected] Pokud dotaz probˇ ehl v poˇ rádku, budete požádáni o heslo zadaného uživatele. Pokud ne, jako odpovˇ ed’ bude doruˇ ceno chybové hlášení. Nyní staˇ cí provést nastavení v Kerio MailServeru: • V administraˇ cní konzoli Kerio MailServeru v sekci Domény nastavíme záložky Adresᡠrová služba a Upˇ resnˇ ení (v poli Kerberos 5 musí být zadán realm Apple Open Directory).
293
Kapitola 27 Ovˇ eˇ rování pˇ res Kerberos
Upozornˇ ení Kerberos realm doplnˇ ený v záložce Upˇ resnˇ ení musí být shodný s názvem Kerberos oblasti, který je uveden v souboru /Library/Preferences/edu.mit.Kerberos. Konkrétnˇ e musí souhlasit s hodnotou default_realm v tomto souboru. Pˇ ríslušný ˇ rádek tedy m˚ uže vypadat napˇ ríklad takto default_realm = FIRMA.CZ • V administraˇ cní konzoli Kerio MailServeru nastavíme uživatelským úˇ ct˚ um typ ovˇ eˇ rování Apple Open Directory.
Ovˇ eˇ rování proti samostatnému Kerberos serveru (KDC) Chcete-li použít pro ovˇ eˇ rování samostatný Kerberos server (Key Distribution Center), potom bude nutno udržovat databázi uživatelských jmen a hesel v Key Distribution Center i v Kerio MailServeru. Pˇ red nastavením pˇ rihlašování uživatel˚ u do Kerio MailServeru pˇ res Kerberos doporuˇ cujeme nejprve zkontrolovat správnou funkci ovˇ eˇ rování proti Kerberos oblasti (pˇ rihlášením se do systému úˇ ctem definovaným v Key Distribution Center na poˇ cítaˇ ci, kam budete Kerio MailServer instalovat. Pokud se toto nepodaˇ rí, zkontrolujte prosím následující: 1.
2. 3.
Kerio MailServer musí být ˇ clenem Kerberos oblasti, proti které se ovˇ eˇ ruje: • na stanici musí být nainstalován Kerberos klient, • jména a hesla všech uživatel˚ u založených v Kerio MailServeru musí být definována v Key Distribution Center (pokud se mají ovˇ eˇ rovat pˇ res Kerberos). Poˇ cítaˇ c s Kerio MailServerem musí mít správnˇ e nastavenou službu DNS (Key Distribution Center se orientuje na základˇ e DNS dotaz˚ u). Na poˇ cítaˇ ci s Kerio MailServerem musí být synchronizován ˇ cas s Key Distribution Center (všechny poˇ cítaˇ ce v Kerberos oblasti musí mít synchronizovaný ˇ cas).
Ovˇ eˇ rit správnou funkci Kerberosu lze zkontrolováním souboru /Library/Preferences/edu.mit.Kerberos. Tento soubor by mˇ el obsahovat následující parametry: # # # #
WARNING This file is automatically created by KERBEROS do not make changes to this file; autogenerated from : /KERBEROS/firma.cz generation_id : 0 [libdefaults] default_realm = FIRMA.CZ ticket_lifetime = 600 dns_fallback = no [realms] FIRMA.CZ = { kdc = server.firma.cz.:88 admin_server = server.firma.cz. } 294
27.4 Spuštˇ ení služby Open Directory a nastavení systému Kerberos
Vyzkoušet si, že Kerio MailServer je schopen ovˇ eˇ rovat se proti Kerberosu, je možné pomocí utility kinit. Staˇ cí otevˇ rít terminál (pˇ ríkazovou ˇ rádku) a zadat následující pˇ ríkaz: kinit -S host/KMS_hostname@KERBEROS_REALM username@REALM napˇ ríklad: kinit -S host/[email protected] [email protected] Pokud dotaz probˇ ehl v poˇ rádku, budete požádáni o heslo zadaného uživatele. Pokud ne, jako odpovˇ ed’ bude doruˇ ceno chybové hlášení. Potom teprve doporuˇ cujeme nastavit ovˇ eˇ rování v Kerio MailServeru v sekci Konfigurace → Domény, v záložce Upˇ resnˇ ení (více vizte kapitolu 7.7).
27.4 Spuštˇ ení služby Open Directory a nastavení systému Kerberos V Open Directory je možné ovˇ eˇ rovat uživatele proti password serveru (více vizte kapitolu 10) nebo proti Kerberos serveru (více vizte kapitolu 27). Jak již bylo ˇ reˇ ceno v kapitole 10, ovˇ eˇ rování proti password serveru nevyžaduje témˇ eˇ r žádná nastavení, zatímco ovˇ eˇ rování pˇ res Kerberos není vždy snadné nakonfigurovat. Tato kapitola se tedy bude vˇ enovat správnému nastavení ovˇ eˇ rování proti Kerberos serveru v Open Directory. Po spuštˇ ení Mac OS X Serveru je tˇ reba d˚ ukladnˇ e se pˇ resvˇ edˇ cit, zda je spuštˇ ena adresᡠrová služba Open Directory a zároveˇ n, zda je spuštˇ en Kerberos server. To lze uˇ cinit v aplikaci Server Admin (Applications → Server → Server Admin). Úvodní okno aplikace Server Admin je rozdˇ eleno na dvˇ e základní ˇ cásti. Levá obsahuje seznam poˇ cítaˇ cu ˚ a služeb, které jsou na tˇ echto poˇ cítaˇ cích spuštˇ eny. V této ˇ cásti je zobrazen poˇ cítaˇ c, kde je, nebo má být spuštˇ ena služba Open Directory. Pokud je služba spuštˇ ena, je zvýraznˇ ena tuˇ cným písmem a zeleným symbolem (vizte obrázek 27.10). Pravá strana okna obvykle obsahuje informace o službˇ e, záznamy a pˇ rípadná nastavení vybrané služby. Adresᡠrová služba by mˇ ela být spuštˇ ena automaticky po prvním startu Mac OS X Serveru. Pokud spuštˇ ena není, oznaˇ címe ji kurzorem a použijeme tlaˇ cítko Start Service umístˇ ené na panelu nástroj˚ u. V pravé ˇ cásti okna se pˇ resvˇ edˇ címe, které služby Open Directory jsou spuštˇ eny, a které nikoliv (vizte obrázek 27.10). D˚ uležitá je poslední položka Kerberos. Je-li Kerberos server spuštˇ en, vše je v poˇ rádku a není tˇ reba provádˇ et další nastavení. Není-li služba spuštˇ ena, zkontrolujte prosím následující: 1.
V pravé ˇ cásti okna v záložce Settings musí být server nastaven jako Open Directory Master. Toto nastavení vyžaduje ovˇ eˇ rení. Je nutno použít jméno a heslo administrátora, který je založen v Open Directory, napˇ ríklad uživatel diradmin (vizte obrázek 27.11).
295
Kapitola 27 Ovˇ eˇ rování pˇ res Kerberos
Obrázek 27.10
Služba Open Directory
296
27.4 Spuštˇ ení služby Open Directory a nastavení systému Kerberos
Obrázek 27.11
2. 3.
Nastavení jména a hesla administrátora
Musí být správnˇ e nastavena služba DNS. Musí být správnˇ e nastaveno DNS jméno (hostname) serveru, kde je spuštˇ ena Open Directory.
Po úspˇ ešném spuštˇ ení Kerberos serveru doporuˇ cujeme pˇ resvˇ edˇ cit se o jeho správném nastavení utilitou kinit. Staˇ cí otevˇ rít terminál (pˇ ríkazovou ˇ rádku) a zadat následující pˇ ríkaz: kinit -S host/nazev_KMS@KERBEROS_REALM uzivatelske_jmeno napˇ ríklad: kinit -S host/[email protected] diradmin Pokud dotaz probˇ ehl v poˇ rádku, budete požádáni o heslo zadaného uživatele. Pokud ne, jako odpovˇ ed’ bude doruˇ ceno chybové hlášení. Poznámka: S odstraˇ nováním pˇ rípadných potíží pˇ ri nastavování ovˇ eˇ rování pˇ res Kerberos vám mohou pomoci záznamy v záložce Logs.
297
Kapitola 28
Nastavení NTLM ovˇ eˇ rování
NTLM (NT LAN Manager) je název pro typ ovˇ eˇ rování, kterým je možné se na systémech Windows ovˇ eˇ rovat proti Active Directory (pˇ rípadnˇ e NT) doménˇ e. Nejprve musíme dodržet následující podmínky: • NTLM ovˇ eˇ rování je možno v Kerio MailServeru využít pouze v pˇ rípadˇ e, že se uživatelé ovˇ eˇ rují proti Active Directory doménˇ e. To znamená, že lze takto ovˇ eˇ rovat pouze úˇ cty, které jsou bud’ mapovány nebo importovány z Active Directory (vizte kapitoly 10 a 8.9). • Aby bylo NTLM ovˇ eˇ rování funkˇ cní, musí být poˇ cítaˇ ce i uživatelské úˇ cty souˇ cástí domény, proti které se uživatelé ovˇ eˇ rují. • Aby mˇ elo nastavení NTLM ovˇ eˇ rování smysl, musí uživatelé používat poštovní klienty, které podporují NTLM (SPA) ovˇ eˇ rování (napˇ r. MS Outlook). Správné nastavení NTLM ovˇ eˇ rování v Kerio MailServeru je následující: 1.
V administraˇ cní konzoli otevˇ reme sekci Domény (Konfigurace → Domény) Otevˇ reme dialog s podrobnostmi nastavení domény a pˇ repneme se do záložky Upˇ resnˇ ení (vizte obrázek 28.1). Do ˇ rádku Doména Windows NT je tˇ reba nejprve doplnit název NT domény (obvykle název Active Directory domény bez domény první úrovnˇ e — CZ, COM, atd.).
Obrázek 28.1
Nastavení názvu Windows NT domény
298
2.
V administraˇ cní konzoli se pˇ repneme do sekce Konfigurace → Další volby do záložky Bezpeˇ cnostní politika a zde zaškrtneme volbu Povolit NTLM ovˇ eˇ rování pro uživatele, kteˇ rí jsou ovˇ eˇ rováni systémem Kerberos. Zaškrtnutím této volby bude uživatel˚ um z Active Directory domény umožnˇ eno ovˇ eˇ rovat se pˇ ri pˇ rihlášení ke Kerio MailServeru.
Obrázek 28.2
Zaškrtnutí volby Povolit NTLM ovˇ eˇ rování
pro uživatele, kteˇ rí jsou ovˇ eˇ rováni systémem Kerberos
3.
V administraˇ cní konzoli se pˇ repneme do sekce Nastavení domény → Uživatelské úˇ cty a uživatel˚ um nastavíme jako typ ovˇ eˇ rování volbu Doména Windows NT. Toto nastavení se v uživatelských úˇ ctech provádí v záložce Obecné (vizte obrázek 28.3).
299
Kapitola 28 Nastavení NTLM ovˇ eˇ rování
Obrázek 28.3
Nastavení ovˇ eˇ rování uživatele
28.1 Nastavení NTLM v aplikaci MS Outlook s Kerio Outlook Connectorem Kromˇ e nastavení na serveru je tˇ reba povolit NTLM (SPA) ovˇ eˇ rování v poštovních klientech. Obvykle se toto nastavení provádí v nastavení e-mailového úˇ ctu uživatele. Jak nastavit napˇ ríklad MS Outlook s Kerio Outlook Connectorem se dozvíme v následujícím návodu: 1. 2. 3.
V menu Nástroje → E-mailové úˇ cty vybereme možnost Zobrazit nebo zmˇ enit existující emailové úˇ cty. Vybereme Kerio (MAPI) úˇ cet a stiskneme tlaˇ cítko Zmˇ enit (vizte obrázek 28.4). Otevˇ re se nastavení úˇ ctu, kde v záložce Úˇ cet zaškrtneme volbu Zabezpeˇ cené ovˇ eˇ rování hesla (vizte obrázek 28.5).
300
28.1 Nastavení NTLM v aplikaci MS Outlook s Kerio Outlook Connectorem
Obrázek 28.4
Obrázek 28.5
Zmˇ ena e-mailového úˇ ctu
Nastavení NTLM ovˇ eˇ rování
301
Kapitola 29
Nastavení poštovních klient˚ u a firewallu
29.1 Nastavení poštovních klient˚ u Tato kapitola obsahuje základní informace o tom, jak nastavit poštovní klienty (tj. programy, které slouží ke ˇ ctení a psaní e-mailových zpráv). Nezamˇ eˇ ruje se na konkrétního klienta, ale uvádí obecné zásady, které by mˇ ely být dodrženy, aby klient spolupracoval správnˇ e s Kerio MailServerem.
Poštovní úˇ cet Poštovní úˇ cet je skupina parametr˚ u, které popisují server pˇ ríchozí a odchozí pošty a podmínky jejich použití. Vˇ etšina poštovních klient˚ u umožˇ nuje pˇ repínat mezi více úˇ cty. Vytvoˇ ríme tedy nový úˇ cet, který bude používán pro pˇ ríjem zpráv a odesílání zpráv pˇ res Kerio MailServer. Poznámka: Následující popis nastavení byl vytvoˇ ren podle klienta MS Outlook Express 6.0. Základní nastavení úˇ ctu jsou však ve všech poštovních klientech velmi podobná. Odchozí (osobní) e-mailová adresa Tato adresa by mˇ ela být tvoˇ rena jménem uživatele a doménou tak, jak je úˇ cet nastaven v Kerio MailServeru, tedy napˇ r. [email protected]. Jméno uživatele M˚ uže být nastaveno libovolnˇ e, slouží pouze pro zobrazení v hlaviˇ cce zprávy v klientovi. Doporuˇ cujeme ale nepoužívat v tomto jménˇ e diakritiku, zejména pokud je známo, že uživatel bude komunikovat s partnery v zahraniˇ cí. Toto jméno nemá žádnou souvislost s plným jménem ˇ ci popisem uživatele v Kerio MailServeru. Slušný uživatel ale odesílá zprávy výhradnˇ e pod svým vlastním jménem! Server odchozí pošty (SMTP) IP adresa nebo DNS jméno poˇ cítaˇ ce, na nˇ emž Kerio MailServer bˇ eží (napˇ r. 192.168.1.1 nebo mail.firma.cz). Server pˇ ríchozí pošty Rovnˇ ež IP adresa nebo DNS jméno poˇ cítaˇ ce, na nˇ emž Kerio MailServer bˇ eží (napˇ r. 192.168.1.1 nebo mail.firma.cz). Typ serveru pˇ ríchozí pošty POP3 nebo IMAP. Bˇ eží-li na Kerio MailServeru obˇ e služby, m˚ uže si uživatel dle vlastního uvážení vybrat, který protokol bude používat (podle toho, co je pro nˇ ej výhodnˇ ejší). Typ protokolu nelze již pozdˇ eji zmˇ enit, pouze smazáním úˇ ctu a vytvoˇ rením nového. Je však tˇ reba si uvˇ edomit, že pokud bylo ke schránce dˇ ríve pˇ ristupováno protokolem IMAP, a
302
29.1 Nastavení poštovních klient˚ u
nyní má být používán protokol POP3, nebude možno stáhnout zprávy z jiné složky než INBOX. Uživatelské jméno a heslo Jméno a heslo k uživatelskému úˇ ctu vytvoˇ renému v Kerio MailServeru. Není-li úˇ cet vytvoˇ ren v primární doménˇ e, musí se jako uživatelské jméno použít celá e-mailová adresa. Ovˇ eˇ rení na odchozím (SMTP) serveru Toto ovˇ eˇ rení je tˇ reba nastavit, jestliže je v Kerio MailServeru zapnuta antispamová ochrana (kapitola 13) a ˇ rízení pˇ rístupu — z IP adresy klienta není povoleno odesílání pošty do libovolné domény (vizte kapitolu 12.2). Jinak by klient mohl odesílat zprávy pouze do lokálních domén. Odchozí, resp. pˇ ríchozí server vyžaduje zabezpeˇ cení Tyto volby urˇ cují, zda má být pˇ ri odesílání, resp. pˇ ríjmu pošty použito nešifrované spojení nebo spojení zabezpeˇ cené SSL. S Kerio MailServerem je možno použít v obou pˇ rípadech zabezpeˇ cené spojení (bˇ eží-li pˇ ríslušné služby), což je doporuˇ ceno. Bezpeˇ cné ovˇ eˇ rování hesla (SPA/NTLM) Tuto funkci je možno použít, jestliže se uživatel klientského poˇ cítaˇ ce pˇ rihlašuje do NT domény a jeho úˇ cet v Kerio MailServeru je nastaven tak, aby byl ovˇ eˇ rován v této doménˇ e. Pak není nutné zadávat v klientovi heslo, místo nˇ ej se použijí stejné ovˇ eˇ rovací údaje jako pˇ ri pˇ rihlášení do domény.
Adresᡠrová služba Jako adresᡠrovou službu je možno využít LDAP server v Kerio MailServeru (podrobnosti v kapitole 21).
Práce s IMAP složkami Po vytvoˇ rení poštovního úˇ ctu používajícího protokol IMAP klient stáhne ze serveru seznam složek a zobrazí jej. Uživatel si m˚ uže vybrat složky, které se mají zobrazovat (toto nastavení lze i pozdˇ eji zmˇ enit). V klientovi m˚ uže uživatel vytvᡠret, pˇ rejmenovávat a mazat složky, stejnˇ e jako v rozhraní Kerio WebMail. Vždy je ale tˇ reba si uvˇ edomit, že se jedná o složky na serveru, nikoliv o lokální složky klienta, jak je tomu pˇ ri použití protokolu POP3! Dále je tˇ reba zajistit, aby poštovní klient i rozhraní Kerio WebMail používali stejné názvy složek pro odeslanou poštu (Sent Items) a koncepty zpráv (Drafts). Poštovní klient také umožˇ nuje nastavit u každé složky tzv. synchronizaci. Je-li složka synchronizována se serverem, znamená to, že každá novˇ e pˇ ríchozí zpráva se okamžitˇ e zobrazí také na klientovi. To ale vyžaduje trvalé pˇ ripojení klienta k serveru. Je-li klient napˇ r. pˇ ripojen vytᡠcenou linkou, je možno provádˇ et jednorázovou synchronizaci složek ruˇ cnˇ e nebo v urˇ citých intervalech.
303
Kapitola 29 Nastavení poštovních klient˚ u a firewallu
29.2 WWW prohlížeˇ ce Podporované prohlížeˇ ce pro plnou verzi Kerio WebMailu jsou: • • • •
Internet Explorer 6, 7 a 8 Firefox 2 a 3 Safari 2, 3 a 4 Safari na Apple iPhone
Ve starších verzích výše jmenovaných prohlížeˇ cu ˚ a ve všech ostatních typech není možné z technických d˚ uvod˚ u spustit plnou verzi Kerio WebMailu, lze však spustit jeho zjednodušenou verzi Kerio WebMail Mini. Kerio WebMail Mini se automaticky spouští na všech typech starších prohlížeˇ cu ˚, v prohlížeˇ cích založených na textovém režimu jako jsou napˇ ríklad Lynx nebo Links, na PDA zaˇ rízeních, v mobilních telefonech atd. Kerio WebMail Mini pro zobrazení nevyužívá CSS a JavaScript. Chcete-li využívat zabezpeˇ cený pˇ rístup k rozhraní Kerio WebMail (protokolem HTTPS), musí prohlížeˇ c podporovat zabezpeˇ cení SSL. Je-li možno jej konfigurovat (napˇ r. v prohlížeˇ ci Microsoft Internet Explorer), doporuˇ cuje se zapnout podporu verzí SSL 3.0 a TLS 1.0.
29.3 Firewall Pomˇ ernˇ eˇ castým pˇ rípadem bývá, že je Kerio MailServer nainstalován v lokální síti chránˇ ené firewallem, pˇ rípadnˇ e pˇ rímo na poˇ cítaˇ ci, kde firewall bˇ eží. Správce systému pak musí, kromˇ e vlastní konfigurace poštovního serveru, provést ještˇ e nˇ ekterá doplˇ nující nastavení.
Porty Má-li být poštovní server pˇ rístupný z Internetu, je tˇ reba ve firewallu otevˇ rít (tzv. mapovat) nˇ ekteré porty. Obecnˇ e lze ˇ ríci, že každý mapovaný port znamená díru v zabezpeˇ cení, a tedy ˇ cím ménˇ e mapovaných port˚ u, tím lépe. Pˇ ri mapování port˚ u pro Kerio MailServer je vhodné dodržet následující pravidla a doporuˇ cení: • Port 25 musí být mapován, jestliže má být zvenˇ cí pˇ rístupný SMTP server. To je nutné, je-li na tento server nasmˇ erován primární MX záznam pro danou doménu (ˇ ci více domén). V tomto pˇ rípadˇ e je bezpodmíneˇ cnˇ e nutné nastavit antispamovou ochranu (vizte kapitolu 13) a ˇ rízení pˇ rístupu (vizte kapitolu 12.2), aby nemohlo dojít ke zneužití serveru. Na port SMTP serveru se m˚ uže legálnˇ e pˇ ripojit libovolný SMTP server v Internetu, chce-li odeslat e-mail do nˇ ekteré z lokálních domén. Z tohoto d˚ uvodu nesmí být na mapovaný port 25 omezen pˇ rístup pouze z vybrané skupiny IP adres. Je-li veškerá pˇ ríchozí pošta pouze vybírána ze vzdálených POP3 schránek, není tˇ reba port 25 mapovat. • Porty ostatních služeb (POP3, IMAP, HTTP, LDAP a Secure LDAP) je tˇ reba mapovat tehdy, pokud chtˇ ejí klienti pˇ ristupovat ke svým schránkám odjinud než z chránˇ ené lokální sítˇ e (typický pˇ rípad je mobilní uživatel s notebookem). V tomto pˇ rípadˇ e je
304
29.3 Firewall
silnˇ e doporuˇ ceno používat výhradnˇ e zabezpeˇ cené verze všech služeb a na firewallu povolit pouze porty pro tyto služby (tedy 636, 443, 993, 995). • Je-li možné definovat subsítˇ eˇ ci rozsahy IP adres, odkud se vzdálení klienti pˇ ripojují, doporuˇ cuje se také omezit pˇ rístup k mapovaným port˚ um pouze z tˇ echto adres. Toto je bohužel nerealizovatelné, pokud se zmínˇ ený mobilní uživatel pohybuje po celém svˇ etˇ e a pˇ ripojuje se náhodnˇ e k r˚ uzným poskytovatel˚ um Internetu.
Telefonické pˇ ripojení Bˇ eží-li Kerio MailServer a firewall na tomtéž poˇ cítaˇ ci, který je pˇ ripojen k Internetu vytᡠcenou linkou, m˚ uže vzniknout požadavek, aby poštovní server používal jiné telefonické pˇ ripojení (napˇ r. k jinému poskytovateli) než firewall pro pˇ rístup k Internetu. Pak ale firewall musí znát obˇ e tato pˇ ripojení — v opaˇ cném pˇ rípadˇ e by blokoval pakety jdoucí pˇ ripojením, které využívá poštovní server (firewall nesmí propustit žádný neznámý paket v žádném smˇ eru).
305
Kapitola 30
Pˇ ríklady nastavení
Tato kapitola ukazuje na nˇ ekolika modelových pˇ ríkladech praktické nasazení Kerio MailServeru v konkrétních podmínkách. Každý pˇ ríklad je v podstatˇ e aplikací postupu Rychlé nastavení (vizte kapitolu 1.3) na danou situaci. Tyto pˇ ríklady by vám mˇ ely pomoci rychle a jednoduše nasadit Kerio MailServer ve vaší firmˇ e.
30.1 Trvalé pˇ ripojení k Internetu Informace a požadavky 1. 2. 3. 4. 5. 6. 7. 8.
Firma má vlastní doménu firma.cz, primární MX záznam je nasmˇ erován na poˇ cítaˇ c, kde bude nainstalován Kerio MailServer (ten má v DNS pˇ riˇ razeno jméno mail.firma.cz). Pˇ ripojení k Internetu je realizováno pevnou linkou. Nadˇ razený SMTP server není k dispozici. Firma má NT doménu DOMENA, uživatelé mají být ovˇ eˇ rováni v této doménˇ e. Výrobní oddˇ elení má mít speciální adresu [email protected], obchodní oddˇ elení [email protected] Nˇ ekteˇ rí uživatelé si pˇ rejí, aby Kerio MailServer vybíral jejich soukromé schránky v Internetu a doruˇ coval je do lokálních schránek. Pro antivirovou kontrolu pošty má být použit program AVG 7.0, nesmˇ ejí být posílány žádné pˇ rílohy typu EXE, COM, BAT a VBS. Vzdálená správa Kerio MailServeru smí být povolena pouze z adresy 67.34.112.2 (externí správce).
Realizace 1.
2. 3. 4. 5.
V sekci Konfigurace → Domény vytvoˇ ríme primární lokální doménu firma.cz a zadáme internetové jméno serveru mail.firma.cz. V záložce Ovˇ eˇ rování zadáme jméno NT domény DOMENA. V sekci Nastavení domény → Uživatelské úˇ cty tlaˇ cítkem Importovat importujeme požadované uživatele z domény DOMENA. Tak nebude nutno definovat úˇ cty ruˇ cnˇ e. V sekci Nastavení domény → Skupiny vytvoˇ ríme skupiny Vyroba a Obchod a zaˇ radíme do nich pˇ ríslušné uživatele. V sekci Nastavení domény → Aliasy definujeme aliasy vyroba a obchod doruˇ cované pˇ ríslušným skupinám uživatel˚ u. Pˇ ripojení k Internetu je trvalé. V sekci Konfigurace → Internetové pˇ ripojení tedy vybereme volbu Online. 306
30.2 Vytᡠcená linka + doménový koš
Odchozí pošta bude odesílána pˇ rímo do cílových domén. V sekci Konfigurace → SMTP server v záložce SMTP doruˇ cování vybereme volbu Doruˇ covat pˇ rímo dle DNS MX záznam˚ u. 7. V sekci Konfigurace → Stahování POP3 schránek definujeme vybírání požadovaných externích schránek. U každé z nich vybereme uživatele, kterému má být její obsah doruˇ cován. 8. Nastavíme plánování pro vybírání vzdálených schránek. Pevná linka je rychlá a za pˇ ripojení se nic neúˇ ctuje, proto mohou být schránky vybírány pomˇ ernˇ e ˇ casto. Nastavíme plánování: Každých 10 minut. Odchozí e-maily jsou odesílány okamžitˇ e a pomocí ETRN se žádná pošta nepˇ rijímá — staˇ cí tedy zaškrtnout akci Stáhnout zprávy ze vzdálených POP3 schránek. 9. V sekci Konfigurace → Filtrování obsahu → Antivirus povolíme antivirovou kontrolu a vybereme modul AVG 7.0. V sekci Konfigurace → Filtrování obsahu — Filtrování pˇ ríloh povolíme filtrování a nastavíme názvy zakázaných soubor˚ u — tedy *.exe, *.com, *.bat a *.vbs. 10. V sekci Konfigurace → Definice → Skupiny IP adres vytvoˇ ríme skupinu Vzdálená správa a pˇ ridáme do ní jedineˇ cnou IP adresu (Poˇ cítaˇ c) 67.34.112.2. 11. V sekci Konfigurace → Vzdálená správa zaškrtneme volbu Povolit vzdálenou správu po síti i volbu Pouze z této skupiny IP adres. Zde vybereme vytvoˇ renou skupinu Vzdálená správa.
6.
30.2 Vytᡠcená linka + doménový koš Informace a požadavky 1.
2. 3.
4.
Firma má vlastní doménu jinafirma.cz, veškeré zprávy poslané na tuto adresu jsou ukládány do doménové schránky jinafirma na serveru pop3.poskytovatel.cz s pˇ rístupovým heslem heslo. Pˇ ripojení k Internetu je realizováno vytᡠcenou linkou. Poskytovatel Internetu umožˇ nuje odesílat odchozí poštu pˇ res sv˚ uj server smtp.poskytovatel.cz, jestliže se na nˇ em odesílatel ovˇ eˇ rí jménem a heslem (shodné jako pro POP3). V pracovní dobˇ e (pondˇ elí až pátek 8:00-17:00 hod) se má pošta stahovat každou hodinu, mimo pracovní dobu ve 20:00, 0:00 a 5:00 hod.
Realizace 1.
2. 3.
V sekci Konfigurace → Domény vytvoˇ ríme primární lokální doménu jinafirma.cz a zadáme internetové jméno serveru mail.jinafirma.cz (to je v tomto pˇ rípadˇ e víceménˇ e fiktivní, ale obsahuje název naší domény). Tím, že je zde doména definována jako lokální, se dosáhne toho, že pošta posílaná mezi lokálními uživateli nebude odesílána do Internetu a odtud stahována zpˇ et. V sekci Nastavení domény → Uživatelské úˇ cty vytvoˇ ríme uživatelské úˇ cty všem lokálním uživatel˚ um. Server se bude pˇ ripojovat k Internetu vytᡠceným pˇ ripojením (které je již v systému vytvoˇ reno). V sekci Konfigurace → Internetové pˇ ripojení vybereme volbu Offline, zaškrtneme 307
Kapitola 30 Pˇ ríklady nastavení
4.
5.
6. 7.
8.
volbu Použít vytᡠcené pˇ ripojení do Internetu, vybereme požadovanou položku telefonického pˇ ripojení (RAS) a zadáme pˇ ríslušné jméno a heslo pro toto pˇ ripojení. Veškerá odchozí pošta bude odesílána pˇ res nadˇ razený SMTP server. V sekci Konfigurace → SMTP server v záložce SMTP doruˇ cování vybereme volbu Použít nadˇ razený SMTP server a zadáme jeho jméno — smtp.poskytovatel.cz. Server vyžaduje ovˇ eˇ rení, proto zapneme volbu Nadˇ razený server vyžaduje ovˇ eˇ rování a vyplníme zde pˇ ríslušné jméno a heslo. Typ ovˇ eˇ rování nastavíme Pˇ ríkaz SMTP AUTH (pˇ rihlášení na SMTP server). V sekci Konfigurace → Stahování POP3 schránek, záložka Úˇ cty, definujeme vybírání doménové schránky jinafirma na serveru pop3.poskytovatel.cz. Zprávy z této schránky mají být rozdˇ elovány podle tˇ rídicích pravidel — zvolíme Použít tˇ rídicí pravidla. Výbˇ er preferované hlaviˇ cky doporuˇ cujeme konzultovat se správcem serveru, na nˇ emž schránka leží. Výchozí hlaviˇ cka Received by ale mˇ ela vyhovˇ et ve vˇ etšinˇ e situací. V sekci Konfigurace → Stahování POP3 schránek, záložka Tˇ rídicí pravidla, nastavíme tˇ rídicí pravidla pro e-mailové adresy jednotlivých uživatel˚ u. ˇ V sekci Konfigurace → Definice → Casové intervaly si vytvoˇ ríme ˇ casový interval Pracovní doba, obsahující rozsah hodin 8:00-17:00 a platný ve dnech Po-Pá, který využijeme pˇ ri definici plánování. Nastavíme plánování pro vybírání POP3 schránky a odesílání zpráv z odchozí fronty: Pˇ ridáme jedno plánování pro každou hodinu (Každých 1 hodin) platné v intervalu Pracovní doba a tˇ ri plánování pro konkrétní ˇ casy (V), platné vždy. U všech plánování zaškrtneme nejen volbu Stáhnout zprávy ze vzdálených POP3 schránek, ale také Odeslat zprávy z odchozí fronty, aby se odeslaly všechny pˇ rípadné odchozí zprávy.
30.3 Vytᡠcená linka + ETRN Informace a požadavky 1.
2.
3. 4.
5.
Firma má vlastní doménu tretifirma.cz, primární MX záznam je nasmˇ erován na poˇ cítaˇ c, kde bude nainstalován Kerio MailServer (ten má v DNS pˇ riˇ razeno jméno mail.tretifirma.cz). Sekundární MX záznam pro doménu je nasmˇ erován na SMTP server etrn.poskytovatel.cz, který podporuje pˇ ríkaz ETRN a vyžaduje ovˇ eˇ rení jménem a heslem. Pˇ ripojení k Internetu je realizováno vytᡠcenou linkou (pˇ ridˇ eluje se pevná IP adresa, na niž je v DNS nastaveno jméno mail.tretifirma.cz). Poskytovatel Internetu umožˇ nuje odesílat odchozí poštu pˇ res sv˚ uj server smtp.poskytovatel.cz, jestliže se na nˇ em odesílatel ovˇ eˇ rí jménem a heslem. V pracovní dobˇ e (pondˇ elí až pátek 8:00-17:00 hod) se má pošta stahovat každou hodinu, mimo pracovní dobu ve 20:00, 0:00 a 5:00 hod.
308
30.3 Vytᡠcená linka + ETRN
Realizace 1.
2. 3.
4.
5.
6.
7.
V sekci Konfigurace → Domény vytvoˇ ríme primární lokální doménu tretifirma.cz a zadáme internetové jméno serveru mail.tretifirma.cz. V dobˇ e, kdy bude linka vytoˇ cena, bude Kerio MailServer fungovat jako primární server této domény. Bude-li linka zavˇ ešena, e-maily budou posílány na sekundární server. V sekci Nastavení domény → Uživatelské úˇ cty vytvoˇ ríme uživatelské úˇ cty všem lokálním uživatel˚ um. Server se bude pˇ ripojovat k Internetu vytᡠceným pˇ ripojením (které je již v systému vytvoˇ reno). V sekci Konfigurace → Internetové pˇ ripojení vybereme volbu Offline, zaškrtneme volbu Použít vytᡠcené pˇ ripojení k Internetu, vybereme požadovanou položku telefonického pˇ ripojení (RAS) a zadáme pˇ ríslušné jméno a heslo pro toto pˇ ripojení. Veškerá odchozí pošta bude odesílána pˇ res nadˇ razený SMTP server. V sekci Konfigurace → SMTP server v záložce SMTP doruˇ cování vybereme volbu Použít nadˇ razený SMTP server a zadáme jeho jméno — smtp.poskytovatel.cz. Server vyžaduje ovˇ eˇ rení, proto zapneme volbu Nadˇ razený server vyžaduje ovˇ eˇ rování a vyplníme zde pˇ ríslušné jméno a heslo. Typ ovˇ eˇ rování nastavíme Pˇ ríkaz SMTP AUTH (pˇ rihlášení na SMTP server). V sekci Konfigurace → Pˇ ríjem pomocí ETRN, definujeme položku: server: etrn.poskytovatel.cz, doména: tretifirma.cz, Server vyžaduje ovˇ eˇ rení, zadáme pˇ ríslušné jméno a heslo. ˇ V sekci Konfigurace → Definice → Casové intervaly si vytvoˇ ríme ˇ casový interval Pracovní doba, obsahující rozsah hodin 8:00:00-17:00:00 a platný ve dnech pondˇ elí až pátek, který využijeme pˇ ri definici plánování. Nastavíme plánování pro pˇ ríjem a odesílání zpráv: Pˇ ridáme jedno plánování pro každou hodinu (Každých 1 hodin) platné v intervalu Pracovní doba a tˇ ri plánování pro konkrétní ˇ casy (V), platné vždy. U všech plánování zaškrtneme nejen volbu Poslat pˇ ríkaz ETRN na definované SMTP servery, ale také Odeslat zprávy z odchozí fronty, aby se odeslaly všechny pˇ rípadné odchozí zprávy.
309
Kapitola 31
ˇešení možných problém˚ R u v Kerio MailServeru
31.1 Reindexace poštovních složek Problém Uživatel má problém se zobrazením poštovní složky nebo dokonce celého mailboxu. Poškozená složka se jeví jako prázdná nebo jsou v ní zobrazeny jen nˇ ekteré zprávy. Velmi pravdˇ epodobnou pˇ ríˇ cinou tohoto problému je nesouhlasící obsah speciálního souboru index.fld s adresᡠrem #msgs v nˇ ekteré z poštovních složek Kerio MailServeru. Pro lepší orientaci v celém problému si musíme nejprve vysvˇ etlit, jak Kerio MailServer pracuje se zprávami. E-mailové zprávy, kontakty, události, úkoly a poznámky jsou fyzicky ukládány do úložištˇ e ve formˇ e stromové struktury složek. Tímto úložištˇ em je adresᡠr \store, který se dále ˇ clení na domény, poštovní schránky uživatel˚ u a složky v tˇ echto schránkách. Každá poštovní složka obsahuje nˇ ekolik adresᡠru ˚ a soubor˚ u, kam jsou fyzicky ukládány e-mailové zprávy a také r˚ uzné informace o nich. Pro nás je d˚ uležitý adresᡠr #msgs, kam jsou fyzicky ukládány zprávy ve formátu .eml soubor˚ u a speciální soubor index.fld, pomocí kterého se Kerio MailServer orientuje v adresᡠri #msgs pˇ ri komunikaci s poštovními klienty. Tento soubor se vytvᡠrí pro každou poštovní složku hned pˇ ri prvním spuštˇ ení Kerio MailServeru. Soubor index.fld obsahuje seznam zpráv, které daná složka obsahuje, a specifické informace k nim. Každý ˇ rádek v souboru pˇ redstavuje záznam o jedné e-mailové zprávˇ e, která je ve složce uložena. Soubor index.fld a adresᡠr #msgs jsou oba uloženy v každé složce, kterou má uživatel ve schránce vytvoˇ renu. Jako pˇ ríklad si m˚ užeme uvést následující cestu: \Kerio\MailServer\store\mail\firma.cz\jnovak\INBOX ˇešení R Následující ˇ rešení je velmi jednoduché: 1. 2.
Zastavíme Kerio MailServer Engine. V úložišti Kerio MailServeru, v adresᡠri store najdeme doménu uživatele, který má problémy s nˇ ekterou ze svých složek. V této složce najdeme a otevˇ reme složku nazvanou jeho/jejím uživatelským jménem. Tato složka fyzicky obsahuje celou poštovní schránku. Podsložky, které si uživatelé sami vytvoˇ rili jsou vnoˇ reny do hlavních složek — jsou uspoˇ rádány ve stejné hierarchii jako se zobrazují v rozhraní Kerio WebMail. 310
31.2 Pˇ renos konfigurace a dat serveru na jiný poˇ cítaˇ c
3. 4.
Ze složek vybereme tu, se kterou mˇ el uživatel problémy, otevˇ reme ji a pˇ rejmenujeme soubor index.fld na index.bad Spustíme Kerio MailServer Engine.
Pˇ ri prvním následném pˇ rihlášení uživatele k jeho schránce se soubor automaticky znovu vytvoˇ rí — tentokráte podle aktuálního stavu složky a zároveˇ n pˇ revezme flagy (pˇ ríznaky zpráv, které zobrazují napˇ ríklad zda zpráva nebyla oznaˇ cena jako smazaná, nebo zda byla pˇ reposlána) z p˚ uvodního souboru pˇ rejmenovaného na index.bad. Po spuštˇ ení Kerio MailServeru se v záznamu Error objeví záznam: [23/Jun/2005 12:12:47] mail_folder.cpp: Folder [email protected]/Contacts has corrupted status and index files, going to restore them. Some flag information may be lost
31.2 Pˇ renos konfigurace a dat serveru na jiný poˇ cítaˇ c Tato sekce popisuje situaci, kdy je potˇ reba pˇ reinstalovat operaˇ cní systém na poˇ cítaˇ ci, kde je provozován Kerio MailServer, nebo pˇ renést data i konfiguraci Kerio MailServeru fyzicky na jiný poˇ cítaˇ c. Nejjednodušším zp˚ usobem, jak pˇ renést data i konfiguraˇ cní soubory do nového úložištˇ e, je provést kompletní zálohu stávajícího Kerio MailServeru a tu pozdˇ eji rozbalit v novém úložišti nového Kerio MailServeru. Plná záloha obsahuje všechna data (složka store) i konfiguraˇ cní soubory vˇ cetnˇ e licence a používaných SSL certifikát˚ u (vizte sekci 15.2).
Obnovení obsahu a konfigurace serveru ze zálohy Pro pˇ renos konfigurace a dat Kerio MailServeru na jiný poˇ cítaˇ c je potˇ reba následující: 1. 2. 3. 4. 5.
6.
Proved’te kompletní zálohu v p˚ uvodním Kerio MailServeru (vizte kapitolu 15.2). Nainstalujte nový Kerio MailServer . Zastavte Kerio MailServer Engine nového Kerio MailServeru. Nástrojem Kerio MailServer Recover rozbalte zálohu do nového úložištˇ e nového Kerio MailServeru. (Nepovinné) Pˇ red pˇ renosem konfigurace doporuˇ cujeme zazálohovat adresᡠr myspell, a poté ho vkopírovat do nového úložištˇ e, pokud využíváte jiné než výchozí slovníky pro kontrolu pravopisu v rozhraní Kerio WebMail (o slovnících myspell se dozvíte více v sekci 17.3). Spust’te Kerio MailServer Engine.
311
Kapitola 32
KMS Web Administration
KMS Web Administration je webové rozhraní pro pˇ rístup ke správˇ e domény, respektive k jejím: • • • • •
uživatelským úˇ ct˚ um, skupinám, alias˚ um, e-mailovým konferencím, zdroj˚ um (místnosti a zaˇ rízení).
KMS Web Administration je koncipována podobným zp˚ usobem jako Kerio Administration Console. Obsahuje však pouze pˇ et sekcí, které korespondují s výše vypsaným seznamem. Jednotlivé sekce ale nemusí kopírovat do detailu veškeré funkce, které obsahuje administraˇ cní konzole. Naopak. Napˇ ríklad e-mailové konference obsahují z d˚ uvod˚ u zjednodušení konfigurace pouze naprosto základní nastavení. Pokud máte zájem konferenci založenou v KMS Web Administration upravit, lze tak samozˇ rejmˇ e uˇ cinit v Kerio Administration Console. Konkrétní nastavení není tˇ reba popisovat. Jednotlivé volby jsou popsány v ˇ cásti manuálu popisující Kerio Administration Console. Mimo to KMS Web Administration obsahuje kontextovou nápovˇ edu, která napom˚ uže správc˚ um domény pochopit možnosti využití všech funkcí KMS Web Administration. KMS Web Administration umožˇ nuje rozložení správy uživatel˚ u na více osob, aniž by tyto osoby mˇ ely právo pˇ ristupovat k celé správˇ e Kerio MailServeru. To je výhodné zejména pro poskytovatele Internetu, aby jejich zákazníci mohli sami pˇ ristupovat k nastavení uživatelských schránek, skupin, konferencí atd., ve svých doménách a podle aktuální potˇ reby je pˇ ridávat, mˇ enit nebo odstraˇ novat. Upozornˇ ení Úˇ cty mapované do Kerio MailServeru z LDAP databáze nelze pomocí webového rozhraní editovat. Tyto úˇ cty se budou v KMS Web Administration k dispozici pouze pro ˇ ctení.
32.1 WWW prohlížeˇ ce Pro pˇ rístup k rozhraní KMS Web Administration lze použít nové verze všech bˇ ežných prohlížeˇ cu ˚ podporující JavaScript a kaskádové styly (CSS). Podporované jsou prohlížeˇ ce: • Internet Explorer 7 • Firefox 2 a 3 • Safari 3 a 4
312
32.2 Pˇ rístupová práva k webovému rozhraní
Chcete-li využívat zabezpeˇ cený pˇ rístup k rozhraní KMS Web Administration (protokolem HTTPS), musí prohlížeˇ c podporovat zabezpeˇ cení SSL. Je-li možno jej konfigurovat (napˇ r. v prohlížeˇ ci Microsoft Internet Explorer), doporuˇ cuje se povolit podporu verzí SSL 3.0 a TLS 1.0.
32.2 Pˇ rístupová práva k webovému rozhraní Pˇ rístup do KMS Web Administration je ošetˇ ren speciálními pˇ rístupovými právy, která lze nastavit v administraˇ cní konzoli Kerio MailServeru. Uživatel˚ um s tˇ emito právy je umožnˇ en pˇ rístup do KMS Web Administration, kde mohou spravovat všechny úˇ cty a skupiny dané domény. Kromˇ e uživatel˚ u se speciálnˇ e nastavenými pˇ rístupovými právy má do KMS Web Administration automaticky pˇ rístup také každý uživatel s právy pro ˇ ctení a zápis do Kerio MailServeru.
Nastavení Pˇ rístupová práva pro pˇ rístup ke KMS Web Administration lze nastavit takto: 1. 2. 3.
V administraˇ cní konzoli se pˇ repneme do sekce Nastavení domény →Uživatelské úˇ cty. Vybereme a myší oznaˇ címe uživatele, kterému chceme práva pˇ ridˇ elit. Stiskneme tlaˇ cítko Zmˇ enit. Otevˇ re se dialog Zmˇ enit uživatele, kde se pˇ repneme do záložky Práva.
Obrázek 32.1
4. 5.
Nastavení pˇ rístupových práv ke KMS Web Administration
V záložce zaškrtneme položku Tento uživatel smí spravovat uživatelské úˇ cty, skupiny a aliasy pro svou vlastní doménu (vizte obrázek 32.1). Nastavení odsouhlasíme tlaˇ cítkem OK.
313
Kapitola 32 KMS Web Administration
32.3 Nastavení potˇ rebná pro webovou správu Aby byla správa pˇ res webové rozhraní plnˇ e funkˇ cní, je nutno provést nˇ ekterá nastavení v Kerio Administration Console: 1. 2.
3.
4.
V Kerio MailServeru musí být spuštˇ ena služba HTTP, pˇ rípadnˇ e její zabezpeˇ cená verze HTTPS (kapitola 6). V administraˇ cní konzoli je nutno povolit v sekci Konfigurace → Vzdálená správa správu pˇ res WWW rozhraní, pˇ rípadnˇ e kv˚ uli vˇ etší bezpeˇ cnosti omezit toto povolení na urˇ citou skupinu IP adres (kapitola 19.3). Vybranému uživateli musí být nastavena pˇ rístupová práva pro webovou administraci. Tato práva lze nastavit v sekci Nastavení domény → Uživatelské úˇ cty. V editaˇ cním dialogu vybraného uživatele v záložce Práva je nutno zaškrtnout volbu Tento uživatel smí spravovat aliasy a uživatelské úˇ cty/skupiny ve své vlastní doménˇ e (kapitola 32.2). Poznámka: Stejné oprávnˇ ení lze nastavit také celé skupinˇ e uživatel˚ u (Nastavení domény → Skupiny). Kerio MailServer poskytuje nastavení omezení poˇ ctu uživatel˚ u pro danou doménu. Po nastavení limitu nem˚ uže uživatel s právy pro správu uživatelských úˇ ct˚ u ve své doménˇ e tento limit pˇ rekroˇ cit. Nastavení limitu pro poˇ cet uživatel˚ u v doménˇ e se provádí v sekci Konfigurace → Domény. V editaˇ cním oknˇ e domény v záložce obecné je nutno nastavit položku Limit poˇ ctu uživatel˚ u v doménˇ e (kapitola 7.4).
32.4 Pˇ rihlášení uživatele Pro pˇ rístup ke službˇ e HTTP je tˇ reba do WWW prohlížeˇ ce jako URL zadat adresu poˇ cítaˇ ce, na nˇ emž Kerio MailServer bˇ eží, nebo jeho jméno, je-li zaneseno v DNS. V URL musí být rovnˇ ež specifikován protokol, a to bud’ HTTP pro nezabezpeˇ cený pˇ rístup, nebo HTTPS pro pˇ rístup zabezpeˇ cený SSL. URL tedy bude mít tvar napˇ r.: http://192.168.1.1/admin nebo https://mail.firma.cz/admin. Pˇ ri pˇ rístupu odjinud než z lokální sítˇ e je doporuˇ ceno používat bezpeˇ cný protokol HTTPS (pˇ ri použití protokolu HTTP lze velmi snadno odposlechnout a zneužít pˇ rihlašovací údaje uživatele). Pˇ ri výchozím nastavení bˇ eží služby HTTP a HTTPS na standardních portech (80 a 443). Budou-li tyto porty zmˇ enˇ eny, je tˇ reba pˇ ri pˇ rístupu k dané službˇ e uvést v URL také port, tedy napˇ r.: http://192.168.1.1:8000/admin nebo https://mail.firma.cz:8080/admin. Je-li URL zadáno správnˇ e, zobrazí se v prohlížeˇ ci pˇ rihlašovací stránka. Zde je tˇ reba zadat uživatelské jméno (pokud uživatel nepatˇ rí do primární domény, musí zadat celou elektronickou adresu) a heslo.
314
32.4 Pˇ rihlášení uživatele
Obrázek 32.2
Pˇ rihlášení k webové správˇ e
Odhlášení uživatele Po ukonˇ cení práce ve Web Administration doporuˇ cujeme odhlásit se. K odhlášení slouží tlaˇ cítko Odhlásit umístˇ ený v pravém horním rohu okna. Odhlášení zvyšuje bezpeˇ cnost dat uložených na serveru, protože pˇ rerušuje spojení s Kerio MailServerem. Toto opatˇ rení snižuje možnost zneužití spojení.
315
Kapitola 33
Kerio Outlook Connector
Kerio Outlook Connector je speciální modul pro MS Outlook, který rozšiˇ ruje spolupráci mezi Kerio MailServerem a MS Outlookem. Tento modul umožˇ nuje, aby data, která uživatelé potˇ rebují ke své práci, z˚ ustávala uložena na serveru. Tˇ emito daty jsou myšleny poštovní složky, kalendᡠre, úkoly, kontakty, poznámky a samozˇ rejmˇ e také veˇ rejné složky. Spoleˇ cnost Kerio Technologies vyvinula kromˇ e standardního Kerio Outlook Connectoru nový Kerio Outlook Connector (Offline Edition). Kerio Outlook Connector (Offline Edition) má proti Kerio Outlook Connectoru mnoho výhod. Hlavní z nich asi nejvíce využijí uživatelé s notebooky, protože jak napovídá název produktu, Kerio Outlook Connector (Offline Edition) umožˇuje v MS Outlooku pracovat offline. K dalším výhodám bezesporu patˇ n rí možnost vyhledávání v tˇ elech zpráv nebo takzvané seskupování. O Kerio Outlook Connectoru (Offline Edition) se dozvíte více v sekci 33.1. Standardní verzi Kerio Outlook Connectoru doporuˇ cujeme používat zejména v pˇ rípadˇ e, že používáte MS Outlook 2000, protože Kerio Outlook Connector (Offline Edition) vyžaduje MS Outlook XP a vyšší. O Kerio Outlook Connectoru se dozvíte více v sekci 33.2.
33.1 Kerio Outlook Connector (Offline Edition) Kerio Outlook Connector (Offline Edition) nabízí následující možnosti: • Pošta, události, poznámky, kontakty a úkoly jsou ukládány v Kerio MailServeru, a proto jsou dostupné odkudkoliv, kde máme k dispozici internetové pˇ ripojení. Pˇ ripojit se m˚ užeme nejen pomocí MS Outlooku, ale také pˇ res rozhraní Kerio WebMail nebo jiným poštovním klientem. • MS Outlook lze pˇ repnout do režimu offline. To znamená, že m˚ užeme poštu vyˇ rizovat i z domova nebo tˇ reba z autobusu. Tedy z míst, kde nemáme k dispozici internetové pˇ ripojení nebo kde je pˇ ríliš pomalé. Po opˇ etovném pˇ ripojení do režimu online Kerio Outlook Connector (Offline Edition) synchronizuje s poštovním serverem všechny zmˇ eny a odešle poštu z Outboxu. Z popisu je patrné, že tuto vlastnost pravdˇ epodobnˇ e využijí zejména uživatelé vlastnící notebook, protože svou poštu mohou vyˇ rizovat odkudkoliv. Staˇ cí otevˇ rít MS Outlook a zaˇ cít pracovat. • Kerio Outlook Connector (Offline Edition) podporuje práci se složkami. V MS Outlooku m˚ užeme tvoˇ rit hierarchicky uspoˇ rádané stromy složek s libovolnou hloubkou. Dále je podporováno sdílení složek, zobrazení veˇ rejných složek atd. • V kalendᡠrích je podporována vlastnost plánování sch˚ uzek a ve složkách s úkoly pˇ riˇ razování úkol˚ u dalším osobám. • Kerio Outlook Connector umožˇ nuje nastavení pravidel pro pˇ ríchozí poštu, která jsou umístˇ ena na serveru, a proto jsou platná globálnˇ e — pošta se bude tˇ rídit stejnˇ e v rozhraní Kerio WebMail i v jiných poštovních klientech. 316
33.1 Kerio Outlook Connector (Offline Edition)
• • • •
Kerio Outlook Connector nabízí vlastní antispamovou strategii. Kerio Outlook Connector umožˇ nuje vyhledávání v tˇ elech zpráv. Kerio Outlook Connector podporuje seskupování zpráv. Kerio Outlook Connector (Offline Edition) lze instalovat na terminálový server.
Poznámka: Kapitola popisuje nastavení v MS Outlooku 2007. Na starších verzích MS Outlooku se nastavení m˚ uže mírnˇ e lišit. Pro správnou funkci modulu musí být v Kerio MailServeru spuštˇ ena služba HTTP(S) — pˇ res tento protokol probíhá veškerá komunikace s Kerio MailServerem. Kerio Outlook Connector je lokalizován do jazyk˚ u vyjmenovaných v tabulce 33.1. Angliˇ ctina
Holandština Mad’arština
Ruština
ˇ Ceština
Chorvatština Nˇ emˇ cina
Slovenština
ˇ Cínština
Italština
Španˇ elština
Polština
Francouzština Japonština
Portugalština Švédština
Tabulka 33.1 Podporované jazyky
Lokalizace Kerio Outlook Connectoru se nastavuje automaticky podle lokalizace aplikace MS Outlook. V pˇ rípadˇ e, že je MS Outlook v lokalizaci, kterou Kerio Outlook Connector nemá k dispozici, bude automaticky lokalizován do anglického jazyka. Konkrétní možnosti a nastavení v MS Kerio MailServer 6, Pˇ ríruˇ cka uživatele).
Outlooku
jsou
popsána
v
manuálu
33.1.1 Ruˇ cní instalace na uživatelské stanici Instalaci Kerio Outlook Connectoru je možno spustit na tˇ echto verzích operaˇ cního systému: • Windows XP • Windows Vista (32 a 64 bit˚ u) s poslední nainstalovanou aktualizací Service Pack • Windows 7 Instalaci Kerio Outlook Connectoru je možno spustit s tˇ emito verzemi MS Outlooku: • MS Outlook XP + aktualizace Service Pack 3 (verze Outlook XP musí mít následující tvar: 10.0.6515.xyz). • MS Outlook 2003 + aktualizace Service Pack 3 (nebude-li instalace opatˇ rena pˇ ríslušnou aktualizací, Kerio Outlook Connector se odmítne nainstalovat). • MS Outlook 2007 + aktualizace Service Pack 1 Kerio Outlook Connector (Offline Edition) vyžaduje Internet Explorer 6.0 a vyšší.
317
Kapitola 33 Kerio Outlook Connector
Upozornˇ ení Kerio Outlook Connector (Offline edition) komunikuje se serverem pˇ res rozhraní MAPI, které je založeno na protokolu HTTP(S). Z toho d˚ uvodu je tˇ reba na serveru spustit službu HTTP(S) a en. namapovat pˇ ríslušný port nebo porty na firewallu, kterým je server chránˇ Instalace Kerio Outlook Connectoru probíhá standardnˇ e pomocí instalaˇ cního pr˚ uvodce. Po instalaci je zapotˇ rebí explicitnˇ e nastavit profil a poštovní úˇ cet. Upozornˇ ení • Na poˇ cítaˇ ci nejprve musí být nainstalován MS Outlook, a teprve poté Kerio Outlook Connector (Offline Edition). V opaˇ cném pˇ rípadˇ e nebude aplikace funkˇ cní. • Pˇ ri zmˇ enˇ e verze aplikace MS Outlook je nutné Kerio Outlook Connector ruˇ cnˇ e pˇ reinstalovat.
Instalace na stanice kde byl nainstalován Kerio Outlook Connector Upgrade Kerio Outlook Connectoru na Kerio Outlook Connector (Offline Edition) je ve vˇ etšinˇ e pˇ rípad˚ u bezproblémový. Po spuštˇ ení instalace se automaticky spustí konvertor, který pˇ revede všechny Kerio profily pˇ rihlášeného uživatele na profily pro Kerio Outlook Connector (Offline Edition). Je-li stanice online pˇ ripojena k Internetu, automaticky se vytvoˇ rí a aktualizuje lokální databáze Kerio Outlook Connector (Offline Edition). Speciální pˇ rípady: Jednu uživatelskou stanici využívá více uživatel˚ u Využívá-li uživatelskou stanici více uživatel˚ u, provedeme instalaci jednou a pod každým z ostatních uživatel˚ u spustíme pouze konvertor, který je umístˇ en v menu Start → Programy → Kerio → Outlook Profile Conversion Utility. Kerio Outlook Connector je instalován bez pˇ rístupu ke Kerio MailServeru V takovém pˇ rípadˇ e jsou profily zmˇ enˇ eny, avšak je tˇ reba je po pˇ ripojení k serveru dokonˇ cit: V dialogu pro obsluhu profil˚ u (Start → Nastavení → Ovládací panely → Pošta → Zobrazit profily) vybereme Kerio profil a stiskneme tlaˇ cítko Vlastnosti. 2. V pr˚ uvodci klikneme na tlaˇ cítko Uživatelské úˇ cty. 3. V dalším kroku poklepeme na Kerio úˇ cet a jeho údaje potvrdíme tlaˇ cítkem OK. Dále se automaticky provede dokonˇ cení konverze na profil Kerio Outlook Connector (Offline Edition). Tuto proceduru je tˇ reba provést s každým profilem, kde je založen Kerio úˇ cet.
1.
318
33.1 Kerio Outlook Connector (Offline Edition)
Nastavení profilu a poštovního úˇ ctu Uživatelský profil je soubor, který ukládá osobní nastavení v MS Outlook. Uživatel si pro MS Outlook m˚ uže vytvoˇ rit libovolné množství profil˚ u. Využívání více profil˚ u je nezbytné zejména ve dvou pˇ rípadech. Bud’ má k poˇ cítaˇ ci pˇ rístup více lidí najednou a každý z nich potˇ rebuje vlastní e-mailovou schránku a osobní nastavení aplikace, nebo uživatel používá více r˚ uzných poštovních schránek a chce pro nˇ e mít odlišná osobní nastavení. V ostatních pˇ rípadech staˇ cí vytvoˇ rit pouze jeden profil pro jeden ˇ ci více poštovních úˇ ct˚ u. Nový profil lze nastavit v menu Start → Nastavení → Ovládací panely → Pošta: 1. 2. 3.
4.
V dialogu Nastavení pošty vybereme tlaˇ cítko profily. Nový profil pˇ ridáme tlaˇ cítkem Pˇ ridat. Jméno profilu m˚ uže být libovolné. Otevˇ re se pr˚ uvodce pro založení nového poštovního úˇ ctu. Do dialogu není tˇ reba nic zapisovat, staˇ cí jen zaškrtnout volbu Konfigurovat ruˇ cnˇ e nastavení serveru nebo další typy server˚ u umístˇ enou vlevo dole. V dialogu Zvolit e-mailovou službu vybereme možnost Jiné a oznaˇ címe Kerio MailServer (KOC Offline Edition) (vizte obrázek 33.1). Poté stiskneme tlaˇ cítko Další.
Obrázek 33.1
5.
Nastavení nového úˇ ctu — výbˇ er e-mailové služby
V dialogu v záložce Úˇ cty nastavíme základní parametry pro pˇ ripojení k poštovnímu serveru (vizte obrázek 33.2): Název serveru DNS jméno nebo IP adresa poštovního serveru. Zabezpeˇ cené ovˇ eˇ rování hesla Volba umožˇ nuje využití NTLM ovˇ eˇ rování. Po jejím zaškrtnutí uživatel nemusí nastavovat uživatelské jméno a heslo — místo jména a hesla bude použito ovˇ eˇ rování proti Active Directory doménˇ e. Aby bylo NTLM ovˇ eˇ rování funkˇ cní, je nutné, aby poˇ cítaˇ c i uživatelský úˇ cet byly souˇ cástí domény, proti které se uživatel ovˇ eˇ ruje. 319
Kapitola 33 Kerio Outlook Connector
Obrázek 33.2
Nastavení nového úˇ ctu
Upozornˇ ení NTLM (SPA) ovˇ eˇ rování lze využít pouze v pˇ rípadˇ e, že je Kerio MailServer nainstalován na operaˇ cním systému Windows.
6.
Uživatelské jméno Uživatelské jméno používané pro pˇ rihlášení k poštovnímu serveru. Pokud uživatel není zaˇ razen do primární domény, musí být zadána celá elektronická adresa uživatele ([email protected]). Heslo Heslo uživatele. Tlaˇ cítko Test spojení umožˇ nuje vyzkoušet, zda byly údaje vyplnˇ eny správnˇ e, a zda je spojení s Kerio MailServerem v poˇ rádku. Pokud test probˇ ehne bez problém˚ u, pole Jméno a Elektronická adresa budou automaticky vyplnˇ ena správnými údaji. Konfigurace záložky Nastavení serveru je odvislá od bezpeˇ cnostní politiky, která je nastavena na serveru. Výchozí konfigurace zabezpeˇ cuje veškerou komunikaci mezi Kerio MailServerem a MS Outlookem protokolem SSL. Doporuˇ cujeme toto nastavení nemˇ enit. Upozornˇ ení Komunikace šifrovaná SSL vyžaduje instalaci SSL certifikátu vydaného d˚ uvˇ eryhodnou certifikaˇ cní autoritou.
320
33.1 Kerio Outlook Connector (Offline Edition)
33.1.2 Automatická instalace a nastavení profilu uživatel˚ u Spoleˇ cnost Kerio Technologies pˇ ripravila svým zákazník˚ um nástroj ProfileCreator, který umožˇuje automatické vytvoˇ n rení poštovního profilu uživatele na klientských stanicích. Hlavní výhodou tohoto nástroje je možnost vytvᡠret profily uživatel˚ u dávkovˇ e pomocí jednoduchého skriptu. Jak pˇ resnˇ e lze ProfileCreator použít najdete ve scénᡠrích použití umístˇ ených níže v textu. ProfileCreator je nástrojem pro Windows spustitelný z pˇ ríkazové ˇ rádky, který najdete v adresᡠri, kde je nainstalován Kerio Outlook Connector. Spustit jej lze pˇ ríkazem ProfileCreator.exe. Po zavolání pˇ ríkazu se vypíše nápovˇ eda k jeho použití. ProfileCreator lze spustit ve dvou základních režimech podle typu ovˇ eˇ rování: • Ovˇ eˇ rování uživatelským jménem a heslem: PROFILECREATOR /profile=<profile> /host=
321
Kapitola 33 Kerio Outlook Connector
Volba
Popis
/help
Zobrazí nápovˇ edu k programu.
/profile
Název profilu, který má být nastaven.
/host
DNS jméno, kde je spuštˇ en Kerio MailServer.
/user
Uživatelské jméno do Kerio MailServeru.
/password
Heslo do Kerio MailServeru.
/port
Použijte v pˇ rípadˇ e, že je protokol HTTP(S) spuštˇ en na nestandardním portu
/tlimit
Nastaví ˇ casový limit pro HTTP spojení. Pokud máte pomalé pˇ ripojení, zvyšte limit. Výchozí hodnotou je 180 ms.
/quiet
Potlaˇ cení veškerých hlášení do pˇ ríkazové ˇ rádky.
/nossl
Zákaz použití spojení zabezpeˇ ceného SSL.
/nocompression Zákaz komprese HTTP dat. /offline
Bˇ ehem vytvᡠrení profilu se MS Outlook nebude pokoušet pˇ ripojit se ke Kerio MailServeru. Pokusí se pˇ ripojit až bˇ ehem prvního spuštˇ ení MS Outlooku. Tuto volbu doporuˇ cujeme využít zejména tehdy, nejste-li si jisti, že váš Kerio MailServer bude bˇ ehem konfigurace profilu dostupný.
/rename
Standardnˇ e je názvem profilu uživatelské jméno daného uživatele. /rename umožˇ nuje explicitnˇ e zadat jiné jméno profilu.
/spa
Tuto funkci je možno použít, jestliže se uživatel klientského poˇ cítaˇ ce pˇ rihlašuje do NT domény. Pak není nutné zadávat v klientovi heslo, místo nˇ ej se použijí stejné ovˇ eˇ rovací údaje jako pˇ ri pˇ rihlášení do domény.
Tabulka 33.2
Volby nástroje ProfileCreator
Lokální automatická konfigurace profilu Na uživatelské stanici je nainstalován MS Outlook a uživatel si stáhne a nainstaluje Kerio Outlook Connector a spustí ProfileCreator pro vytvoˇ rení poštovního profilu a pˇ rednastavení Kerio úˇ ctu. Uživatel nebo administrátor m˚ uže jednoduchým zp˚ usobem nainstalovat Kerio Outlook Connector a nechat automaticky nakonfigurovat profil z Integrace s Windows. Integrace s Windows zobrazíte zadáním následující adresy do vašeho prohlížeˇ ce: http://nazev_serveru/integration nebo zobrazte v prohlížeˇ ci úvodní stránku rozhraní Kerio WebMail a pod pˇ rihlašovacím dialogem kliknˇ ete na odkaz Integrace s Windows. Hned první volbou je možnost stažení Kerio Outlook Connectoru. Stáhnˇ ete jej a nainstalujte ete na volbu Click here to auto-configure Kerio Outlook podle návodu v sekci 33.1.1. Dále kliknˇ 322
33.1 Kerio Outlook Connector (Offline Edition)
Connector a spust’te soubor (nˇ ekteré prohlížeˇ ce umožˇ nují spuštˇ ení pˇ rímo po kliknutí na odkaz, nˇ ekteré soubor pouze stáhnou, a uživateli pak staˇ cí soubor dvojitým kliknutím spustit). Skript vytvoˇ rí profil s názvem Kerio. Pokud již takový existuje, vytvoˇ rí se Kerio.001 atd. Vzdálená konfigurace profilu na více uživatelských stanicích Na uživatelských stanicích nejsou nainstalovány MS Outlooky ani Kerio Outlook Connectory a vše bude instalováno vzdálenˇ e prostˇ rednictvím služeb Active Directory. Tato možnost se týká spoleˇ cností, které využívají adresᡠrovou službu Active Directory, mapují uživatelské úˇ cty z adresᡠrové služby do Kerio MailServeru a chtˇ ejí uživatel˚ um vzdálenˇ e instalovat Kerio Outlook Connector (Offline Edition) ve formˇ e MSI balíˇ cku. To je standardní možnost nabízená servery spoleˇ cnosti Microsoft Corporation. Po vzdálené instalaci obou aplikací lze vzdálenˇ e uživatel˚ um nastavit nový profil v MS Outlooku a pˇ rednastavit Kerio úˇ cet. Uživatel˚ um potom bude staˇ cit pˇ ri prvním pˇ rihlášení ke stanici zadat heslo ke schránce v Kerio MailServeru (v pˇ rípadˇ e, že není použito NTLM ovˇ eˇ rování) , aniž by museli doplˇ novat své uživatelské jméno nebo adresu Kerio MailServeru. Pˇ ríprava distribuce MSI balíˇ ck˚ u Než zaˇ cnete, pˇ ripravte si prosím následující: MSI balíˇ cek Kerio Outlook Connectoru (Offline Edition) MS Outlook nainstalovaný na uživatelské stanice. Pokud uživatelé Outlook ještˇ e nepoužívají, lze podle návodu na instalaci Kerio Outlook Connectoru nainstalovat vzdálenˇ e také MS Outlook. 3. Uživatelské úˇ cty musí být umístˇ eny v Active Directory. Pokud si budete vytvᡠret vlastní skript, pˇ redcházející podmínky jsou postaˇ cující. Chceteli však použít skript z tohoto návodu, proved’te prosím ještˇ e následující:
1. 2.
Na doménovém serveru musí být nainstalován doplnˇ ek Kerio Active Directory Extension. 2. V síti musí být nainstalován plnˇ e funkˇ cní Kerio MailServer a uživatelské úˇ cty z domény Active Directory jsou do nˇ ej mapovány (mapování uživatel˚ u podrobnˇ e popisuje kapitola 10). Následující text popisuje standardní kroky pro distribuci MSI balíˇ cku. Pokud jste již podobnou akci provádˇ eli a umíte provádˇ et vzdálené instalace na stanice uživatel˚ u, m˚ užete jej pˇ reskoˇ cit. Upozornˇ ení Níže popsaným zp˚ usobem lze instalovat na stanice klient˚ u jak MS Outlook tak Kerio Outlook Connector. Pokud chcete instalovat oba balíky, musí být na stanice vždy nejprve nainstalován MS Outlook, a teprve poté Kerio Outlook Connector. 1.
1.
2.
Na jakémkoliv poˇ cítaˇ ci dostupném prostˇ rednictvím sítˇ e vytvoˇ rte nový adresᡠr. Nastavte tomuto adresᡠri pˇ rístupová práva tak, aby k nˇ emu mˇ ely pˇ rístup pro ˇ ctení všichni doménoví uživatelé (pravým tlaˇ cítkem myši otevˇ rete místní nabídku, vyberete volbu Sdílet a nastavíte práva v záložkách Sdílení a Zabezpeˇ cení). Do vytvoˇ reného adresᡠre zkopírujte/pˇ resuˇ nte MSI balíˇ cek Kerio Outlook Connectoru. 323
Kapitola 33 Kerio Outlook Connector
3. 4. 5.
Ovˇ eˇ rte dostupnost balíˇ cku z nˇ ekterého klientského poˇ cítaˇ ce. V doménovém serveru se pˇ repnˇ ete do menu Start → Ovládací panely → Nástroje pro správu → Uživatelé a poˇ cítaˇ ce služby Active Directory. Zde je tˇ reba nastavit zásady pro instalaci MSI balíˇ cku. Zásady mohou být nastaveny pro celou doménu nebo lze vytvoˇ rit organizaˇ cní jednotku pro vybrané uživatele. Upozornˇ ení Novou organizaˇ cní jednotku vytvoˇ rte takto: 1. 2.
6.
Na jménu domény kliknˇ ete pravým tlaˇ cítkem a v místní nabídce vyberte Nová → Organizaˇ cní jednotka. Zadejte jméno nové organizaˇ cní jednotky a uložte ji tlaˇ cítkem OK.
Na názvu domény nebo vytvoˇ rené organizaˇ cní jednotce kliknˇ ete pravým tlaˇ cítkem a v kontextové nabídce vyberte Vlastnosti. V zobrazeném dialogu vyberte záložku Zásady skupiny. Stisknˇ ete tlaˇ cítko Nová a zadejte jméno nové zásady skupiny (vizte obrázek 33.3).
Obrázek 33.3
Dialog Zásady skupiny
Stisknˇ ete tlaˇ cítko Upravit (zároveˇ n musí být oznaˇ cená vaše nová položka). Otevˇ re se editor pro zásady skupiny. 8. Pˇ repnˇ ete se do nové zásady skupiny Konfigurace uživatele → Nastavení softwaru → Instalace softwaru. 9. Na Instalace softwaru kliknˇ ete pravým tlaˇ cítkem a vyberte Nový → Balíˇ cek. 10. Zadejte cestu k balíˇ cku ve tvaru UNC (napˇ ríklad \\nazev_serveru\share\koff-6.7.0.msi). 7.
324
33.1 Kerio Outlook Connector (Offline Edition)
11. Vyberte metodu zavedení (vizte obrázek 33.4). Lze zvolit libovolnou, avšak doporuˇ cujeme použít Pˇ riˇ razené.
Obrázek 33.4
Dialog Zavedení aplikace
Poznámka: • Publikované — uživatel se m˚ uže rozhodnout, zda chce program instalovat ˇ ci ne. Aplikace se sama nenabídne k instalaci. • Pˇ riˇ razené — instalace probˇ ehne automaticky bezprostˇ rednˇ e po jeho prvním pˇ rihlášení. Konfigurace uživatelských profil˚ u Po instalaci MSI balíˇ cku s Kerio Outlook Connectorem musí být vytvoˇ ren uživatel˚ um jejich profil a Kerio úˇ cet. Toto nelze provést pˇ rímo po instalaci, proto je tˇ reba souˇ casnˇ e s instalací vytvoˇ rit uživatelský skript pro pˇ rihlášení: 1.
2. 3. 4. 5.
6. 7.
8.
9.
Pˇ repnˇ ete se do zásad skupiny, která byla vytvoˇ rena za úˇ celem instalace Kerio Outlook Connectoru a vyberte: Konfigurace uživatele → Nastavení systému Windows → Skripty (pro pˇ rihlášení nebo odhlášení). Poklikejte na ikonu Pˇ rihlášení. Stisknˇ ete tlaˇ cítko Pˇ ridat a v dalším dialogu Procházet. Kliknˇ ete v oknˇ e pravým tlaˇ cítkem a v kontextové nabídce vyberte Nový → Textový dokument (vizte obrázek 33.5). ˇte pˇ Pˇ rejmenujte soubor a zmˇ en ríponu na .BAT (napˇ ríklad ProfileCreator.bat). Ovˇ eˇ rte, zda mají uživatelé z Active Directory práva pro ˇ ctení (pravým tlaˇ cítkem kliknete na souboru, vyberete Vlastnosti, kde se pˇ repnete do záložky Zabezpeˇ cení a v ní pˇ ridáte skupinu uživatel˚ u z domény). Kliknˇ ete na soubor pravým tlaˇ cítkem a v kontextové nabídce vyberete možnost Upravit. Otevˇ re se Poznámkový blok, ve kterém m˚ užete pˇ ripravit konfiguraˇ cní skript. Pokud nevíte, jak si takový skript pˇ ripravit, pˇ ripravili jsme pro vás kompletní pˇ ríklad (vizte text níže). Po vytvoˇ rení skriptu jej uložte a stisknˇ ete tlaˇ cítko Otevˇ rít. Poznámka: Pokud využíváte referenˇ cní skript níže, zadejte do pole Parametry skriptu adresu, kde je spuštˇ en váš Kerio MailServer. Tato adresa se ve skriptu doplní do parametru /host=%1 Potvrd’te nastavení a zavˇ rete Active Directory konzoli. 325
Kapitola 33 Kerio Outlook Connector
Obrázek 33.5
Založení konfiguraˇ cního skriptu
Test správnosti nastavení V Active Directory založte nového uživatele v organizaˇ cní jednotce, pro kterou byly vytvoˇ reny zásady skupiny pro instalaci Kerio Outlook Connectoru. 2. Pokuste se tímto uživatelem pˇ rihlásit z klientského poˇ cítaˇ ce. 3. Po pˇ rihlášení by se mˇ el zobrazit pr˚ uvodce instalací, vytvoˇ rí se profil a nakonec se otevˇ re MS Outlook. Zobrazí se dialog pro zadání uživatelského úˇ ctu, kde pouze zadáte uživatelské heslo a MS Outlook i Kerio úˇ cet budou kompletnˇ e funkˇ cní. Upozornˇ ení Nepodaˇ rí-li se celý proces, zkontrolujte prosím, zda je MSI balíˇ cek a skript pro vytvoˇ rení profilu pˇ rístupný ze všech klientských poˇ cítaˇ cu ˚, a zda jim jsou nastavena pˇ ríslušná práva. 1.
Pˇ ríklad konfiguraˇ cního skriptu: Následující ˇ cást poskytuje jednoduchý pˇ ríklad konfiguraˇ cního skriptu. Pokud vám tento skript z nˇ ejakého d˚ uvodu nevyhovuje, m˚ užete si jej upravit nebo napsat úplnˇ e jiný. Pokud však nevíte, jak takový skript napsat, lze tento bez problém˚ u použít pro vytvoˇ rení profil˚ u. Skript je pro lepší orientaci popsán detailními komentᡠri. Komentᡠr se vyskytuje vždy za znakem „#“.
326
33.1 Kerio Outlook Connector (Offline Edition)
#Vypnutí výpis˚ u do pˇ ríkazové ˇ rádky @echo off #Zajištˇ ení logování do souboru KOFFProfileCreator.LOG echo Profile creator script launched... > "%userprofile%\KOFFProfileCreator.LOG" #Kód pˇ redstavuje test, zda na pocítaˇ ci již neexistuje soubor #KOFFProfile.reg, který má být skriptem vytvoˇ ren. Pokud takový #profil existuje, bude odstranˇ en. if exist KOFFProfile.reg ( echo Deleting old KOFFProfile.reg temporary file... >> "%userprofile%\KOFFProfileCreator.LOG" del KOFFProfile.reg >> "%userprofile%\KOFFProfileCreator.LOG" ) #Zavolá se utilita reg operaˇ cního systému #a pokusí se exportovat vˇ etev registru obsahující #profil aktuálnˇ e pˇ rihlášeného uživatele do souboru #KOFFProfile.reg. Pokud profil existuje, operace #se provede a soubor se vytvoˇ rí. V opaˇ cném pˇ rípadˇ e #operace selže a soubor se nevytvoˇ rí. call reg export "HKCU\Software\Microsoft\Windows NT\CurrentVersion \Windows Messaging Subsystem\Profiles\%username%" KOFFProfile.reg >> "%userprofile%\KOFFProfileCreator.LOG" #Pokud se pˇ redchozí soubor správnˇ e vytvoˇ rí (d˚ ukaz správného exportu a #existence profilu), skript se ukonˇ cí. if exist KOFFProfile.reg ( del KOFFProfile.reg >> "%userprofile%\KOFFProfileCreator.LOG" exit ) #Do logu se pˇ ripíše hlášení o zapoˇ cetí #konfigurace profilu echo Now new profile will be created... >> "%userprofile%\KOFFProfileCreator.LOG" #Skript spustí utilitu ProfileCreator, #která vytvoˇ rí profil v registru. Výsledek se opˇ et #zapíše do logu KOFFProfileCreator.LOG call "%programfiles%\Kerio\Outlook Connector (Offline Edition)\ProfileCreator.exe" /profile=%username%@%userdnsdomain% 327
Kapitola 33 Kerio Outlook Connector
/host=%1 /user=%username% /offline >> "%userprofile%\KOFFProfileCreator.LOG" #Do logu se pˇ ripíše hlášení o spouštˇ ení Outlooku echo Profile was created. Now starting MS Outlook... >> "%userprofile%\KOFFProfileCreator.LOG" #Skript spustí po prvním pˇ rihlášení uživatele Outlook. #Outlook rozpozná nový profil a zjistí, že pro úplnou konfiguraci #mu chybí uživatelské heslo do Kerio MailServeru. Otevˇ re tedy #dialog pro konfiguraci úˇ ctu a uživatel sem m˚ uže heslo doplnit. "%programfiles%\Microsoft Office\OFFICE11\OUTLOOK.EXE" >> "%userprofile%\KOFFProfileCreator.LOG" Poznámka: Další vhodný pˇ ríklad skriptu najdete na adrese http://server/integration (napˇ ríklad tedy http://mail.firma.cz/integration). Zde, na stránce Integrace s Windows, je umístˇ en odkaz na stažení skriptu, který je pˇ ripraven pro autokonfiguraci profilu na stanici. Pˇ red tvoˇ rením vašeho vlastního skriptu doporuˇ cujeme si tuto verzi d˚ ukladnˇ e prostudovat.
33.1.3 Poznámky k instalaci a upgradu na terminálovém serveru • Instalace na terminálovém serveru musí být provedena administrátorem. • Kdykoliv je provedena aktualizace Kerio MailServeru, je tˇ reba, aby administrátor ruˇ cnˇ e provedl aktualizaci Kerio Outlook Connectoru na terminálovém serveru. V opaˇ cném pˇ rípadˇ e se uživatelé nebudou moci ke svému Kerio úˇ ctu pˇ rihlásit. • Poštovní profil uživatel˚ u je ukládán vždy lokálnˇ e na jejich pracovních stanicích. Roamingový (cestovní) profil nebude uživatel˚ um fungovat.
33.1.4 Automatická aktualizace Upgrade nových verzí Kerio Outlook Connectoru je provádˇ en automaticky. Je-li k dispozici nová verze, potom se bezprostˇ rednˇ e po spuštˇ ení aplikace MS Outlook Kerio Outlook Connector aktualizuje. Upozornˇ ení Po dokonˇ cení aktualizace následuje automatický restart aplikace MS Outlook. Celá aktualizace vˇ cetnˇ e restartu aplikace trvá maximálnˇ e jednu až dvˇ e minuty. Automatická aktualizace obsahuje kontrolu verzí Kerio MailServeru a Kerio Outlook Connectoru. To znamená, že pokud verze serveru a klienta nesouhlasí, uživatel je informován o tom, že je na serveru nainstalována jiná verze Kerio MailServeru, a že je tˇ reba klienta aktualizovat. Po odsouhlasení bude verze okamžitˇ e aktualizována (nebo proveden downgrade — snížení verze).
328
33.1 Kerio Outlook Connector (Offline Edition)
Poznámka: Pokud se server od klienta liší jenom v ˇ císle buildu (ˇ císla verzí v upozorˇ nujícím oknˇ e se neliší), bude klient funkˇ cní i v pˇ rípadˇ e, že aktualizaci odmítnete. Pokud se server od klienta liší ˇ císlem verze (napˇ ríklad 6.7.0 a 6.7.1), potom se Kerio Outlook Connector bez pˇ ríslušné aktualizace odmítne spustit.
33.1.5 Online/Offline režim Kerio Outlook Connector (Offline Edition) podporuje režimy online a offline. Online režim je standardní režim MS Outlooku, který pˇ redpokládá pˇ ripojení k Internetu. Offline režim umožˇuje spustit MS Outlook a pracovat v nˇ n em bez internetového pˇ ripojení. Znamená to, že je tˇ reba mít veškerou poštu, události, úkoly atd. uložené v lokálním úložišti na klientské stanici. Po pˇ ripojení k Internetu je možné veškerá zmˇ enˇ ená data synchronizovat s poštovní schránkou umístˇ enou v Kerio MailServeru. Režim offline lze prakticky využít zejména na notebooku, protože to umožˇ nuje práci napˇ ríklad v dopravních prostˇ redcích nebo na jiných místech bez internetového pˇ ripojení. Nové zprávy, události nebo úkoly se po pˇ repojení zpˇ et do online režimu automaticky synchronizují s úložištˇ em na serveru. Standardním nastavením MS Outlooku je režim online. Do režimu offline se pˇ repneme jednoduše. V menu Soubor na hlavním panelu klikneme na možnost Pracovat offline. Zavˇ reme-li MS Outlook v režimu offline, bude pˇ ri následujícím spuštˇ ení opˇ et v režimu offline. Offline režim je tˇ reba vypnout explicitnˇ e v menu Soubor. Kerio Outlook Connector (Offline Edition) informuje o zmˇ enˇ e režimu z online do offline a o probíhající synchronizaci prostˇ rednictvím speciální ikony, která se zobrazuje v oznamovací oblasti systému (vizte obrázek 33.6). Ikona upozorˇ nuje na následující situace:
Obrázek 33.6
Stav synchronizace
• Probíhá synchronizace — u ikony se zobrazí šipky. • MS Outlook je spuštˇ en v režimu offline — u ikony se zobrazí šedá šipka zobrazující smˇ er dol˚ u. • MS Outlook ztratil spojení se serverem — pˇ res ikonu je zobrazen ˇ cervený kˇ rížek. Neprobíhá-li synchronizace a MS Outlook je normálnˇ e spuštˇ en v režimu online, ikona je skryta.
Synchronizace Po spuštˇ ení MS Outlooku se primárnˇ e zaˇ cne synchronizovat složka, kterou má uživatel zrovna otevˇ renou. Každou složku uloženou v Kerio MailServeru lze synchronizovat v jednom ze dvou režim˚ u: 329
Kapitola 33 Kerio Outlook Connector
• Plná synchronizace položky. • Synchronizace hlaviˇ cky a tˇ ela zprávy v prostém textu. Synchronizace mezi Kerio MailServerem a Kerio Outlook Connectorem probíhá ve výchozím režimu takto: • Doruˇ cená pošta — synchronizovány jsou celé zprávy. • Ostatní poštovní složky — synchronizovány jsou pouze hlaviˇ cky zpráv a tˇ elo v prostém textu. • Události — synchronizovány jsou celé události. • Kontakty — synchronizovány jsou celé kontakty. • Úkoly — synchronizovány jsou celé úkoly. • Poznámky — synchronizovány jsou celé poznámky. Výchozí režim synchronizace lze zmˇ enit (pˇ rizp˚ usobit) ve vlastnostech každé složky: 1. 2.
Na vybranou složku klikneme pravým tlaˇ cítkem myši a v kontextovém menu zvolíme možnost Vlastnosti. V oknˇ e Vlastnosti vybereme záložku Synchronizace složek (vizte obrázek 33.7).
Obrázek 33.7
Nastavení synchronizace složky
Upozornˇ ení V pˇ rípadˇ e, že nechceme složku synchronizovat v˚ ubec, staˇ cí vypnout volbu Povolit synchronizaci této složky. Všechny zprávy, které daná složka již obsahuje, však budou nadále synchronizovány.
Konflikty Konflikt synchronizace je situace, kdy je zpráva, událost nebo jakákoliv další položka zmˇ enˇ ena na serveru i v Kerio Outlook Connectoru v intervalu mezi synchronizacemi (synchronizace je spouštˇ ena v urˇ citých ˇ casových intervalech). Server v takovém pˇ rípadˇ e nerozezná pˇ resnˇ e, která ze zmˇ en dané položky je aktuální a žádoucí. Pokud konflikt pˇ ri synchronizaci nastane, vítˇ ezná položka je uložena do pˇ ríslušné složky, kam mˇ ela být doruˇ cena. Verze položky, která prohrála, je umístˇ ena do speciální složky nazvané Konflikty. Tato složka se zobrazuje pouze v MS Outlooku. V rozhraní Kerio WebMail ani v jiném poštovním klientovi se nezobrazí. 330
33.2 Kerio Outlook Connector
Obˇ e položky, vyhrávající i prohrávající m˚ užeme snadno porovnat a rozhodnout se, která z nich je aktuální. V pˇ rípadˇ e, že je aktuální položka ze složky Konflikty, jednoduše ji pˇ resuneme do správné složky a druhou verzi vymažeme. Každý konflikt oznamuje speciální zpráva doruˇ cená do MS Outlooku. Obsahem pˇ redmˇ etu zprávy je Zpráva v konfliktu!. Zpráva o konfliktu uvádí název zprávy, události, kontaktu nebo jiné položky, která se do konfliktu dostala a její umístˇ ení v mailboxu (ve které složce je umístˇ ena). Lokální verze položky je pˇ resunuta do složky Konflikty. Pokud je tato verze aktuální, prostˇ e ji zamˇ eníme za verzi v pˇ ríslušné složce.
33.2 Kerio Outlook Connector Kerio Outlook Connector nabízí následující možnosti: • Pošta, události, poznámky, kontakty a úkoly jsou ukládány v Kerio MailServeru, a proto jsou dostupné odkudkoliv, kde máme k dispozici internetové pˇ ripojení. Pˇ ripojit se m˚ užeme nejen pomocí MS Outlooku, ale také pˇ res rozhraní Kerio WebMail nebo jiným poštovním klientem. • Kerio Outlook Connector podporuje práci se složkami. V MS Outlooku m˚ užeme tvoˇ rit hierarchicky uspoˇ rádané stromy složek s libovolnou hloubkou. Dále je podporováno sdílení složek, zobrazení veˇ rejných složek atd. • V kalendᡠrích je podporována vlastnost plánování sch˚ uzek a ve složkách s úkoly pˇ riˇ razování úkol˚ u dalším osobám. • Kerio Outlook Connector umožˇ nuje nastavení pravidel pro pˇ ríchozí poštu, která jsou umístˇ ena na serveru, a proto jsou platná globálnˇ e — pošta se bude tˇ rídit stejnˇ e v rozhraní Kerio WebMail i v jiných poštovních klientech. • Kerio Outlook Connector nabízí vlastní antispamovou strategii. Upozornˇ ení Kerio Outlook Connector nelze používat na terminálovém serveru. Souˇ cástí Kerio Outlook Connectoru je také standardní Nápovˇ eda pro uživatele, která je umístˇ ena v aplikaci MS Outlook na panelu nástroj˚ u (Nápovˇ eda → Nápovˇ eda ke Kerio Outlook Connectoru). Kerio Outlook Connector pro spolupráci aplikací Kerio MailServer a MS Outlook využívá otevˇ rené rozhraní MAPI vyvinuté spoleˇ cností Microsoft. MAPI (Messaging Application Programming Interface) je univerzální rozhraní pro pˇ renos zpráv. Je to softwarové rozhraní, které umožˇ nuje libovolnému MAPI klientskému programu komunikovat s libovolným poštovním serverem (v našem pˇ rípadˇ e MS Outlook — Kerio MailServer). V souˇ casné dobˇ e se MAPI používá zejména pro psaní r˚ uzných modul˚ u do aplikace MS Outlook. Pro správnou funkci Kerio Outlook Connectoru musí být v Kerio MailServeru spuštˇ eny všechny pˇ ríslušné služby:
331
Kapitola 33 Kerio Outlook Connector
• HTTP(S) — pˇ res protokol probíhá automatická aktualizace verzí Kerio Outlook Connectoru a pˇ res protokol HTTP také probíhá komunikace s Free/Busy serverem. • IMAP(S) — rozhraní MAPI využívá v Kerio MailServeru protokol IMAP. • SMTP(S) — pˇ res protokol probíhá odesílání pošty. Upozornˇ ení Kromˇ e výše zmínˇ ených služeb je nutné namapovat pˇ ríslušné porty na firewallu, kterým je server chránˇ en, jinak služby nebudou pˇ rístupné z Internetu (více vizte sekci 2.3). Instalaci Kerio Outlook Connectoru je možno spustit na tˇ echto verzích operaˇ cního systému: Windows 2000 Professional (aktualizace Service Pack 4), XP (aktualizace Service Pack 1 nebo Service Pack 2) a Windows Vista (Home, Business, Enterprise nebo Ultimate edice). Systém Windows musí obsahovat Internet Explorer ve verzi 6.0 a vyšší. Kerio Outlook Connector podporuje tyto verze poštovního klienta: • MS Outlook 2000 + aktualizace Service Pack 3 (nebude-li instalace opatˇ rena pˇ ríslušnou aktualizací, Kerio Outlook Connector se odmítne nainstalovat). • MS Outlook XP + aktualizace Service Pack 3 (verze Outlook XP musí mít následující tvar: 10.0.6515.xyz). • MS Outlook 2003 + aktualizace Service Pack 3 (nebude-li instalace opatˇ rena pˇ ríslušnou aktualizací, Kerio Outlook Connector se odmítne nainstalovat). • MS Outlook 2007 + aktualizace Service Pack 1 Poznámka: • Všechna nastavení jsou popisována na Windows XP a MS Outlook 2003. Pracujete-li s MS Outlook 2000, nastavení se m˚ uže mírnˇ e lišit (vizte manuál Kerio MailServer, Pˇ ríruˇ cka uživatele). • Kerio Outlook Connector podporuje digitální podepisování zpráv. Funkce a nastavení digitálního podpisu je podrobnˇ e popsána ve standardní nápovˇ edˇ e pro MS Outlook. Konkrétní možnosti a nastavení Kerio Outlook Connectoru na stranˇ e klienta jsou popsána v manuálu Kerio MailServer 6, Pˇ ríruˇ cka uživatele. TIP ˇte klasickou verzi Kerio Potˇ rebujete-li pracovat se svou poštou také v režimu offline, pak zamˇ en Outlook Connectoru za Kerio Outlook Connector (Offline Edition) (vizte kapitolu 33.1). Instalaci Kerio Outlook Connectoru lze spustit bud’ samostatnˇ e nebo spolu s Kerio MailServer Migration. Kerio Outlook Connector je lokalizován do jazyk˚ u vyjmenovaných v tabulce 33.3. Lokalizace Kerio Outlook Connectoru se nastavuje automaticky podle lokalizace aplikace MS Outlook. V pˇ rípadˇ e, že je MS Outlook v lokalizaci, kterou Kerio Outlook Connector nemá k dispozici, bude automaticky lokalizován do anglického jazyka. 332
33.2 Kerio Outlook Connector
Angliˇ ctina
Holandština Mad’arština
Ruština
ˇ Ceština
Chorvatština Nˇ emˇ cina
Slovenština
ˇ Cínština
Italština
Španˇ elština
Polština
Francouzština Japonština
Portugalština Švédština
Tabulka 33.3 Podporované jazyky
33.2.1 Instalace a konfigurace bez použití migraˇ cního nástroje Ruˇ cní instalace Kerio Outlook Connectoru pro Kerio MailServer probíhá standardnˇ e pomocí instalaˇ cního pr˚ uvodce. Po instalaci je zapotˇ rebí explicitnˇ e nastavit profil a poštovní úˇ cet. Upozornˇ ení • Na poˇ cítaˇ ci nejprve musí být nainstalován MS Outlook, a teprve poté Kerio Outlook Connector. V opaˇ cném pˇ rípadˇ e nebude aplikace funkˇ cní. • Pˇ ri zmˇ enˇ e verze aplikace MS Outlook je nutné Kerio Outlook Connector ruˇ cnˇ e pˇ reinstalovat.
Tvorba profilu Uživatelský profil je soubor, který ukládá osobní nastavení v MS Outlook. Profil je nezbytný zejména ve dvou pˇ rípadech. Bud’ má k poˇ cítaˇ ci pˇ rístup více lidí najednou a každý z nich potˇ rebuje vlastní e-mailovou schránku a osobní nastavení aplikace, nebo uživatel používá více r˚ uzných poštovních schránek a chce mít pro nˇ e odlišná osobní nastavení. Nový profil lze nastavit v menu Start → Nastavení → Ovládací panely → Pošta: 1.
Otevˇ re se dialog Nastavení pošty — MS Outlook, kde klikneme na tlaˇ cítko Zobrazit profily (vizte obrázek 33.8).
333
Kapitola 33 Kerio Outlook Connector
Obrázek 33.8
2.
Nastavení profilu
Otevˇ re se dialog Pošta (vizte obrázek 33.9). Dialog slouží ke správˇ e profil˚ u a uživatelských úˇ ct˚ u.
Obrázek 33.9
Vytvoˇ rení profilu
334
33.2 Kerio Outlook Connector
3. 4.
Klikneme na tlaˇ cítko Pˇ ridat. Otevˇ re se okno s jediným volným polem pro zadání názvu nového profilu. Název profilu lze zadat zcela libovolnˇ e. V novém profilu ještˇ e není založen žádný poštovní úˇ cet. Proto se po vytvoˇ rení profilu automaticky spustí pr˚ uvodce založením nového úˇ ctu.
Obrázek 33.10 Nastavení úˇ ctu — pˇ ridání nového úˇ ctu
5. 6. 7.
Standardní pr˚ uvodce nabízí v prvním kroku možnost pˇ ridat nebo zmˇ enit úˇ cet elektronické pošty nebo adresᡠr. Pro vytvoˇ rení úˇ ctu vybereme první možnost — Pˇ ridat nový e-mailový úˇ cet (vizte obrázek 33.10). Ve druhém kroku pr˚ uvodce vybereme volbu Další typy server˚ u (vizte obrázek 33.11) a klikneme na tlaˇ cítko Další. Další krok pr˚ uvodce umožˇ nuje pˇ rímo zvolit typ serveru. Zvolíme volbu Kerio MailServer. Dalším krokem je nastavení Kerio Outlook Connectoru. Toto lze provést ve dvou záložkách okna Kerio Outlook Connector:
335
Kapitola 33 Kerio Outlook Connector
Obrázek 33.11
Nastavení úˇ ctu — zvolení typu serveru
Obrázek 33.12
Nastavení úˇ ctu — základní údaje
Název serveru DNS jméno nebo IP adresa poštovního serveru.
336
33.2 Kerio Outlook Connector
Zabezpeˇ cené ovˇ eˇ rování hesla Volba umožˇ nuje využití NTLM ovˇ eˇ rování. Po jejím zaškrtnutí uživatel nemusí nastavovat uživatelské jméno a heslo — místo jména a hesla bude použito ovˇ eˇ rování proti Active Directory doménˇ e. Aby bylo NTLM ovˇ eˇ rování funkˇ cní, je nutné, aby poˇ cítaˇ c i uživatelský úˇ cet byly souˇ cástí domény, proti které se uživatel ovˇ eˇ ruje. Upozornˇ ení NTLM (SPA) ovˇ eˇ rování lze využít pouze v pˇ rípadˇ e, že je Kerio MailServer nainstalován na operaˇ cním systému Windows. Uživatelské jméno Uživatelské jméno používané pro pˇ rihlášení k poštovnímu serveru. Pokud uživatel není zaˇ razen do primární domény, musí být zadána celá elektronická adresa uživatele ([email protected]). Heslo Heslo uživatele. Tlaˇ cítko Test spojení umožˇ nuje vyzkoušet, zda byly údaje vyplnˇ eny správnˇ e, a zda je spojení s Kerio MailServerem v poˇ rádku. Pokud test probˇ ehne bez problém˚ u, pole Jméno a Elektronická adresa budou automaticky vyplnˇ ena správnými údaji.
Obrázek 33.13
Nastavení úˇ ctu — porty
Rozšíˇ rené nastavení ve druhé záložce umožˇ nuje zmˇ enit nˇ ekterá nastavení týkající se komunikace. IMAP a SMTP port ˇ Porty, které jsou využívány protokoly IMAP a SMTP pro komunikaci se serverem. Císla port˚ u musí vždy souhlasit s ˇ císly port˚ u nastavenými v Kerio MailServeru.
337
Kapitola 33 Kerio Outlook Connector
HTTP port Protokol HTTP(S) využívá Free/Busy kalendᡠr a aplikace pro automatickou aktualizaci ˇ Kerio Outlook Connectoru. Císlo portu musí souhlasit s ˇ císlem portu pro HTTP(S) službu v Kerio MailServeru. ˇ Casový limit Doba, po kterou aplikace ˇ ceká na odezvu Kerio MailServeru. Zabezpeˇ cené pˇ ripojení (SSL) Volba umožˇ nuje šifrovanou komunikaci služeb IMAP, SMTP a HTTP. Tlaˇ cítkem Výchozí nastavení lze vrátit nastavené hodnoty na p˚ uvodní. Název pˇ ripojení Standardním názvem pˇ ripojení je Kerio Outlook Connector Store. Tento název lze podle libosti zmˇ enit. Záložka Odesílatel obsahuje možnost konfigurace zobrazení jména, odchozí adresy a adresy pro odpovˇ edi.
Obrázek 33.14
8.
Nastavení úˇ ctu — nastavení informací o odesílateli
Jméno Jméno uživatele pro odchozí poštu. Elektronická adresa Elektronická adresa, ze které mají být zprávy odesílány. Adresa pro odpovˇ edi Adresa pro odpovˇ edi na odeslané zprávy (položka Reply-To: ve zprávˇ e). Poznámka: Používáte-li MS Outlook 2000, potom se zmˇ eny nastavené v záložce Odesílatel projeví až po restartu aplikace. Po odsouhlasení celého nastavení tlaˇ cítkem OK se pr˚ uvodce založením nového úˇ ctu uzavˇ re. Novˇ e založený profil najdeme v seznamu v dialogu Pošta. Nyní máme dvˇ e možnosti nastavení práce s profily (vizte obrázek 33.9): • Vždy používat profil — Náš novˇ e vytvoˇ rený profil m˚ užeme nastavit jako výchozí. To znamená, že pˇ ri každém spuštˇ ení aplikace MS Outlook se automaticky otevˇ re právˇ e vytvoˇ rený profil s právˇ e vytvoˇ reným úˇ ctem. • Nabídnout výbˇ er profilu — Dialog m˚ užeme nastavit tak, aby se pˇ ri každém spuštˇ ení aplikace MS Outlook zobrazilo výbˇ erové menu se všemi profily, které jsou v nˇ em založeny (vizte obrázek 33.15).
338
33.2 Kerio Outlook Connector
Obrázek 33.15
Výbˇ er profilu
Upozornˇ ení Každý profil v MS Outlooku m˚ uže obsloužit pouze jeden úˇ cet pˇ ripojený pˇ res Kerio Outlook Connector. Funkci POP3 a IMAP úˇ ct˚ u umístˇ ených ve stejném profilu Kerio Outlook Connector Store neovlivní. Poznámka: Používáte-li MS Outlook 2000, je nutné pˇ ri konfiguraci profilu pˇ ridat položky Kerio MailServer a MS Outlook Address Book. Vyšší verze aplikace MS Outlook pˇ ridávají Outlook Address Book automaticky.
Nastavení datového souboru Pro správnou funkci Kerio Outlook Connectoru je tˇ reba, aby výchozím datovým souborem v profilu byl Kerio Outlook Connector Store. Pokud tento datový soubor nebyl nastaven automaticky, lze tak uˇ cinit pomocí menu Nástroje → Úˇ cty elektronické pošty → Zobrazit nebo zmˇ enit existující úˇ cty elektronické pošty. Okno Úˇ cty elektronické pošty obsahuje menu Doruˇ covat nový e-mail do následujícího umístˇ ení, kde je možné vybrat správný datový soubor (Kerio Outlook Connector Store). Kerio Outlook Connector obsahuje kontrolu, zda je Kerio Outlook Connector Store zvolen jako výchozí úložištˇ e zpráv. Tato kontrola je standardnˇ e zapnuta, a v pˇ rípadˇ e, že pˇ ri spuštˇ ení aplikace MS Outlook není Kerio Outlook Connector Store zvolen jako výchozí úložištˇ e, otevˇ re se varovný dialog. Zapnout/vypnout tuto kontrolu je možno v menu Nástroje → Možnosti → Pˇ redvolby (se znakem Kerio Technologies).
339
Kapitola 33 Kerio Outlook Connector
Obrázek 33.16
Nastavení datového souboru
Obrázek 33.17
Kontrola úložištˇ e
33.2.2 Instalace a vytvoˇ rení profilu pomocí migraˇ cního nástroje Kerio Outlook Connector lze nainstalovat na klientské stanice zároveˇ n s migrací úˇ ct˚ u z MS Exchange do Kerio MailServeru. Migraci zprostˇ redkovává speciální aplikace Kerio MailServer Migration. Zároveˇ n s instalací je automaticky provedeno též základní nastavení profilu a úˇ ctu uživatele. Klientské poˇ cítaˇ ce je možno obsloužit všechny zároveˇ n. Každému uživateli, jehož schránka byla migrována, pˇ rijde zpráva s odkazem na automatickou instalaci Kerio Outlook Connectoru.
340
33.2 Kerio Outlook Connector
Obrázek 33.18
Pr˚ uvodce vytvoˇ rením nového profilu
Jakmile uživatel klikne na odkaz, otevˇ re se pr˚ uvodce, kam je nutné zadat elektronickou adresu a heslo k e-mailové schránce. Po nastavení tˇ echto údaj˚ u se spustí samotná instalace. Probˇ ehlali úspˇ ešnˇ e, objeví se dialog s oznámením, že profil byl úspˇ ešnˇ e vytvoˇ ren. V tomto dialogu si uživatelé mohou zaškrtnutím volby Set it as a default profile hned vybrat, zda chtˇ ejí nový profil používat jako výchozí. Po otevˇ rení tohoto profilu v aplikaci MS Outlook bude založen MAPI úˇ cet s názvem Kerio Outlook Connector Store, kde uživatelé najdou všechny svoje složky, poštu, události i úkoly, které pˇ redtím používali v úˇ ctu MS Exchange.
Obrázek 33.19
Dialog s oznámením úspˇ ešného vytvoˇ rení profilu
Poznámka: Instalujete-li Kerio Outlook Connector na MS Outlook 2000, je nutná další konfigurace vytvoˇ reného profilu. Do profilu musí být ruˇ cnˇ e pˇ ridána služba Outlook Address Book.
341
Kapitola 33 Kerio Outlook Connector
Upozornˇ ení Každý profil v MS Outlook m˚ uže obsloužit pouze jeden úˇ cet pˇ ripojený pˇ res Kerio Outlook Connector. Funkci POP3 a IMAP úˇ ct˚ u umístˇ ených ve stejném profilu Kerio Outlook Connector Store neovlivní.
33.2.3 Aktualizace nových verzí Kerio Outlook Connectoru Upgrade nových verzí Kerio Outlook Connectoru je provádˇ en naprosto automaticky. Je-li k dispozici nová verze Kerio Outlook Connectoru, potom se bezprostˇ rednˇ e po spuštˇ ení aplikace MS Outlook Kerio Outlook Connector aktualizuje. Po dokonˇ cení aktualizace následuje automatický restart aplikace MS Outlook. Celá aktualizace vˇ cetnˇ e restartu aplikace trvá maximálnˇ e jednu až dvˇ e minuty. Automatická aktualizace obsahuje kontrolu verzí Kerio MailServeru a Kerio Outlook Connectoru. To znamená, že pokud verze serveru a klienta nesouhlasí, uživatel je informován o tom, že je na serveru nainstalována jiná verze Kerio MailServeru, a že je tˇ reba klienta aktualizovat (vizte obrázek 12.21). Po odsouhlasení tlaˇ cítkem ANO bude verze okamžitˇ e aktualizována (nebo proveden downgrade — snížení verze).
Obrázek 33.20
Upozornˇ ení na nutnost aktualizace
Pokud se server od klienta liší jenom v ˇ císle buildu (ˇ císla verzí v upozorˇ nujícím oknˇ e se neliší), bude klient funkˇ cní i v pˇ rípadˇ e, že aktualizaci odmítnete. Pokud se server od klienta liší ˇ císlem verze (napˇ ríklad 6.4.0 a 6.4.1), potom se Kerio Outlook Connector bez pˇ ríslušné aktualizace odmítne spustit.
342
Kapitola 34
Podpora standardu iCalendar
Podpora formátu iCalendar ze strany Kerio MailServeru umožˇ nuje r˚ uzným aplikacím, které formát iCalendar podporují (napˇ ríklad MS Outlook 2007, Apple iCal, Windows Calendar, Mozilla Calendar, Lotus Notes nebo Ximian Evolution) publikovat a pˇ rihlašovat kalendᡠre pˇ res Kerio MailServer. Kerio MailServer explicitnˇ e podporuje kalendᡠre v MS Outlook 2007, Windows Calendar ve Windows Vista a Windows 7 a aplikaci Apple iCal na systémech Apple Mac OS X.
34.1 Internetové kalendᡠre v MS Outlooku 2007 MS Outlook 2007 umožˇ nuje sdílení kalendᡠru ˚ pˇ res Internet. Kalendᡠre je možné poskytnout pomocí pˇ rihlášení a publikace: • Pˇ rihlášení kalendᡠre — pˇ rihlášení kalendᡠre znamená stažení kalendᡠre z webového úložištˇ e do lokálního. • Publikace kalendᡠre — publikace kalendᡠre znamená poskytnutí kalendᡠre do webového úložištˇ e. K manipulaci s kalendᡠri využívá MS Outlook 2007 standard pro výmˇ enu kalendᡠrových dat iCalendar (dále iCal). Kerio MailServer podporuje formát iCal, a proto je možné pˇ rihlašovat si do MS Outlooku kalendᡠre uložené v Kerio MailServeru a stejnˇ e tak je možné kalendᡠre do schránek Kerio MailServeru publikovat. Uživatelé si mohou pˇ rihlašovat nejen vlastní kalendᡠre, ale také kalendᡠre nasdílené jinými uživateli. Upozornˇ ení Pˇ rihlášené kalendᡠre jsou v MS Outlooku k dispozici pouze pro ˇ ctení. Publikované kalendᡠre jsou k dispozici pouze pro ˇ ctení na serveru (napˇ ríklad pˇ ri pˇ rístupu ke kalendᡠru ˚m pomocí rozhraní Kerio WebMail nebude možné publikované kalendᡠre mˇ enit). Komunikace pˇ ri pˇ rihlášení probíhá pomocí protokolu HTTP. Z toho vyplývá, že je tˇ reba spustit tuto službu v Kerio MailServeru. Kromˇ e toho je nutné namapovat pˇ ríslušný port na firewallu, kterým je server chránˇ en, jinak služba nebude pˇ rístupná z Internetu (více vizte sekci 2.3). Používání pˇ rihlašování a publikování kalendᡠru ˚ m˚ uže být výhodná zejména v tˇ ech pˇ rípadech, kdy uživatelé chtˇ ejí zobrazit kalendᡠr osoby, která nemá založen úˇ cet v Kerio MailServeru nebo v pˇ rípadˇ e, kdy chce naopak sv˚ uj kalendᡠr poskytnout kalendᡠr veˇ rejnˇ e na Internetu.
343
Kapitola 34 Podpora standardu iCalendar
Konkrétní možnosti a nastavení v MS Kerio MailServer 6, Pˇ ríruˇ cka uživatele).
Outlooku
jsou
popsána
v
manuálu
34.2 Windows Calendar Windows Calendar je aplikace pro správu kalendᡠru ˚ vyvinutá firmou Microsoft Corporation pro operaˇ cní systém Windows Vista a vyšší. Tato aplikace umožˇ nuje promítnutí událostí z více kalendᡠru ˚ do jednoho rozvrhu a identifikovat tak rychle konflikty v ˇ casovém plánu. Kalendᡠre mohou být umístˇ eny bud’ pˇ rímo na disku, nebo je možno pˇ rihlásit si kalendᡠre umístˇ ené na webovém serveru. Kalendᡠre je možné na webový server také publikovat. Podpora ze strany Kerio MailServeru spoˇ cívá v možnosti publikovat kalendᡠre do své poštovní schránky na serveru nebo si do Windows Calendar kalendᡠre z poštovní schránky pˇ rihlašovat. Uživatelé si mohou pˇ rihlašovat nejen vlastní kalendᡠre, ale také kalendᡠre nasdílené jinými uživateli. Upozornˇ ení Pˇ rihlášené kalendᡠre jsou ve Windows Calendar k dispozici pouze pro ˇ ctení. Publikované kalendᡠre jsou k dispozici pouze pro ˇ ctení na serveru (napˇ ríklad pˇ ri pˇ rístupu ke kalendᡠru ˚m pomocí rozhraní Kerio WebMail nebude možné publikované kalendᡠre mˇ enit). Komunikace pˇ ri pˇ rihlášení (subskripce) probíhá pomocí protokolu HTTP nebo HTTPS. Publikace kalendᡠru ˚ probíhá pouze pˇ res HTTPS. Z toho vyplývá, že je tˇ reba spustit tuto službu v Kerio MailServeru a na poˇ cítaˇ c s Windows Calendar nainstalovat validní SSL certifikát Kerio MailServeru. Kromˇ e toho je nutné namapovat pˇ ríslušný port na firewallu, kterým je server chránˇ en, jinak služba nebude pˇ rístupná z Internetu (více vizte sekci 2.3). Aplikace Windows Calendar podporuje formát iCalendar. iCalendar je standard pro výmˇ enu kalendᡠrových dat. Zabudováním podpory standardu iCalendar do Kerio MailServeru vznikla možnost spolupráce Kerio MailServeru a Windows Calendar. Poznámka: Budou-li kalendᡠre publikované jako podsložky hlavního kalendᡠre Calendar, budou se všechny události zobrazovat také ve Free/Busy kalendᡠri. Konkrétní možnosti a nastavení Windows Kerio MailServer 6, Pˇ ríruˇ cka uživatele).
Calendar
jsou
popsána
v
manuálu
34.3 Apple iCal Apple iCal je aplikace vyvinutá firmou Apple Computer pro operaˇ cní systémy ˇ rady Mac OS X. Aplikace umožˇ nuje správu libovolného množství kalendᡠru ˚ a také promítnutí událostí z více kalendᡠru ˚ do jednoho rozvrhu a identifikovat tak rychle konflikty v ˇ casovém plánu. Kalendᡠre mohou být umístˇ eny bud’ pˇ rímo na disku, nebo je možno pˇ rihlásit si s právy pro ˇ ctení kalendᡠre umístˇ ené na webovém serveru. Dále je možné kalendᡠre na webový server publikovat.
344
34.3 Apple iCal
Podpora ze strany Kerio MailServeru spoˇ cívá v možnosti publikovat kalendᡠre do své poštovní schránky na serveru nebo si do Apple iCal kalendᡠre z poštovní schránky pˇ rihlašovat. Uživatelé si mohou pˇ rihlašovat nejen vlastní kalendᡠre, ale také kalendᡠre nasdílené jinými uživateli. Upozornˇ ení Pˇ rihlášené kalendᡠre jsou v Apple iCal k dispozici pouze pro ˇ ctení. Publikované kalendᡠre jsou k dispozici pouze pro ˇ ctení na serveru (napˇ ríklad pˇ ri pˇ rístupu ke kalendᡠru ˚m pomocí rozhraní Kerio WebMail nebude možné publikované kalendᡠre mˇ enit). Od verze Apple iCal pro Mac OS X Tiger je možné synchronizovat lokálnˇ e uložené kalendᡠre s kalendᡠri umístˇ enými v Kerio MailServeru. K tomu je potˇ reba nainstalovat aplikaci Kerio Sync Connector (více vizte kapitolu 40). Pˇ rihlášení (subskripce) i publikace kalendᡠru ˚ jsou provádˇ eny pomocí protokolu HTTP (použití HTTPS není v tomto pˇ rípadˇ e možné). Z toho vyplývá, že je tˇ reba v Kerio MailServeru spustit službu HTTP. Kromˇ e toho je nutné namapovat pˇ ríslušný port na firewallu, kterým je server chránˇ en, jinak služba nebude pˇ rístupná z Internetu (více vizte sekci 2.3). Ke správˇ e kalendᡠru ˚ využívá Apple iCal, jak ostatnˇ e vyplývá již z názvu, formát iCalendar (vyskytuje se také pod názvem iCal). iCalendar je standard pro výmˇ enu kalendᡠrových dat. Zabudováním podpory standardu iCalendar do Kerio MailServeru vznikla možnost spolupráce Kerio MailServeru a Apple iCal. Poznámka: Budou-li kalendᡠre publikované jako podsložky hlavního kalendᡠre Calendar, budou se všechny události zobrazovat také ve Free/Busy kalendᡠri. Konkrétní možnosti a nastavení v Apple Kerio MailServer 6, Pˇ ríruˇ cka uživatele).
iCal
jsou
popsána
v
manuálu
Vytvᡠrení veˇ rejných kalendᡠru ˚ Vytvoˇ rit veˇ rejný kalendᡠr v Kerio MailServeru m˚ uže pouze uživatel s pˇ ríslušnými pˇ rístupovými právy. Tato práva m˚ uže uživateli pˇ ridˇ elit pouze správce Kerio MailServeru. Pokud máme práva pˇ ridˇ elena, je postup k založení veˇ rejného iCal kalendᡠre následující: 1. 2.
3.
4. 5.
Pˇ rihlásíme se do rozhraní Kerio WebMail. Ve složce Veˇ rejné složky založíme novou složku typu kalendᡠr. Poznámka: Doporuˇ cujeme nepoužívat národní znaky v názvu kalendᡠre z d˚ uvodu nesnadnosti správného zadání URL pˇ ri publikaci kalendᡠre. Ideálním názvem pro nás m˚ uže být napˇ ríklad Calendar. Složce jsou automaticky nastavena práva pro ˇ ctení všem uživatel˚ um z dané domény, pˇ rípadnˇ e všem uživatel˚ um Kerio MailServeru. Standardnˇ e nastavená pˇ rístupová práva lze zmˇ enit v kontextovém menu novˇ e vytvoˇ rené složky (kontextové menu → Pˇ rístupová práva). Po vytvoˇ rení kalendᡠrové složky otevˇ reme aplikaci Apple iCal. Vytvoˇ ríme nový kalendᡠr, který má sloužit jako veˇ rejný.
345
Kapitola 34 Podpora standardu iCalendar
6.
7.
Kalendᡠr publikujeme do složky vytvoˇ rené v Kerio MailServeru. Pro úspˇ ešnou publikaci je tˇ reba použít následující URL: http://nazev_serveru/ical/public/nazev_slozky konkrétní pˇ ríklad by tedy mohl vypadat takhle: http://mail.firma.cz/ical/public/Calendar Znovu pomocí prohlížeˇ ce otevˇ reme Kerio WebMail a provedeme kontrolu o úspˇ ešnosti publikace.
346
Kapitola 35
Podpora protokolu CalDAV
Kerio MailServer obsahuje podporu protokolu CalDAV, což je rozšíˇ rení rozhraní WebDAV, které bylo navrženo speciálnˇ e pro výmˇ enu kalendᡠrových dat. Více se o tomto protokolu dozvíte na stránkách http://www.caldav.org/. CalDAV standard je definován v RFC 4791. CalDAV je protokol založený na protokolu HTTP, proto pokud jej budete chtít používat, je tˇ reba provozovat v Kerio MailServeru službu HTTP(S). Pomocí protokolu lze synchronizovat kalendᡠre, plánovat sch˚ uzky za pomoci Free/Busy serveru nebo delegovat kalendᡠre dalším uživatel˚ um Kerio MailServeru.
35.1 Nastavení CalDAV úˇ ct˚ u Aby se klient mohl pˇ ripojit ke Kerio MailServeru, je nutné nastavit správnou URL adresu pro pˇ ripojení. Apple iCal http(s)://<servername>/caldav napˇ ríklad: http(s)://mail.firma.cz/caldav Upozornˇ ení Pokud nemáte pro ruˇ cní nastavení úˇ ctu závažný d˚ uvod, proved’te konfiguraci CalDAV úˇ ctu pomocí nástroje iCal Config Tool (vizte sekci 35.2). Tento nástroj kromˇ e samotného nastavení úˇ ctu zkonfiguruje také Directory Utility, kde nastaví Kerio MailServer jako Open Directory server. Toto nastavení umožní plnou funkˇ cnost delegace kalendᡠru ˚. Bez tohoto nastavení bude možné pouze pˇ rihlašování delegovaných složek. Ostatní klienti (napˇ ríklad Mozilla Sunbird) http(s)://<servername>/calendars/<domain>/<user>/
35.2 CalDAV úˇ cet v Apple iCal Apple iCal je program pro správu kalendᡠru ˚, který umožˇ nuje jejich synchronizaci pˇ res protokol CalDAV. Apple iCal podporuje protokol CalDAV od verze Mac OS X 10.5 Leopard. Podpora ze strany Kerio MailServeru v souˇ casné dobˇ e umožˇ nuje: 347
Kapitola 35 Podpora protokolu CalDAV
synchronizaci kalendᡠru ˚, synchronizaci To Do se složkou Úkoly, plánování sch˚ uzek, delegaci kalendᡠru ˚, poskytování Free/Busy informací o uživatelích, kteˇ rí mají založen úˇ cet v Kerio MailServeru, • nastavení dostupnosti uživatele (Calendar Availability). • nastavení soukromých událostí v kalendᡠrích (vlastnost na Apple iCal 3.0.3 a vyšších).
• • • • •
Upozornˇ ení Po spuštˇ ení synchronizace pˇ res CalDAV v Apple iCal se automaticky vypne synchronizace kalendᡠru ˚ pˇ res Kerio Sync Connector. Synchronizace kontakt˚ u, pokud je nakonfigurována, z˚ ustane spuštˇ ena.
35.2.1 Automatické nastavení CalDAV úˇ ctu Spoleˇ cnost Kerio Technologies vyvinula nástroj iCal Config Tool pro automatickou konfiguraci CalDAV úˇ ctu v Apple iCal na Mac OS X 10.5 Leopard a vyšších. Kromˇ e konfigurace CalDAV úˇ ctu nástroj nastaví Kerio MailServer jako Open Directory server v Directory Utility na klientském poˇ cítaˇ ci. Díky tomuto nastavení bude mít uživatel plnˇ e funkˇ cní delegaci ve svém Apple iCal.
Spuštˇ ení iCal Config Tool 1.
2.
Nástroj lze stáhnout a spustit na speciální stránce Integrace s Mac OS X, kterou otevˇ rete zadáním následující adresy do prohlížeˇ ce: http://nazev_serveru/integration (napˇ ríklad http://mail.firma.cz/integration) nebo staˇ cí na pˇ rihlašovací stránce Kerio WebMailu kliknout na odkaz Integrace s Mac OS X. Otevˇ re se stránka Integrace s Mac OS X, kde kliknete na první odkaz Nastavit iCal automaticky. Nástroj se stáhne do pracovní stanice a prostˇ rednictvím instalaˇ cního pr˚ uvodce provede konfiguraci CalDAV úˇ ctu.
Pr˚ uvodce bude vyžadovat následující: • uživatelské jméno a heslo k poštovní schránce, • uživatelské jméno a heslo úˇ ctu s administrátorskými právy k pracovní stanici. Poznámka: Podrobný popis automatické konfigurace CalDAV úˇ ctu v Apple iCal najdete v manuálu Kerio MailServer 6, Pˇ ríruˇ cka uživatele.
348
Kapitola 36
Podpora pro ActiveSync
Podpora protokolu ActiveSync umožˇ nuje uživatel˚ um synchronizovat jejich e-maily, kalendᡠr, kontakty a pˇ rípadnˇ e také úkoly a poznámky s mobilními zaˇ rízeními založenými na systémech Windows Mobile, Palm OS, Symbian a OS X (aktuální seznam podporovaných mobilních zaˇ rízení obsahuje sekce 36.2). ActiveSync protokol je založen na protokolu HTTP(S). Pro sít’ové pˇ ripojení využívá technologie WiFi, GPRS, UMTS, a další. Kerio MailServer podporuje protokol pˇ rímo, takže pokud podporu ActiveSync obsahuje také zaˇ rízení, není tˇ reba do zaˇ rízení instalovat žádnou utilitu. Pokud zaˇ rízení protokol nepodporuje, potom je tˇ reba do nˇ ej nainstalovat aplikaci, která synchronizaci umožní. Popis nastavení všech konkrétních zaˇ rízení obsahuje pˇ ríruˇ cka k danému zaˇ rízení, ale také uživatelská pˇ ríruˇ cka, která v kapitole Synchronizace dat s mobilními zaˇ rízeními soustˇ red’uje jednoduché návody nastavení synchronizace všech podporovaných zaˇ rízení. Podpora protokolu nevyžaduje žádná nastavení ani na stranˇ e Kerio MailServeru. Jedinou podmínkou je spuštˇ ení služby HTTP(S) na standardním portu (v pˇ rípadˇ e HTTP je to port 80 a v pˇ rípadˇ e verze šifrované SSL je to port 443). Porty ve vˇ etšinˇ e podporovaných mobilních zaˇ rízeních nelze mˇ enit na nestandardní. Upozornˇ ení Kromˇ e spuštˇ ení služeb na serveru je také nutné namapovat pˇ ríslušný port nebo porty pro HTTP a HTTPS na firewallu, kterým je server chránˇ en, jinak služba nebude pˇ rístupná z Internetu (více vizte sekci 2.3).
36.1 Typy synchronizace Synchronizovat data Kerio MailServeru s mobilním zaˇ rízením lze dvˇ ema r˚ uznými zp˚ usoby: 1. 2.
Pˇ rímá synchronizace se serverem. Synchronizace pomocí desktopové aplikace, kterou nainstalujeme na svou pracovní stanici.
Oba zp˚ usoby synchronizace je obvykle možné kombinovat.
Pˇ rímá synchronizace s Kerio MailServerem Tímto typem synchronizace, jejím nastavením, možnostmi a praktickým využitím se budeme vˇ enovat v celé kapitole Podpora pro ActiveSync. Pˇ ri pˇ rímé synchronizaci odpadá nutnost pˇ ripojit se zaˇ rízením ke svému osobnímu poˇ cítaˇ ci. Technologie umožˇ nuje pˇ ripojit se pˇ res HTTP(S) protokolem ActiveSync pˇ rímo k poštovnímu 349
Kapitola 36 Podpora pro ActiveSync
serveru a synchronizovat složky v poštovní schránce se složkami v mobilním zaˇ rízení. Pokud má zaˇ rízení nastaveno také pˇ rístup na Internet, m˚ uže si uživatel data synchronizovat kdykoliv, v novˇ ejších typech zaˇ rízení díky takzvané DirectPush technologii dokonce online. Tento typ synchronizace umožˇ nuje synchronizovat následující typy složek: • • • •
poštovní složky, kontakty (kromˇ e Palm Treo 650), kalendᡠr, úkoly — synchronizaci úkol˚ u umožˇ nují pouze zaˇ rízení se systémem Windows Mobile 5.0 a vyšší.
Poznámka: Implementace protokolu ActiveSync v Kerio MailServeru umožˇ nuje také synchronizaci veˇ rejných a sdílených poštovních složek (platí pouze pro zaˇ rízení s Windows Mobile). K pˇ rímé synchronizaci se serverem je potˇ reba nastavit následující: • V Kerio MailServeru musí být spuštˇ ena služba HTTP(S). Pokud se uživatel bude chtít pˇ ripojit k serveru z Internetu, potom bude tˇ reba také povolit pˇ ríslušný port (obvykle pouze pro službu HTTPS) na firewallu, za kterým je Kerio MailServer spuštˇ en. • V zaˇ rízení musí být správnˇ e nastaveno sít’ové pˇ ripojení. • Bude-li se uživatel pˇ ripojovat pˇ res protokol HTTPS (doporuˇ ceno z bezpeˇ cnostních d˚ uvod˚ u), pak je tˇ reba mít v zaˇ rízení nainstalován d˚ uvˇ eryhodný certifikát (více vizte kapitolu 36.4). • Zaˇ rízení musí být nastaveno tak, aby se mohlo pˇ ripojit ke Kerio MailServeru. To závisí na typu zaˇ rízení: Windows Mobile V systémech Windows Mobile je tˇ reba nastavit aplikaci ActiveSync tak, aby se mohla pˇ ripojit k serveru. Toto nastavení je pro r˚ uzné verze Windows Mobile odlišné. V zásadˇ e ale otevˇ reme v zaˇ rízení aplikaci ActiveSync, v Menu vyhledáme položku Add Server Source (Windows Mobile 2005) nebo v menu Tools vyhledáme záložku Server (Windows Mobile 2003) a zde doplníme internetové jméno Kerio MailServeru a uživatelské jméno a heslo pro pˇ ripojení ke schránce. Podrobnˇ e tato nastavení popisuje uživatelská pˇ ríruˇ cka. Zde lze najít jednoduché návody nastavení aplikace ActiveSync pro všechny podporované verze Windows Mobile. Palm Treo 650, 680 a 700p Synchronizace pˇ res ActiveSync s poštovním serverem se v Palm Treo 650 nastavuje v poštovním klientovi Versa Mail. V konfiguraci úˇ ctu je tˇ reba nastavit volbu Mail Service na Exchange ActiveSync a doplnit do úˇ ctu internetové jméno Kerio MailServeru a pˇ rihlašovací jméno a heslo pro pˇ ripojení ke schránce. Podrobnˇ eji je toto nastavení popsáno v uživatelské pˇ ríruˇ cce. Nokia E-series Mobilní zaˇ rízení ˇ rady Nokia Eseries a nˇ ekterých typ˚ u Nokia Nseries podporují protokol ActiveSync, pokud do zaˇ rízení nainstalujeme aplikaci Email For Exchange vyvinutou spoleˇ cností Nokia. Instalaci a nastavení popisuje uživatelská pˇ ríruˇ cka. 350
36.1 Typy synchronizace
Mobilní zaˇ rízení s RoadSync Aplikace RoadSync spoleˇ cnosti DataViz umožˇ nuje synchronizaci pošty, kalendᡠre a kontakt˚ u pˇ res ActiveSync protokol. O aplikaci a nastavení mobilních zaˇ rízení lze najít pˇ ríslušné informace na http://www.dataviz.com/. Apple iPhone OS 2.0 V zaˇ rízení Apple iPhone 2.0 a 3.0 musí být vytvoˇ ren úˇ cet typu Exchange, který podporuje synchronizaˇ cní protokol ActiveSync 2.5. Tato nastavení podrobnˇ e popisuje uživatelská pˇ ríruˇ cka. Apple iPhone OS 3.0 V zaˇ rízení Apple iPhone OS 3.0 musí být vytvoˇ ren úˇ cet typu Exchange, který podporuje synchronizaˇ cní protokol ActiveSync 12.1. Tato nastavení podrobnˇ e popisuje uživatelská pˇ ríruˇ cka.
Synchronizace pomocí desktopové aplikace ActiveSync Tuto možnost synchronizace pouze zmiˇ nujeme, protože synchronizace probíhá nezávisle na Kerio MailServeru a její nastavení lze najít v uživatelských pˇ ríruˇ ckách k desktopové aplikaci ActiveSync, pˇ rípadnˇ e v manuálu k danému zaˇ rízení. Upozornˇ ení Zde uvedená nastavení platí pouze pro Windows Mobile. Pro úspˇ ešnou synchronizaci dat pomocí desktopové aplikace ActiveSync je potˇ reba následující: • Mobilní zaˇ rízení musí obsahovat nˇ ekterou verzi aplikace ActiveSync (všechny podporované verze systém˚ u Windows Mobile ji mají ve standardní výbavˇ e). • Osobní poˇ cítaˇ c uživatele musí být vybaven aplikací MS Outlook. V MS Outlooku musí být založen úˇ cet pˇ ripojený ke Kerio MailServeru (doporuˇ cujeme nastavit Kerio úˇ cet doplnˇ ený o Kerio Outlook Connector, protože pak je možné synchronizovat také složky typu Poznámky). • Osobní poˇ cítaˇ c uživatele musí obsahovat desktopovou aplikaci ActiveSync. Synchronizace se serverem pˇ res desktopovou aplikaci probíhá tak, že data ze serveru má díky pˇ rihlášenému poštovnímu úˇ ctu k dispozici MS Outlook. MS Outlook se synchronizuje s desktopovou aplikací ActiveSync a desktopová aplikace se po pˇ ripojení k zaˇ rízení m˚ uže synchronizovat se zaˇ rízením. Celý proces funguje samozˇ rejmˇ e i obrácenˇ e. Po pˇ ripojení zaˇ rízení se nová data synchronizují pˇ res desktopovou aplikaci ActiveSync s aplikací MS Outlook a ta data promítne i do složek v Kerio MailServeru. Nespornou výhodou synchronizace pˇ res MS Outlook a desktopovou aplikaci je možnost synchronizace všech typ˚ u složek, které se na serveru nacházejí (tedy i úkoly a poznámky ve všech verzích zaˇ rízení).
351
Kapitola 36 Podpora pro ActiveSync
36.2 Podporované verze ActiveSync a mobilních zaˇ rízení Kerio MailServer podporuje tyto verze protokolu ActiveSync: • • • • •
ActiveSync ActiveSync ActiveSync ActiveSync ActiveSync
1.0 (Windows Mobile 2002, Palm OS — Palm Treo 650) 2.0 (Windows Mobile 2003, Palm OS — Palm Treo 680, 700p) 2.1 (Windows Mobile 2003 SE) 2.5 (Windows Mobile 5.0, Windows Mobile 6.0, Apple iPhone OS 2.0) 12 (Windows Mobile 6.0 a 6.1, Apple iPhone OS 3.0)
ˇ Poznámka: Císlo verze ActiveSync je v tomto pˇ rípadˇ e ˇ císlo verze protokolu, ne ˇ císlo verze desktopové aplikace. Kerio MailServer podporuje celou ˇ radu mobilních zaˇ rízení. Tabulka 36.1 obsahuje pˇ rehled podporovaných zaˇ rízení založených na systému Windows Mobile. Verze
Založeno na
Datum vydání
Windows Mobile 2002 (Pocket PC 3.0)
Windows CE 3.0 Leden 2002
Windows Mobile 2003 (Pocket PC 4.2)
ˇ 2003 Windows CE 4.20 Cerven
Windows Mobile 2003 Second Edition (SE) Windows CE 4.21 Bˇ rezen 2004 Windows Mobile 5.0
Windows CE 5.0 Kvˇ eten 2005
Windows Mobile 5.0 AKU2
Windows CE 5.1 Únor 2006
Windows Mobile 6.0
Windows CE 5.2 Únor 2007
Tabulka 36.1
Pˇ rehled podporovaných systém˚ u založených na systému MS Windows Mobile
Poznámka: Kerio MailServer podporuje jak Windows Mobile pro Pocket PC, tak edici pro Smartphone (systém pro zaˇ rízení bez dotykového displeje). Další podporovaná zaˇ rízení obsahuje tabulka 36.2. Typ zaˇ rízení
Systém
Palm Treo 650, 680 a 700p Palm OS
a b c
Palm Treo 700w a 750v
Windows Mobile 5.0 AKU2
Nokia Eseries a
Symbian OS 9.1
Nokia N73 a N95 b
Symbian S60 3rd edition
Sony Ericsson M600, P990i c
Symbian UIQ
Zaˇ rízení Nokia Eseries jsou podporována po instalaci externí aplikace Mail for Exchange 1.3.0 a vyšší. Obˇ e zaˇ rízení Nokia Nseries jsou podporována po instalaci externí aplikace Mail for Exchange 1.6.1 a vyšší. Sony Ericsson M600 a P990i jsou podporovány po instalaci externí aplikace Exchange ActiveSync 2.10 a vyšší. Tabulka 36.2 Pˇ rehled ostatních podporovaných zaˇ rízení
352
36.2 Podporované verze ActiveSync a mobilních zaˇ rízení
Podrobnosti o jednotlivých funkcích zaˇ rízení a jeho nastavení lze získat z originálního manuálu k danému zaˇ rízení. Nastavení aplikace ActiveSync v zaˇ rízení, tak aby se toto zaˇ rízení mohlo pˇ ripojit ke Kerio MailServeru a úspˇ ešnˇ e synchronizovat data, popisuje samostatná kapitola Synchronizace dat s mobilními zaˇ rízeními v manuálu Kerio MailServer 6, Pˇ ríruˇ cka uživatele. R˚ uzné verze systém˚ u poskytují r˚ uzné možnosti spolupráce. Starší verze Windows Mobile neumožˇ nují využití všech možností Kerio MailServeru. Vlastnosti využitelné na jednotlivých verzích podporovaných operaˇ cních systém˚ u znázorˇ nuje tabulka 36.3. Typ zaˇ rízení
b c d e
Kalendᡠr
Kontakty
Úkoly
Direct Push
Global Address Lookup
Kerio Smart Wipe
WM 2002
ANO
ANO
ANO
ANO
WM 2003 a WM 2003 SE
ANO
ANO
ANO
ANO
WM 5.0
ANO
ANO
ANO
ANO
WM 5.0 AKU2
ANO
ANO
ANO
ANO
ANO
ANO
ANO
WM 6.0
ANO
ANO
ANO
ANO
ANO
ANO
ANO
Palm Treo 700w a 750v
ANO
ANO
ANO
ANO
ANO
ANO
ANO
Palm Treo 650
ANO
ANO
ANO a
ANO a
ANO
Palm Treo 680 a 700p
ANO
ANO
ANO
ANO b
ANO b
ANO
Nokia Eseries c
ANO
ANO
ANO
ANO
ANO
ANO
ANO
ANO
ANO
ANO
ANO
ANO
Sony Ericsson M600 a P990i e
ANO
ANO
ANO
ANO
ANO
ANO
Apple iPhone OS X 2.0 a vyšší
ANO
ANO
ANO
ANO
ANO
ANO
Nokia N73 a N95
a
Pošta
d
ANO
Vyžaduje upgrade na VersaMail 3.5 a instalaci Exchange ActiveSync Update for Treo 650 smartphone. Bližší informace lze najít na http://software.palm.com/. Vyžaduje instalaci EAS SP 2 update (http://www.palm.com/us/support/downloads/treo/easupdate.html). Zaˇ rízení Nokia Eseries jsou podporována po instalaci externí aplikace Mail for Exchange 1.3.0 a vyšší. Obˇ e zaˇ rízení Nokia Nseries jsou podporována po instalaci externí aplikace Mail for Exchange 1.6.1 a vyšší. Sony Ericsson M600 a P990i jsou podporovány po instalaci externí aplikace Exchange ActiveSync 2.10 a vyšší. Tabulka 36.3
Podpora vlastností mobilních zaˇ rízení
Následující vlastnosti Kerio MailServer nepodporuje: • Nastavení bezpeˇ cnostní politiky ze serveru (Enforce Security Policy) • SMS-based Always Up-To-Date (AUTD)
353
Kapitola 36 Podpora pro ActiveSync
36.3 RoadSync Kerio MailServer podporuje aplikaci RoadSync 2.0 a vyšší vyvinutou spoleˇ cností DataViz. RoadSync umožˇ nuje synchronizaci dat mezi Kerio MailServerem a mobilními zaˇ rízeními. Synchronizace probíhá pomocí protokolu ActiveSync. RoadSync podporuje synchronizaci následujících typ˚ u složek: • Pošta, • Kalendᡠr, • Kontakty. Aplikaci RoadSync lze nainstalovat na následující typy mobilních zaˇ rízení: • • • • •
Symbian UIQ, Symbian S80, Symbian S60 3rd Edition, Palm OS (synchronizace je omezena pouze na e-maily), Java MIDP 2.0 (synchronizace je omezena pouze na e-maily).
Více informací o produktu RoadSync a konkrétnˇ e podporovaných zaˇ rízeních lze najít na stránkách spoleˇ cnosti DataViz http://www.dataviz.com/.
36.4 SSL šifrování ActiveSync m˚ uže pro komunikaci využívat protokol HTTP nebo jeho šifrovanou verzi HTTPS. Upozornˇ ení Z bezpeˇ cnostních d˚ uvod˚ u d˚ uraznˇ e doporuˇ cujeme používat pro synchronizaci výhradnˇ e protokol HTTPS, protože ActiveSync používá k ovˇ eˇ rení na serveru pouze nešifrované pˇ rihlašovací údaje uživatele. Princip šifrování služeb spuštˇ ených v Kerio MailServeru popisuje kapitola 16. Tento princip mimo jiné pˇ redpokládá instalaci validního SSL certifikátu do zaˇ rízení. Validní certifikát musí obsahovat tyto náležitosti: • Certifikát musí být vydán d˚ uvˇ eryhodnou certifikaˇ cní autoritou. To znamená, že mobilní zaˇ rízení musí znát koˇ renový certifikát serveru. Windows Mobile standardnˇ e obsahuje koˇ renové certifikáty nˇ ekolika certifikaˇ cních autorit. Jejich seznam lze najít na stránkách spoleˇ cnosti Microsoft Corporation. • Musí být platné datum certifikátu, a zároveˇ n je tˇ reba mít nastavené správné datum a ˇ cas v zaˇ rízení. • Certifikát musí obsahovat platný název poštovní domény, kterou Kerio MailServer obsluhuje. Jako validní certifikát lze pro šifrovanou komunikaci využít bud’ certifikát vydaný d˚ uvˇ eryhodnou certifikaˇ cní autoritou (ten je sice pomˇ ernˇ e drahý, ale na druhou stranu s ním nejsou žádné
354
36.4 SSL šifrování
problémy pˇ ri instalaci), nebo certifikát vydaný interní certifikaˇ cní autoritou, a nebo lze využít takzvaný self-signed certifikát vytvoˇ rený pˇ rímo v Kerio MailServeru (více vizte kapitolu 16). V pˇ rípadˇ e certifikátu od certifikaˇ cní autority, kterou zaˇ rízení podporuje, není potˇ reba nic nastavovat ani instalovat. V pˇ rípadˇ e interních nebo self-signed certifikát˚ u je tˇ reba do zaˇ rízení koˇ renový certifikát nainstalovat. Windows Mobile potˇ rebuje certifikát kódovaný v DER X.509 formátu. Soubor musí mít pˇ ríponu .cer. Nejsnadnˇ ejším zp˚ usobem, jak certifikát do zaˇ rízení nainstalovat, je stáhnout ho pomocí prohlížeˇ ce v zaˇ rízení. Kerio MailServer sv˚ uj certifikát ve zmiˇ novaném formátu poskytuje na URL adrese http://nazev_serveru/server.cer V zaˇ rízeních s Windows Mobile 2002 lze pro komunikaci použít pouze protokol HTTPS. Nešifrovaná verze není v˚ ubec podporována. Navíc je tˇ reba, aby Kerio MailServer používal k ovˇ eˇ rení certifikát ovˇ eˇ rený certifikaˇ cní autoritou. K tomu lze použít bud’ certifikát ovˇ eˇ rený podporovanou komerˇ cní certifikaˇ cní autoritou (podporovány jsou certifikáty od certifikaˇ cních autorit VeriSign, CyberTrust, Thawte a Entrust) nebo je tˇ reba do zaˇ rízení nainstalovat koˇ renový certifikát autority, která vydala certifikát pro Kerio MailServer (více vizte sekci Povolení instalace koˇ renového certifikátu ve WM 2002). Upozornˇ ení Do Windows Mobile 2002 nelze nainstalovat self-signed certifikát Kerio MailServeru. Musí to být certifikát koˇ renový, ovˇ eˇ rený alespoˇ n interní certifikaˇ cní autoritou. Od verze Windows Mobile 2003 nastavení aplikace ActiveSync obsahuje volbu pro zapnutí/vypnutí SSL šifrování. Použití SSL šifrování však d˚ uraznˇ e doporuˇ cujeme, protože synchronizace pro ovˇ eˇ rování uživatel˚ u používá pouze metodu basic authentication (pˇ rihlašovací údaje jsou pˇ renášeny nešifrovanˇ e a je možné je odchytit a pˇ reˇ císt). Od verze Windows Mobile 2003 je instalace self-signed certifikátu do zaˇ rízení pomˇ ernˇ e jednoduchá. Postup obsahuje sekce Instalace koˇ renového self-signed certifikátu Kerio MailServeru. Upozornˇ ení Bezpeˇ cnostní pravidla v zaˇ rízeních typu Smartphone s Windows Mobile 2005 zakazují instalaci nových koˇ renových certifikát˚ u. V takových pˇ rípadech je nutné nejprve povolit instalaci koˇ renových certifikát˚ u v registru zaˇ rízení (postup vizte níže).
Instalace self-signed certifikátu Kerio MailServeru Instalaci self-signed certifikátu Kerio MailServeru lze provést následovnˇ e: 1.
2.
V pˇ rípadˇ e, že chceme certifikát nainstalovat do zaˇ rízení Windows Mobile 2002 nebo do Windows Mobile 5.0 Smartphone Edition, je tˇ reba se nejprve ˇ rídit návody v dalších sekcích Povolení instalace koˇ renového certifikátu ve WM 2002 a Povolení instalace koˇ renového certifikátu ve WM 5.0 Smartphone Edition. V ostatních pˇ rípadech zaˇ cneme instalaci certifikátu bodem 2 tohoto návodu. V mobilním zaˇ rízení spustíme internetový prohlížeˇ c. 355
Kapitola 36 Podpora pro ActiveSync
3.
4. 5.
Do adresního ˇ rádku zadáme adresu serveru ve tvaru http://nazev_serveru/server.cer (napˇ ríklad http://mail.firma.cz/server.cer) nebo https://nazev_serveru/server.cer (napˇ ríklad https://mail.firma.cz/server.cer) Prohlížeˇ c se zeptá, zda chceme certifikát stáhnout do zaˇ rízení. Tlaˇ cítkem OK stažení certifikátu potvrdíme. Dále se zaˇ rízení zeptá, zda chceme certifikát nainstalovat a používat jej. I toto okno potvrdíme tlaˇ cítkem OK.
Nyní je certifikát nainstalován.
Povolení instalace koˇ renového certifikátu ve WM 2002 Pro pˇ ridání koˇ renového certifikátu vydaného certifikaˇ cní autoritou, kterou zaˇ rízení standardnˇ e nepodporuje je potˇ reba provést následující: 1. 2. 3. 4. 5. 6.
Stáhneme aplikaci AddRootCert [409KB] a rozbalíme ji. Soubor addrootcert.exe nakopírujeme do zaˇ rízení. Do zaˇ rízení zkopírujeme certifikát serveru (certifikát musí být kódovaný v DER X.509 formátu a musí mít koncovku .cer). V zaˇ rízení klikneme na soubor addrootcert.exe a spustíme ho. Otevˇ re se aplikace, ve které certifikát nainstalujeme. Zaˇ rízení restartujeme.
Povolení instalace koˇ renového certifikátu ve WM 5.0 Smartphone Edition Zaˇ rízení typu Smartphone s operaˇ cním systémem Windows Mobile 5.0 a Windows Mobile 5.0 AKU2 mají jako souˇ cást své bezpeˇ cnostní politiky zakázáno instalovat koˇ renové certifikáty, které nebyly vydány d˚ uvˇ eryhodnými certifikaˇ cními autoritami. Abychom mohli do zaˇ rízení nainstalovat koˇ renový certifikát od autority, kterou dané zaˇ rízení nepodporuje (certifikát vydaný interní certifikaˇ cní autoritou nebo self-signed certifikát Kerio MailServeru), je potˇ reba do mobilního zaˇ rízení nainstalovat nˇ ekterý z editor˚ u registr˚ u mobilních zaˇ rízení a pomocí tohoto editoru instalaci koˇ renového certifikátu povolit. Jednou z možností m˚ uže být napˇ ríklad aplikace regeditSTG.zip (24.01 KB). Pomocí tohoto editoru registr˚ u provedeme následující zmˇ enu: 1. 2.
Vyhledáme a stáhneme aplikaci regeditSTG.zip (je k dispozici zdarma) a rozbalíme ji. Pˇ resuneme editor do mobilního telefonu (napˇ ríklad pomocí desktopové aplikace MS ActiveSync).
356
36.5 Vzdálené vymazání obsahu zaˇ rízení
Upozornˇ ení Soubor je tˇ reba pˇ resunout skuteˇ cnˇ e do telefonu a ne na pamˇ et’ovou kartu. 3. 4. 5.
6.
Na soubor v telefonu klikneme a spustíme ho. Spustíme regeditSTG.exe a najdeme uzel HKLM\Security\Policies\Policies Zmˇ eníme tˇ ri následující položky registru: • 00001001 na ze 2 na 1 • 00001005 ze 16 na 40 • 00001017 ze 128 na 144 Nyní bude možné certifikát bez problém˚ u stáhnout ze serveru a nainstalovat jej podle návodu v sekci 36.4. Upozornˇ ení Takzvaný „tvrdý reset“ zaˇ rízení zmˇ enu registru vymaže a je potˇ reba ji provést znovu.
SSL šifrování v zaˇ rízeních Sony Ericsson Instalace self-signed certifikátu Kerio MailServeru zp˚ usobí, že zaˇ rízení bude vyžadovat souhlas s každou synchronizací se serverem: [Security Information ?] The certificate could not be verified. Select ’Certificate details’ to get more information about the certificate. Do you want to accept the certificate and proceed? [ Yes ] [ No ] [ Details ] Z tohoto d˚ uvodu doporuˇ cujeme instalovat do zaˇ rízení certifikát podepsaný d˚ uvˇ eryhodnou certifikaˇ cní autoritou.
36.5 Vzdálené vymazání obsahu zaˇ rízení Vzdálené vymazání obsahu zaˇ rízení umožˇ nuje správci Kerio MailServeru pomocí jednoho kliknutí v administraˇ cní konzoli odstranit obsah synchronizovaných složek nebo dokonce obsah celého mobilního zaˇ rízení (takzvaný „tvrdý“ restart zaˇ rízení). Tato vlastnost m˚ uže být velmi užiteˇ cná v pˇ rípadˇ e, že uživatel mobilní zaˇ rízení ztratil nebo pokud mu bylo odcizeno. Data na zaˇ rízení jsou takto více chránˇ ena a nemohou se dostat do rukou nepovolaným osobám. Kromˇ e vymazání dat tento úkon zamezí také dalšímu pˇ ripojení zaˇ rízení ke Kerio MailServeru, protože kromˇ e vymazání synchronizovaných dat v zaˇ rízení Kerio MailServer zakáže pˇ rístup tohoto zaˇ rízení p˚ uvodními pˇ rihlašovacími údaji uživatele. Zda bude možné provést restart zaˇ rízení nebo pouze odstranˇ ení složek podléhajících synchronizaci záleží na typu zaˇ rízení a hlavnˇ e systému. Tvrdý restart po síti totiž podporuje pouze 357
Kapitola 36 Podpora pro ActiveSync
systém Windows Mobile 5.0 AKU2 a vyšší. Nižší verze Windows Mobile tuto vlastnost nepodporují, a proto lze pouze vzdálenˇ e odstranit všechna data podléhající synchronizaci aplikací ActiveSync. Poznámka: Vzdálené vymazání zaˇ rízení neumožˇ nuje vymazání pamˇ et’ových karet. Na pamˇ et’ovou kartu se však standardnˇ e nahrávají pˇ rílohy e-mailových zpráv. ActiveSync umožˇ nuje vymazání veškerých synchronizovaných dat, vˇ cetnˇ e zmínˇ ených pˇ ríloh. Takže po vzdáleném vymazání obsahu zaˇ rízení budou vymazána všechna data v zaˇ rízení a zároveˇ n pˇ rílohy emailových zpráv uložené v pamˇ et’ové kartˇ e. Vzdálené vymazání obsahu zaˇ rízení m˚ užeme provést v administraˇ cní konzoli v sekci Nastavení domény → Uživatelské úˇ cty: 1. 2. 3.
Oznaˇ címe uživatele, který potˇ rebuje vymazat obsah zaˇ rízení. Pravým tlaˇ cítkem myši otevˇ reme kontextové menu a vybereme v nˇ em položku Stav → Mobilní zaˇ rízení. Otevˇ re se okno pro správu mobilních zaˇ rízení daného uživatele (vizte obrázek 36.1).
4.
Oznaˇ címe zaˇ rízení, kterému chceme vymazat obsah a stiskneme tlaˇ cítko Vyˇ cistit.
Obrázek 36.1
Dialog pro správu mobilních zaˇ rízení
Upozornˇ ení K vymazání obsahu dojde pˇ ri následujícím pˇ ripojení zaˇ rízení ke Kerio MailServeru. Takže pokud uživatel zaˇ rízení ztratil, informujte ho o tom, že pˇ ri pˇ rípadném nalezení zaˇ rízení nesmí spustit synchronizaci a zároveˇ n se musí ihned obrátit na správce, aby vymazání obsahu pˇ red ˇ použitím zaˇ rízení nejprve zrušil. Ke zrušení slouží tlaˇ cítko Zrušit cištˇ ení, které se objeví po použití tlaˇ cítka Vyˇ cistit. Informace o pr˚ ubˇ ehu vyˇ cištˇ ení zaˇ rízení se vypisují do záznamu Security (popisem záznamu Security se podrobnˇ e zabývá sekce 25.4).
358
36.6 Odstranˇ ení zaˇ rízení ze správce mobilních zaˇ rízení
Souhlas uživatele s možností vzdáleného vymazání obsahu zaˇ rízení V operaˇ cních systémech Windows Mobile vyžaduje vzdálené vymazání obsahu zaˇ rízení explicitní souhlas uživatele s bezpeˇ cnostními pravidly synchronizace. Jinými slovy, uživatel musí odsouhlasit, že správce serveru m˚ uže vzdálené vymazání provést. Z toho d˚ uvodu se bˇ ehem první synchronizace, která mezi zaˇ rízením a Kerio MailServerem probˇ ehne (obvykle po nastavení pˇ rihlašovacích údaj˚ u Kerio MailServeru do aplikace ActiveSync), zobrazí v zaˇ rízení dialog (vizte obrázek 36.2), který uživatel musí odsouhlasit. Bez tohoto odsouhlasení nebude možné synchronizaci dokonˇ cit.
Obrázek 36.2
Souhlas s vymazáním obsahu zaˇ rízení
Kerio MailServer tento souhlas na uživateli vyžaduje pˇ ri první synchronizaci zaˇ rízení se serverem proto, aby se souhlas nezobrazil až ve chvíli, kdy zaˇ rízení m˚ uže držet nepovolaná osoba.
36.6 Odstranˇ ení zaˇ rízení ze správce mobilních zaˇ rízení Uživatelé mohou svá mobilní zaˇ rízení v pr˚ ubˇ ehu ˇ casu mˇ enit za novˇ ejší typy. Ty starší jsou ovšem i nadále pˇ ripojeny ke Kerio MailServeru. Toto není žádný velký problém. Ovšem už z d˚ uvodu pˇ rehlednosti a orientace v zaˇ rízeních doporuˇ cujeme vymazat zaˇ rízení, která již nejsou používána. Nepoužívaná mobilní zaˇ rízení lze vymazat následujícím zp˚ usobem: 1. 2. 3. 4.
V sekci Nastavení domény → Uživatelské úˇ cty vybereme uživatele, který už nepoužívá dané zaˇ rízení. Klikneme na schránce pravým tlaˇ cítkem myši a otevˇ reme kontextové menu, kde vybereme položku Mobilní zaˇ rízení. Otevˇ re se okno pro správu mobilních zaˇ rízení uživatele (vizte obrázek 36.1). Oznaˇ címe zaˇ rízení, kterému chceme vymazat obsah a stiskneme tlaˇ cítko Smazat.
36.7 Záznamy synchronizace Celý proces synchronizace lze sledovat pomocí nástroj˚ u k zaznamenávání komunikace. Tyto nástroje jsou umístˇ eny jak v administraˇ cní konzoli Kerio MailServeru, tak pˇ rímo v mobilním zaˇ rízení. Tato sekce obsahuje popis a nastavení tˇ echto nástroj˚ u:
359
Kapitola 36 Podpora pro ActiveSync
Záznam synchronizace v Kerio MailServeru Kerio Administration Console obsahuje pro záznam komunikace speciální volbu v záznamu Debug (záznam Debug a jeho volby popisuje sekce 25.9). Záznam komunikace lze spustit následovnˇ e: 1. 2. 3. 4.
V administraˇ cní konzoli Kerio MailServeru se pˇ repneme do sekce Záznamy → Debug. Klikneme pravým tlaˇ cítkem myši v oknˇ e záznamu a vyvoláme kontextové menu. V kontextovém menu klikneme na volbu Zprávy. Otevˇ re se dialog Zaznamenávané informace, kde zaškrtneme volbu ActiveSync Synchronization.
Obrázek 36.3
5.
Dialog pro nastavení záznamu Debug
Nastavení uložíme tlaˇ cítkem OK.
Po nastavení záznamu je tˇ reba spustit synchronizaci mezi zaˇ rízením a serverem, aby se mohl vytvoˇ rit záznam. V pˇ rípadˇ e potˇ reby lze záznam synchronizace také uložit: 1. 2. 3.
Záznam lze do souboru uložit v sekci Záznamy → Debug. Na vytvoˇ reném záznamu klikneme pravým tlaˇ cítkem myši a v kontextovém menu vybereme volbu Uložit záznam. V dialogu Uložit záznam zvolíme místo uložení souboru, vybereme formát souboru (na výbˇ er máme mezi formáty TXT a HTML) a dialog odsouhlasíme (vizte obrázek 36.4).
360
ˇešení pˇ 36.8 R rípadných problém˚ u
Obrázek 36.4
Dialog pro uložení záznamu
Záznam synchronizace v mobilních zaˇ rízeních Aplikace ActiveSync v systémech Windows Mobile obsahuje vlastní záznamy každé synchronizace, které mohou napomoci pˇ ri ˇ rešení problém˚ u s komunikací. Záznamy lze zapnout v Advanced dialogu aplikace ActiveSync. Windows Mobile záznamy ukládá do adresᡠre \Windows\Activesync. Každá synchronizace je uložena v samostatném souboru, pˇ riˇ cemž se ve zmínˇ eném adresᡠri nacházejí vždy poslední tˇ ri záznamy. Soubory se záznamy se nazývají: Exchange Server0.txt Exchange Server1.txt Exchange Server2.txt Tyto záznamy mohou být potˇ reba napˇ ríklad pˇ ri ˇ rešení problém˚ u s technickou podporou spoleˇ cnosti Kerio Technologies.
ˇešení pˇ 36.8 R rípadných problém˚ u Problémy se synchronizací jedné složky ve Windows Mobile Problém Uživateli se m˚ uže stát, že se mu nebude daˇ rit synchronizovat nˇ ekterou ze složek, kterou má k synchronizaci pˇ rihlášenu. ˇešení R V nastavení aplikace ActiveSync provedeme následující: 1.
V nastavení aplikace ActiveSync odebereme složku ze seznamu synchronizovaných složek.
361
Kapitola 36 Podpora pro ActiveSync
Obrázek 36.5
2. 3. 4. 5.
Odebrání poškozené složky ze seznamu synchronizovaných složek
Provedeme takzvaný „Soft reset“ zaˇ rízení. Provedeme synchronizaci zaˇ rízení se serverem bez oné poškozené složky. Pokud nyní probˇ ehla synchronizace bez problém˚ u, složku opˇ et do seznamu synchronizovaných složek pˇ ridáme a zkusíme synchronizovat. V pˇ rípadˇ e neúspˇ echu kontaktujeme technickou podporu spoleˇ cnosti Kerio Technologies.
Problémy se synchronizací všech složek ve Windows Mobile Problém Uživateli se nedaˇ rí synchronizovat složky pˇ rihlášené k synchronizaci. ˇešení R V nastavení aplikace ActiveSync provedeme následující: 1.
V nastavení aplikace ActiveSync odebereme (odškrtneme) všechny složky ze seznamu synchronizovaných složek (vizte obrázek 36.6) a nastavení uložíme.
Obrázek 36.6
Odebrání složek ze seznamu synchronizovaných složek
362
ˇešení pˇ 36.8 R rípadných problém˚ u
2. 3.
Provedeme takzvaný „Soft reset“ zaˇ rízení. Složky do seznamu synchronizovaných složek opˇ et pˇ ridáme a zkusíme synchronizovat. 4. V pˇ rípadˇ e neúspˇ echu kontaktujeme technickou podporu spoleˇ cnosti Kerio Technologies. Poznámka: Kromˇ e tohoto postupu je možné také zrušit v ActiveSync úˇ cet celý a po restartu zaˇ rízení ho znovu nastavit. Data podléhající synchronizaci se ze zaˇ rízení vymažou. Po založení nového úˇ ctu se všechna data naˇ ctou znovu, obvykle již správnˇ e.
Zaˇ rízení se nem˚ uže pˇ ripojit k serveru ˇ ešení tohoto problému m˚ R uže být nˇ ekolik. Pˇ redevším je tˇ reba zkontrolovat následující: • V zaˇ rízení musí být správnˇ e nastaven pˇ rístup k síti, aby se zaˇ rízení mohlo pˇ ripojit ke Kerio MailServeru. • V nastavení aplikace ActiveSync je tˇ reba zjistit, zda jsou správnˇ e zadány pˇ rihlašovací údaje. • V Kerio MailServeru musí být povolena služba HTTP(S) na standardních portech (na vˇ etšinˇ e zaˇ rízení nelze nastavit nestandardní port pro komunikaci). • Komunikuje-li zaˇ rízení pˇ res protokol zabezpeˇ cený SSL, je tˇ reba zkontrolovat, zda problém není v SSL certifikátu (více vizte sekci 36.4). • Pokud se uživatel pˇ ripojuje k serveru z Internetu, je tˇ reba mít na firewallu povoleny standardní porty protokolu HTTP(S).
363
Kapitola 37
Podpora pro zaˇ rízení BlackBerry
37.1 NotifyLink Služba NotifyLink provozovaná spoleˇ cností Notify Technology Corporation umožˇ nuje spolupráci mezi mobilními zaˇ rízeními a r˚ uznými servery. Kerio MailServer této služby využívá k synchronizaci dat mezi zaˇ rízeními BlackBerry a datovým úložištˇ em Kerio MailServeru. Komunikace mezi NotifyLink serverem a Kerio MailServerem probíhá pˇ res rozhraní WebDAV a protokol IMAP, proto je tˇ reba spustit v Kerio MailServeru služby HTTP(S), IMAP(S) a LDAP pro vyhledávání kontakt˚ u. Žádná další nastavení nejsou na stranˇ e Kerio MailServeru nutná. Upozornˇ ení Kromˇ e nastavení služeb na serveru je nutné namapovat pˇ ríslušné porty na firewallu, kterým je server chránˇ en, jinak služby nebudou pˇ rístupné z Internetu (více vizte sekci 2.3). Synchronizace BlackBerry pˇ res NotifyLink umožˇ nuje synchronizovat následující složky: • Pošta — synchronizovány jsou všechny osobní složky vˇ cetnˇ e podsložek. • Kalendᡠr — synchronizován je pouze hlavní osobní kalendᡠr. • Kontakty — synchronizovat je možné všechny složky, které si uživatel vybere pˇ ri konfiguraci. • Úkoly — synchronizována je pouze hlavní osobní složka s úkoly. Služba NotifyLink je placená a je možné si ji pˇ redplatit na stránkách http://www.notifycorp.com/, kde lze také najít návod k nastavení zaˇ rízení a další užiteˇ cné informace.
37.2 AstraSync AstraSync je implementací ActiveSync pro zaˇ rízení BlackBerry a umožˇ nuje synchronizaci: • pošty — synchronizovány jsou všechny osobní složky vˇ cetnˇ e podsložek, • kalendᡠre — synchronizován je pouze hlavní osobní kalendᡠr, • kontakt˚ u — synchronizovat je možné všechny složky, které si uživatel vybere pˇ ri konfiguraci, Více se dozvíte na stránkách spoleˇ cnosti http://www.astrasync.com/
364
37.3 NotifySync
37.3 NotifySync NotifySync je implementací ActiveSync pro zaˇ rízení BlackBerry a umožˇ nuje synchronizaci: • pošty — synchronizovány jsou všechny osobní složky vˇ cetnˇ e podsložek, • kalendᡠre — synchronizován je pouze hlavní osobní kalendᡠr, • kontakt˚ u — synchronizovat je možné všechny složky, které si uživatel vybere pˇ ri konfiguraci, • úkol˚ u — synchronizována je pouze hlavní osobní složka s úkoly, Více se dozvíte na stránkách spoleˇ cnosti http://www.notifycorp.com/
365
Kapitola 38
Podpora pro Microsoft Entourage
MS Entourage je poštovní klient pro Mac OS X podporovaný ze strany Kerio MailServeru. Podpora využívá rozhraní pro MS Exchange v Entourage a umožˇ nuje: • • • •
práci s groupwarovými daty (pošta, kalendᡠr, kontakty a veˇ rejné poštovní složky), využívání Free/Busy serveru, pˇ ripojení r˚ uzných LDAP databází pro vyhledávání kontakt˚ u, uˇ cení bayesovského filtru pomocí pˇ resouvání složek do Junk E-mail nebo INBOXu (více vizte kapitolu 13.1).
Podpora pro spolupráci Kerio MailServeru a MS Entourage je pˇ rímá. To znamená, že na klientské stanice se nemusí instalovat žádná rozšiˇ rující aplikace, pouze je nutné správnˇ e nastavit základní parametry úˇ ctu pro Exchange. Pro správnou funkci Microsoft Entourage musí být v Kerio MailServeru spuštˇ eny všechny potˇ rebné služby: • HTTP(S) — pomocí této služby Kerio MailServer komunikuje s rozhraním WebDAV a Free/Busy serverem. • LDAP(S) — pokud je uživateli využíváno vyhledávání kontakt˚ u v LDAP databázi Kerio MailServeru. Upozornˇ ení Kromˇ e nastavení služeb na serveru je nutné namapovat pˇ ríslušné porty na firewallu, kterým je server chránˇ en, jinak služby nebudou pˇ rístupné z Internetu (více vizte sekci 2.3). Kerio MailServer podporuje tyto verze poštovního klienta: • MS Entourage 2004 + MS Office 2004 for Mac SP2 — 11.3.3 pro Mac OS X • MS Entourage 2008 + MS Office 2008 for Mac SP1 — 12.1 pro Mac OS X MS Entourage musí být nainstalován na následujících verzích operaˇ cního systému Mac OS X: • • • •
Mac Mac Mac Mac
OS OS OS OS
X X X X
10.3.9 Panther 10.4 Tiger 10.5 Leopard 10.6 Snow Leopard
Podpora MS Entourage ze strany Kerio MailServeru se liší podle verze MS Entourage. To zohledˇ nuje tabulka 38.1.
366
38.1 Automatická konfigurace Exchange úˇ ctu
Znak
MS Entourage 2004
MS Entourage 2008
Vyhledávání kontakt˚ u pˇ res LDAP
ANO
ANO
Podpora Free/Busy
ANO
ANO
Delegace složek
ANO
ANO
Podpora veˇ rejných složek s kontakty a kalendᡠri ANO
ANO
Podpora více kalendᡠrových a kontaktních složek v jednom úˇ ctu
ANO
ANO
Podpora Out-of-office
NE
ANO
Tabulka 38.1 Podporované vlastnosti
Upozornˇ ení Každý uživatelský profil v MS Entourage m˚ uže obsloužit jen jeden Exchange úˇ cet. Každý další takový úˇ cet nebude funkˇ cní. Funkci POP3 a IMAP úˇ ct˚ u nastavení neovlivˇ nuje. Pokud se v komunikaci mezi Kerio MailServerem a Exchange úˇ ctem v MS Entourage objeví nˇ ejaký problém, zapnˇ ete v záznamu Debug volbu WebDAV Server Requests (jak a kde lze volbu zapnout je popsáno v kapitole 25.9). Záznam pr˚ ubˇ ehu komunikace vám m˚ uže pˇ ri ˇ rešení problému výraznˇ e napomoci. Konkrétní možnosti a nastavení na stranˇ e Kerio MailServer 6, Pˇ ríruˇ cka uživatele).
klienta
jsou
popsána
v
manuálu
38.1 Automatická konfigurace Exchange úˇ ctu Spoleˇ cnost Kerio Technologies pro vás pˇ ripravila autokonfiguraˇ cní skript pro MS Entourage. Tento skript nastaví poštovní úˇ cet tak, aby uživatelé po jeho spuštˇ ení zadali do jednoduchého dialogu pouze své uživatelské jméno, heslo a poštovní doménu, ve které mají založen sv˚ uj úˇ cet. Konfiguraˇ cní skript se pokusí nejprve nastavit úˇ cet tak, aby komunikoval pouze verzemi protokol˚ u šifrovanými SSL. K tomu potˇ rebuje validní SSL certifikát. Za tímto úˇ celem si stáhne aktivní SSL certifikát z Kerio MailServeru. Aby certifikát dobˇ re fungoval, musí být vystaven na DNS název poˇ cítaˇ ce, kde je Kerio MailServer nainstalován. V opaˇ cném pˇ rípadˇ e se úˇ cet nastaví tak, aby certifikát nebyl potˇ reba a protokoly budou komunikovat nešifrovanˇ e. Upozornˇ ení Pokud po probˇ ehnutí skriptu hlásí MS Entourage 2008, že komunikace nebude bezpeˇ cná, protože nem˚ uže komunikovat pˇ res SSL, restartujte prosím MS Entourage. Komunikace bude po restartu aplikace pracovat správnˇ e a šifrovanˇ e.
367
Kapitola 38 Podpora pro Microsoft Entourage
Autokonfiguraˇ cní skript lze získat na stránce Integrace s Mac OS X. Pro otevˇ rení stránky zadejte do prohlížeˇ ce URL ve tvaru http(s)://server/integration. Podrobný popis nastavení vizte Kerio MailServer 6, Pˇ ríruˇ cku uživatele.
368
Kapitola 39
Podpora pro Apple Address Book
Kerio MailServer umožˇ nuje podporu standardního adresᡠre operaˇ cního systému Mac OS X Apple Address Book. Podpora spoˇ cívá v možnosti prohledávání kontakt˚ u v LDAP databázi Kerio MailServeru a od verze Mac OS X 10.3 také obousmˇ ernou synchronizaci kontakt˚ u s uživatelskou schránkou v Kerio MailServeru. Podporu konkrétních možností v závislosti na verzi Mac OS X zobrazuje tabulka 39.1. Kerio MailServer podporuje Apple Address Book v následujících verzích: • • • • •
Apple Apple Apple Apple Apple
Verze OS
Address Address Address Address Address
Book Book Book Book Book
pro pro pro pro pro
Mac Mac Mac Mac Mac
OS OS OS OS OS
X X X X X
10.2 10.3 10.4 10.5 10.6
Vyhledávání v LDAP databázi Kerio MailServeru
Jaguar Panther Tiger Leopard Snow Leopard
Podpora synchronizace kontakt˚ u pomocí Apple iSync
Synchronizace pomocí Kerio Sync Connectoru
Mac OS X 10.2 ANO
NE
NE
Mac OS X 10.3 ANO
ANO
NE
Mac OS X 10.4 ANO
ANO
ANO
Mac OS X 10.5 ANO
ANO
ANO
Tabulka 39.1
Podpora Apple Address Book na jednotlivých verzích Mac OS X
Pro komunikaci mezi Kerio MailServerem a aplikací Apple Address Book je tˇ reba spustit v administraˇ cní konzoli Kerio MailServeru následující služby: • LDAP(S) — službu je tˇ reba spustit, pokud uživatelé chtˇ ejí využívat prohledávání v LDAP databázi Kerio MailServeru. • HTTP(S) — službu je tˇ reba spustit, pokud uživatelé chtˇ ejí využívat možnosti synchronizace kontakt˚ u.
369
Kapitola 39 Podpora pro Apple Address Book
Upozornˇ ení Kromˇ e nastavení služeb na serveru je nutné namapovat pˇ ríslušné porty na firewallu, kterým je server chránˇ en, jinak služby nebudou pˇ rístupné z Internetu (více vizte sekci 2.3). Nastavení aplikace Apple Address Book a pˇ rípadnˇ e také Kerio Sync Connectoru jsou popsána v manuálu Kerio MailServer 6, Pˇ ríruˇ cka uživatele.
370
Kapitola 40
Kerio Sync Connector for Mac
Kerio Sync Connector je program pro obousmˇ ernou synchronizaci dat mezi Kerio MailServerem a aplikacemi Apple iCal a Apple Address Book: • Apple iCal — Kerio Sync Connector umožˇ nuje obousmˇ ernou synchronizaci lokálnˇ e uložených událostí a položek To Do. • Apple Address Book — Kerio Sync Connector umožˇ nuje obousmˇ ernou synchronizaci lokálnˇ e uložených kontakt˚ u. Upozornˇ ení Kerio Sync Connector nepodporuje synchronizaci distribuˇ cních seznam˚ u. Hlavní výhodou Kerio Sync Connectoru je možnost nastavení synchronizace obou aplikací v jednom místˇ e. Kerio Sync Connector využívá pro synchronizaci dat protokol WebDAV. Z toho d˚ uvodu je tˇ reba v Kerio MailServeru spustit služby HTTP a HTTPS. Upozornˇ ení Kromˇ e nastavení služeb na serveru je nutné namapovat pˇ ríslušné porty na firewallu, kterým je server chránˇ en, jinak služby nebudou pˇ rístupné z Internetu (více vizte sekci 2.3). Konkrétní možnosti Kerio Sync Connectoru Kerio MailServer 6, Pˇ ríruˇ cka uživatele.
jsou
popsány
v
manuálu
Doporuˇ cení pro Mac OS X 10.5 Leopard: Vypnˇ ete synchronizaci kalendᡠru ˚ v Kerio Sync Connectoru a použijte nativní synchronizaci kalendᡠru ˚ v Apple iCal pˇ res protokol CalDAV (vizte kapitolu 35).
40.1 Instalace Kerio Sync Connector je tˇ reba nainstalovat na pracovní stanice uživatel˚ u s operaˇ cními systémy Apple Mac OS X 10.4.11 a vyšší. K instalaci je zapotˇ rebí instalaˇ cní balík ve tvaru kerio-ksc-6.7.0-1069.mac.dmg, který lze získat zdarma na stránkách spoleˇ cnosti Kerio Technologies. Postup pˇ ri instalaci je následující: 1. 2. 3.
Dvojím kliknutím otevˇ reme instalaˇ cní balík. Otevˇ re se Finder, který instalaˇ cní balík otevˇ re jako disk a nabídne spustitelný instalaˇ cní soubor Kerio MailServer Installer. Instalaci provedeme pomocí standardního instalaˇ cního pr˚ uvodce. 371
Kapitola 40 Kerio Sync Connector for Mac
ˇešení možných problém˚ 40.2 R u se synchronizací Kerio MailServer i Kerio Sync Connector poskytuje nástroje pro ˇ rešení pˇ rípadných problém˚ u se synchronizací: Záznamy komunikace Komunikaci mezi Kerio MailServerem a Kerio Sync Connectorem lze zaznamenávat jak na stranˇ e Kerio MailServeru, tak na stranˇ e Kerio Sync Connectoru: • Kerio MailServer 1. 2. 3.
Otevˇ reme Kerio Administration Console → Záznamy → Debug. V oknˇ e záznamu otevˇ reme pravým tlaˇ cítkem myši místní nabídku a vybereme položku Zprávy. Otevˇ re se okno Zaznamenávané informace, kde zaškrtneme volbu WebDAV Server Requests (vizte obrázek 40.1).
Obrázek 40.1
Nastavení v záznamu debug
Po vyˇ rešení problému doporuˇ cujeme záznam opˇ et vypnout. • Kerio Sync Connector 1. 2.
Otevˇ reme System Preferences → Kerio Sync Connector a pˇ repneme se do záložky Advanced. Zaškrtneme volbu Enable debug logging (vizte obrázek 40.2). Záznam najdeme v aplikaci Console (Applications → Utilities → Console).
Oprava synchronizace V pˇ rípadˇ e problém˚ u se synchronizovanými daty m˚ uže k ˇ rešení pomoci oprava synchronizace. Pˇ ri opravˇ e bude vytvoˇ rena kopie dat bud’ na serveru nebo v klientovi a tato kopie pˇ remaže stranu opaˇ cnou tak, aby obˇ e úložištˇ e obsahovala stejná data. Rizikem opravy m˚ uže být ztráta ˇ cásti dat, která byla uložena od poslední synchronizace. Postup pˇ ri opravˇ e synchronizace je následující: 1. 2.
Otevˇ reme System Preferences → Kerio Sync Connector a pˇ repneme se do záložky Advanced. Stiskneme tlaˇ cítko Repair. 372
ˇešení možných problém˚ 40.2 R u se synchronizací
Obrázek 40.2
3.
Nastavení záznamu v Kerio Sync Connectoru
Otevˇ re se okno s dotazem, zda chceme provést synchronizaci podle dat na serveru nebo podle dat na klientovi. Po výbˇ eru stiskneme tlaˇ cítko OK a data se synchronizují.
Odeslání reportu do Kerio Technologies V pˇ rípadˇ e, že problém se synchronizací zp˚ usobuje chyba v aplikaci, doporuˇ cujeme odeslat záznam synchronizace do spoleˇ cnosti Kerio Technologies, kde bude podroben analýze. Veškeré informace uložené ve výpisu budou použity pouze k odstranˇ ení problém˚ u spojených s používáním tohoto produktu. Údaje ani vaše e-mailová adresa nebudou žádným zp˚ usobem zneužity. Odeslat report m˚ užeme následujícím zp˚ usobem: 1. 2. 3.
Otevˇ reme System Preferences → Kerio Sync Connector a pˇ repneme se do záložky Advanced. Stiskneme tlaˇ cítko Send report. Otevˇ re se okno pro odeslání e-mailové zprávy se záznamem a doplnˇ enou o adresu odesílatele. Zprávu staˇ cí pouze odeslat.
373
Kapitola 41
Podpora pro Apple Mail
Kerio MailServer podporuje nˇ ekteré funkce pro týmovou spolupráci IMAP a Entourage úˇ ct˚ u v Apple Mail 10.4 a vyšší. Podpora umožˇ nuje zobrazení složek s událostmi, kontakty a úkoly v poštovním klientovi. Podpora pro spolupráci Kerio MailServeru a Apple Mail je pˇ rímá. To znamená, že na klientské stanice se nemusí instalovat žádná rozšiˇ rující aplikace, pouze je nutné podporu povolit v konfiguraˇ cním souboru Kerio MailServeru: 1. 2.
3. 4.
Zastavíme Kerio MailServer — pˇ red každou ruˇ cní editací konfiguraˇ cních soubor˚ u je tˇ reba vždy nejprve zastavit Kerio MailServer Engine. V adresᡠri, kam je nainstalován Kerio MailServer, najdeme soubor s názvem mailserver.cfg a otevˇ reme ho. Pokud soubor editujeme na platformách Mac OS X nebo Linux, potom se nejprve do systému pˇ rihlásíme jako root (speciální uživatel s plnými pˇ rístupovými právy do systému). Pomocí vyhledávání najdeme ˇ rádek s hodnotou IMAPFullListing a místo ˇ císlice 0 k této hodnotˇ e pˇ riˇ radíme ˇ císlici 1. Zmˇ enu v souboru uložíme a Kerio MailServer opˇ et spustíme.
Nastavení plné podpory protokolu IMAP v Kerio MailServeru zp˚ usobí, že všichni uživatelé využívající pro pˇ rístup ke své poštˇ e protokol IMAP budou mít k dispozici všechny typy složek i podsložek (pošta, kalendᡠre, kontakty a úkoly) ve svých poštovních klientech. Tyto složky však budou zobrazeny jako poštovní složky, kde všechny události, kontakty nebo úkoly budou zobrazeny ve formˇ e e-mailových zpráv s pˇ rílohou ve formátu .vcf v pˇ rípadˇ e kontaktu nebo .ics v pˇ rípadˇ e události a úkolu. Z tohoto d˚ uvodu je tˇ reba d˚ ukladnˇ e si rozmyslet, zda má spuštˇ ení plné podpory IMAP v Kerio MailServeru opravdu smysl, a zda pˇ rinese uživatel˚ um oˇ cekávanou pˇ ridanou hodnotu. Pro správnou funkci úˇ ct˚ u v Apple Mail musí být v Kerio MailServeru spuštˇ eny všechny pˇ ríslušné služby: • HTTP(S) — službu je nutno spustit pro Exchange úˇ cty, pokud jsou uživateli využívány. • IMAP(S) — službu je nutno spustit jak pro IMAP, tak pro Exchange úˇ cty. • SMTP(S) — pˇ res protokol probíhá odesílání pošty. Upozornˇ ení Kromˇ e nastavení služeb na serveru je nutné namapovat pˇ ríslušné porty na firewallu, kterým je server chránˇ en, jinak služby nebudou pˇ rístupné z Internetu (více vizte sekci 2.3).
374
Konkrétní možnosti a nastavení v Apple Kerio MailServer 6, Pˇ ríruˇ cka uživatele).
375
Mail
jsou
popsána
v
manuálu
Kapitola 42
Podpora pro Apple iPhone
Kerio MailServer podporuje Apple iPhone 1.0 a vyšší. Vlastností, které jsou ze strany Kerio MailServeru podporovány, je celá ˇ rada: • Apple iPhone 2.0 a vyšší umožˇ nuje pˇ rímou synchronizaci pošty, kalendᡠre a kontakt˚ u pˇ res ActiveSync. • V Apple iPhone 1.0 lze odesílat a pˇ ríjímat poštu pˇ res protokoly IMAP, POP3 a SMTP nebo synchronizovat s desktopovými aplikacemi Apple Mail a Outlook Express pˇ res Apple iTunes. • V Apple iPhone 1.0 lze kontakty a kalendᡠr synchronizovat s desktopovými aplikacemi pomocí Apple iTunes. Synchronizovat kalendᡠr a kontakty je možné také s aplikacemi Apple iCal, Apple Address Book a Microsoft Outlook (XP, 2003 a 2007). • Na Safari lze spustit jak plnou verzi Kerio WebMail tak Kerio WebMail Mini. Upozornˇ ení V plné verzi Kerio WebMailu nelze mˇ enit existující kontakty, události, úkoly ani poznámky. Podpora Apple iPhone ze strany Kerio MailServeru vyžaduje instalaci programu iTunes 7.3 a vyšší na stanice uživatel˚ u. iTunes slouží k synchronizaci mezi desktopovým klientem a Apple iPhone. Synchronizace mezi desktopovou aplikací a Apple iPhone vyžaduje následující operaˇ cní systémy: • Windows XP Service Pack 2 a novˇ ejší, • Mac OS X 10.4.10 a vyšší. Upozornˇ ení Pokud komunikace mezi Kerio MailServerem a poštovním klientem probíhá na portu 25, m˚ uže nastat problém s odesíláním pošty. Veˇ rejné WiFi sítˇ eˇ casto nepodporují komunikaci na nešifrovaných verzích protokol˚ u, takže SMTP na portu 25 m˚ uže být blokován. Uživatelé v takovém pˇ rípadˇ e nemohou ze sítˇ e odesílat svou poštu. SMTPS na portu 465 však obvykle bývá otevˇ reno. Z toho d˚ uvodu doporuˇ cujeme uživatel˚ um nastavit jejich poštovní klienty na šifrování pomocí SMTPS.
376
42.1 Apple iPhone OS 1.0
42.1 Apple iPhone OS 1.0 V Kerio MailServeru spustit následující služby: • • • •
HTTP(S) — službu je nutno spustit pro pˇ rístup k rozhraní Kerio WebMail. POP3(S) — službu je nutno spustit pro úˇ cty typu POP3. IMAP(S) — službu je nutno spustit pro IMAP úˇ cty. SMTP(S) — pˇ res protokol probíhá odesílání pošty.
Kromˇ e výše zmínˇ ených služeb je tˇ reba namapovat na firewallu chránícím server pˇ ríslušné porty, aby služby byly dostupné z Internetu (více vizte sekci 2.3).
42.1.1 Pošta Poštovní úˇ cet lze v Apple iPhone nastavit manuálnˇ e nebo je možno využít automatické konfigurace:
Automatická konfigurace Pˇ ri synchronizaci pˇ res iTunes lze využít i automatické synchronizace poštovních složek v Apple Mail nebo na systému Windows v programu Outlook Express (nastavení úˇ ctu typu IMAP).
Ruˇ cní konfigurace Ruˇ cní konfigurace vyžaduje pouze standardní nastavení pˇ ríchozího a odchozího serveru. Apple iPhone nabízí tˇ ri typy úˇ ct˚ u: IMAP, POP3 a EXCHANGE. Všemi typy úˇ ct˚ u se lze pˇ ripojit ke Kerio MailServeru. Podrobnosti k nastavení obsahuje kapitola Kerio MailServer 6, Pˇ ríruˇ cka uživatele.
o
Apple
iPhone
v
manuálu
42.1.2 Synchronizace událostí a kontakt˚ u Pˇ rímá synchronizace Apple iPhone a Kerio MailServeru není podporována. Kalendᡠre i kontakty lze synchronizovat pouze pˇ res desktopovou aplikaci Apple iTunes verze 7.3 a vyšší:
Kalendᡠr Kalendᡠre lze synchronizovat s aplikacemi: • Apple iCal — synchronizovat lze všechny kalendᡠre. • MS Outlook — synchronizovat lze pouze výchozí kalendᡠr. • Windows Calendar — iTunes synchronizaci nepodporují.
377
Kapitola 42 Podpora pro Apple iPhone
Kontakty Kalendᡠrová data lze synchronizovat s následujícími aplikacemi: • Apple Address Book — všechny položky kontaktu jsou synchronizovány. • MS Outlook — všechny podstatné položky jsou synchronizovány, synchronizuje se pouze jedna složka s kontakty, synchronizace distribuˇ cních seznam˚ u není podporována. • Windows Contacts — všechny položky kontaktu jsou synchronizovány, distribuˇ cní seznamy jsou synchronizovány jako tzv. skupina.
42.2 Apple iPhone OS 2.0 Využívají-li uživatelé k synchronizaci ActiveSync, musí být v Kerio MailServeru spuštˇ ena služba HTTP(S). Využívají-li uživatelé standardní protokoly a synchronizaci pˇ res desktop, musí být spuštˇ eny stejné služby jako pro Apple iPhone 1.0 Kapitola se týká jak zaˇ rízení Apple iPhone 3G, tak i Apple iPhone 1.0 s aktualizovaným firmwarem na OS X 2.0. a vyšším. Pro Apple iPhone s OS X 2.0 a vyšším platí stejné možnosti jako pro Apple iPhone 1.0, avšak navíc podporuje protokol ActiveSync pro pˇ rímou synchronizaci dat. To znamená, že nyní budou mít uživatelé následující možnosti: • Apple iPhone umožˇ nuje pˇ rímou synchronizaci: • pošty, • kalendᡠre, • kontakt˚ u. • Apple iPhone plnˇ e podporuje vlastnost vyˇ cištˇ ení zaˇ rízení (tzv. „Device Wipe“). V pˇ rípadˇ e ztráty zaˇ rízení jej lze vzdálenˇ e vymazat (více vizte sekci 36.5). • DirectPush Technology — tato technologie umožˇ nuje mobilnímu zaˇ rízení udržovat otevˇ rené HTTP(S) spojení se serverem a v pˇ rípadˇ e pˇ rijetí nové položky nebo zmˇ eny položky v nˇ ekteré ze synchronizovaných složek se zmˇ ena ihned synchronizuje. • Global Address Lookup — tato vlastnost umožˇ nuje vyhledávání e-mailových adres ve složkách s kontakty. Nastavení Exchange úˇ ctu v uživatelské pˇ ríruˇ cce.
(synchronizace
pˇ res
ActiveSync)
je
popsáno
42.3 Apple iPhone OS 3.0 Využívají-li uživatelé k synchronizaci ActiveSync, musí být v Kerio MailServeru spuštˇ ena služba HTTP(S). V Apple iPhone OS 3.0 lze využívat všechny funkce dosud dostupné v Apple iPhone OS 1.0 i 2.0 (vizte sekce 42.1 a 42.2). 378
42.3 Apple iPhone OS 3.0
Novˇ e Apple iPhone OS 3.0 podporuje následující vlastnosti: • protokol CalDAV (umožˇ nuje synchronizaci kalendᡠru ˚), • standard iCalendar (umožˇ nuje stažení sdílených a veˇ rejných kalendᡠru ˚ pro ˇ ctení), • protokol LDAP (umožˇ nuje pˇ rístup ke kontakt˚ um pˇ res protokol LDAP). Systém navíc obsahuje ˇ radu dalších drobných vylepšení jako jsou: metoda Copy&Paste funguje pro text i grafiku pˇ ri psaní e-mail˚ u, možnost pˇ repnutí do horizontální polohy klienta pˇ ri psaní e-mail˚ u, vyhledávání v e-mailech na serveru (v ActiveSync úˇ ctu), upozorˇ nování na nové e-maily doruˇ cené do jiných složek než do Inboxu, možnost vytvᡠrení a odesílání pozvánek z ActiveSync úˇ ctu (vˇ cetnˇ e zobrazení dostupnosti uživatel˚ u), • synchronizace poznámek pˇ res Apple iTunes s desktopovými aplikacemi Apple Mail a MS Outlook.
• • • • •
Na serveru není potˇ reba kv˚ uli tˇ emto vlastnostem cokoliv nastavovat, pouze musí být spuštˇ eny služby LDAP(S) a HTTP(S). Nastavení zaˇ rízení je popsáno v uživatelské pˇ ríruˇ cce.
379
Kapitola 43
Technická podpora
Spoleˇ cnost Kerio Technologies poskytuje registrovaným uživatel˚ um na produkt Kerio MailServer bezplatnou e-mailovou a telefonickou technickou podporu. Kontakty naleznete na konci této kapitoly. Naši technici vám rádi ochotnˇ e pomohou s jakýmkoliv problémem. Znaˇ cné množství problém˚ u lze ale vyˇ rešit svépomocí (zpravidla i rychleji). Než se rozhodnete kontaktovat technickou podporu Kerio Technologies, proved’te prosím následující: • Pokuste se najít odpovˇ ed’ v tomto manuálu. Jednotlivé kapitoly obsahují velmi detailní popis funkcí aplikace Kerio MailServer a možnosti jejich využití pro optimální nastavení serveru. • Nenajdete-li odpovˇ ed’ na vaši otázku zde, pokuste se ji najít: 1. na produktových stránkách (http://www.kerio.cz/cz/mailserver/), 2. na stránkách technické podpory (http://www.kerio.cz/cz/support/). • Dalšími zdroji cenných informací m˚ uže být diskusní fórum uživatel˚ u aplikace Kerio MailServer na stránkách http://forums.kerio.cz/ a znalostní databáze, kterou lze najít na stránkách http://www.kerio.cz/cz/support/. • Konkrétní dotazy na technickou podporu lze zadávat do speciálního webového formulᡠre umístˇ eného na stránkách http://www.kerio.cz/cz/support/.
380
Pˇ ríloha A
Právní doložka
Microsoft , Windows , Windows NT , Windows Vista , Internet Explorer , Active Directory , Outlook , ActiveSync , Entourage a Windows Mobile jsou registrované ochranné známky spoleˇ cnosti Microsoft Corporation. Apple , iCal , Mac OS , Safari, Tiger, Panther , Open Directory logo, Leopard a Snow Leopard jsou registrované ochranné známky nebo ochranné známky spoleˇ cnosti Apple Computer, Inc. Palm , Treo a VersaMail jsou registrované ochranné známky nebo ochranné známky spoleˇ cnosti Palm, Inc. Red Hat a Fedora jsou registrované ochranné známky nebo ochranné známky spoleˇ cnosti Red Hat, Inc. SUSE je registrovaná ochranná známka spoleˇ cnosti Novell Inc. Mozilla a Firefox jsou registrované ochranné známky spoleˇ cnosti Mozilla Foundation. Linux je ochranná registrovaná známka Linuse Torvaldse. Kerberos je ochranná známka Massachusetts Institute of Technology (MIT). McAfee a Proven Security jsou registrované ochranné známky nebo ochranné známky spoleˇ cnosti Network Associates, Inc. avast! je registrovaná ochranná známka spoleˇ cnosti ALWIL Software. Symantec je ochranná známka spoleˇ cnosti Symantec Corporation. eTrust je ochranná známka spoleˇ cnosti Computer Associates International, Inc. ClamAV je ochranná známka spoleˇ cnosti Tomasz Kojm. VisNetic a VisNetic AntiVirus jsou registrované ochranné známky nebo ochranné známky spoleˇ cnosti Deerfield Communications Inc. Cybertrust je registrovaná ochranná známka spoleˇ cnosti Cybertrust Holdings, Inc. a/nebo jejích poboˇ cek. Thawte je registrovaná ochranná známka spoleˇ cnosti VeriSign, Inc. Entrust je registrovaná ochranná známka spoleˇ cnosti Entrust, Inc. Sophos je registrovaná ochranná známka spoleˇ cnosti Sophos Plc. ESET a NOD32 jsou registrované ochranné známky spoleˇ cnosti ESET, LLC. Grisoft a AVG jsou registrované ochranné známky spoleˇ cnosti Grisoft Inc. 381
Pˇ ríloha A Právní doložka
NotifyLink je registrovaná ochranná známka spoleˇ cnosti Notify Technology Corporation. BlackBerry je registrovaná ochranná známka spoleˇ cnosti Research In Motion Limited. RoadSync je ochranná známka spoleˇ cnosti DataViz Inc. Nokia a Mail for Exchange jsou registrované ochranné známky spoleˇ cnosti Nokia Corporation. Symbian je ochranná známka spoleˇ cnosti Symbian Software Limited. Sony Ericsson je registrovaná ochranná známka spoleˇ cnosti Sony Ericsson Mobile Communications AB. SpamAssassin je ochranná známka Apache Software Foundation. SpamHAUS je registrovaná ochranná známka spoleˇ cnosti The Spamhaus Project Ltd.
382
Pˇ ríloha B
Použité open-source knihovny
Tento produkt obsahuje následující knihovny volnˇ e šiˇ ritelné ve formˇ e zdrojových kód˚ u (opensource): Berkeley DB Berkeley DB je softwarová knihovna, která poskytuje integrovanou databázi s vazbou na C, C++, Javu, Perl, Python, Ruby, Tcl, Smalltalk a mnoho dalších programovacích jazyk˚ u. The Regents of the University of California. All rights reserved. Copyright 1987, 1993 The Regents of the University of California. All rights reserved. bindlib Knihovna poskytuje DNS resolver, který se používá pro PHP aplikace ve Windows. Copyright 1983, 1993 The Regents of the University of California. All rights reserved. Portions Copyright 1993 by Digital Equipment Corporation. Kerio MailServer Configuration Wizard pro Linux Kerio MailServer Configuration Wizard pro Linux je program pro poˇ cáteˇ cní konfiguraci Kerio MailServeru. Copyright (c) Kerio Technologies, s.r.o Kerio MailServer Configuration Wizard pro Linux je šíˇ ren pod licencí GPL verze 3. Kompletní zdrojový kód spustitelného programu je k dispozici ke stažení na stránce: http://download.kerio.cz/dwn/kms-cfgwizard.tar.gz CppSQLite CppSQLite je knihovna, která zpˇ rístupˇ nuje integrovanou databázi SQLite pro jazyk C++ Copyright 2004 Rob Groves. All Rights Reserved. [email protected] Ext JS Ext JS je JavaScriptová knihovna pro vytvᡠrení internetových aplikací. Ext JS Library 2.0.2 Copyright 2006-2008, Ext JS, LLC ([email protected]) http://www.gnu.org/copyleft/lgpl.html http://www.gnu.org/copyleft/gpl.html Upravené zdrojové soubory lze získat na adrese http://download.kerio.cz/dwn/kms-extjs.zip Firebird 2 Tento produkt obsahuje pozmˇ enˇ enou verzi databázového jádra Firebird šíˇ reného v souladu s licencemi IPL a IDPL. Všechna práva vyhrazena individuálním pˇ rispˇ evatel˚ um — originální kód Copyright 2000 Inprise Corporation. 383
Pˇ ríloha B Použité open-source knihovny
Upravený zdrojový kód je dostupný na adrese http://download.kerio.com/dwn/kms-firebird.zip Heimdal Kerberos Heimdal Kerberos je využíván pouze ve verzi Kerio MailServeru urˇ cené pro linuxové distribuce. Heimdal je implementace Kerberosu 5, psaného hlavnˇ e ve Švédsku. Je volnˇ e dostupný pod licencí podobné BSD (pozn.: balík obsahuje i ˇ cásti knihovny libdes, od Erica Younga, která je pod jinou licencí). Jiné další volné implementace jsou od MIT a Shishi. Také MS Windows a Sun Java mají implementaci Kerberosu. Copyright 1997-2000 Kungliga Tekniska Hogskolan (Royal Institute of Technology, Stockholm, Sweden). All rights reserved. Copyright 1995-1997 Eric Young ([email protected]). All rights reserved. Copyright 1990 by the Massachusetts Institute of Technology Copyright 1988, 1990, 1993 The Regents of the University of California. All rights reserved. Copyright 1992 Simmule Turner and Rich Salz. All rights reserved. libcurl libcurl je knihovna, která se používá pro stažení obsahu URL. Knihovna podporuje následující protokoly: FTP, FTPS, HTTP, HTTPS, GOPHER, TELNET, DICT, FILE a LDAP. Copyright 1996-2008, Daniel Stenberg, ([email protected]). libiconv Knihovna konvertuje znaky z jednoho kódování do jiného pˇ res UNICODE. Copyright 1999-2003 Free Software Foundation, Inc. Autor: Bruno Haible Domovská stránka: http://www.gnu.org/software/libiconv/ Knihovna libiconv je šíˇ rena pod licencí LGPL 3. Kerio MailServer obsahuje upravenou verzi této knihovny. Kompletní zdrojové kódy upravené knihovny libiconv jsou k dispozici na adrese: http://download.kerio.cz/dwn/kms-iconv.zip libspf2 libspf2 implementuje Sender Policy Framework, který pˇ redstavuje ˇ cást páru protokol˚ u SPF/SRS. Knihovna libspf2 umožˇ nuje poštovním server˚ um jako jsou Sendmail, Postfix, Exim, Zmailer a MS Exchange kontrolu SPF záznam˚ u. Zároveˇ n ovˇ eˇ ruje SPF záznam a kontroluje, zda je odesílající server oprávnˇ en odesílat poštu pro doménu, ze které byla zpráva odeslána. Toto opatˇ rení zabraˇ nuje podvrh˚ um bˇ ežnˇ e užívaným spammery a viry/ˇ cervy (více vizte http://www.libspf2.org/). Copyright 2004 Wayne Schlitt. All rights reserved. libxml2 Knihovna je nástrojem pro práci s XML soubory. Copyright 1998-2003 Daniel Veillard. All Rights Reserved. Copyright 2000 Bjorn Reese and Daniel Veillard. 384
Copyright 2000 Gary Pennington and Daniel Veillard Copyright 1998 Bjorn Reese and Daniel Stenberg. Mail-SpamAssassin Tento produkt obsahuje software vyvinutý Apache Software Foundation (http://www.apache.org/). SpamAssassin je registrovaná ochranná známka Apache Software Foundation. myspell Knihovna pro kontrolu pravopisu. Copyright 2002 Kevin B. Hendricks, Stratford, Ontario, Canada And Contributors. All rights reserved. OpenLDAP Volnˇ e šiˇ ritelná implementace protokolu LDAP (Lightweight Directory Access Protocol). Copyright 1998-2007 The OpenLDAP Foundation Copyright 1999, Juan C. Gomez, All rights reserved Copyright 2001 Computing Research Labs, New Mexico State University Portions Copyright1999, 2000 Novell, Inc. All Rights Reserved Portions Copyright PADL Software Pty Ltd. 1999 Portions Copyright 1990, 1991, 1993, 1994, 1995, 1996 Regents of the University of Michigan Portions Copyright The Internet Society (1997) Portions Copyright 1998-2003 Kurt D. Zeilenga Portions Copyright 1998 A. Hartgers Portions Copyright 1999 Lars Uffmann Portions Copyright 2003 IBM Corporation Portions Copyright 2004 Hewlett-Packard Company Portions Copyright 2004 Howard Chu, Symas Corp. OpenSSL Implementace protokol˚ u Secure Sockets Layer (SSL v2/v3) a Transport Layer Security (TLS v1). Tento produkt obsahuje software vyvinutý sdružením OpenSSL Project pro použití v OpenSSL Toolkit (http://www.openssl.org/). Tento produkt obsahuje software, který napsal Eric Young ([email protected]) Tento produkt obsahuje software, který napsal Tim Hudson ([email protected]) PHP PHP je široce používaný obecný skriptovací jazyk, který se používá obzvláštˇ e pro vývoj web aplikací a m˚ uže být vložený pˇ rímo do HTML kódu. Copyright 1999-2006 The PHP Group. All rights reserved. Tento produkt obsahuje PHP software, který najdete volnˇ e ke stažení na adrese http://www.php.net/software/
385
Pˇ ríloha B Použité open-source knihovny
php_mbstring PHP modul používaný pro práci s více bytovými ˇ retˇ ezci. Copyright 2001-2004 The PHP Group. Copyright 1998-2002 HappySize, Inc. All rights reserved. Knihovna je upravena spoleˇ cností Kerio Technologies Inc. a šíˇ rena pod licencí LGPL verze 2.1. sdbm Tento produkt obsahuje (http://www.apache.org/)
software
vyvinutý
Apache
zlib Všestrannˇ e použitelná knihovna pro kompresi a dekompresi dat. Copyright 1995-2005 Jean-Loup Gailly and Mark Adler.
386
Software
Foundation
Slovníˇ cek pojm˚ u
DoS útok DoS (Denial of Service) je typ útoku, který spoˇ cívá v zahlcení serveru požadavky jiného poˇ cítaˇ ce nebo poˇ cítaˇ cu ˚ tak, aby nestíhal plnit požadavky regulérních uživatel˚ u nebo v horším pˇ rípadˇ e útoku podlehl. DSN DSN (Delivery Status Notification) je zpráva o stavu doruˇ cení e-mailové zprávy, doruˇ cenka. Existuje nˇ ekolik druh˚ u potvrzení o doruˇ cení zprávy. Pokud není odesílatelem urˇ ceno jinak, posílá mu mailový server pouze chybové zprávy (odložení, neúspˇ ech). E-mailová adresa Urˇ cuje pˇ ríjemce a odesílatele zprávy pˇ ri komunikaci elektronickou poštou. Skládá se z lokální ˇ cásti (pˇ red znakem @) a domény (ˇ cást za znakem @). Doména urˇ cuje místo (organizaci), kam bude zpráva doruˇ cena, a lokální ˇ cást pak konkrétního pˇ ríjemce v rámci této organizace. ETRN Pˇ rijímáte-li poštu protokolem SMTP a váš server není trvale pˇ ripojen k Internetu, m˚ uže se pošta shromažd’ovat na jiném SMTP serveru (typicky sekundární server pro danou doménu). V okamžiku pˇ ripojení k Internetu vyšle váš SMTP server pˇ ríkaz ETRN (jeden z pˇ ríkaz˚ u protokolu SMTP), ˇ címž si žádá o poslání uložených e-mail˚ u. Nejsou-li na daném SMTP serveru žádné zprávy uloženy, nemusí na pˇ ríkaz ETRN v˚ ubec odpovˇ edˇ et. Proto je tˇ reba definovat dobu (timeout), po které SMTP server ukonˇ cí spojení, jestliže žádné e-maily nepˇ rijal. Firewall Software nebo hardwarové zaˇ rízení, které chrání poˇ cítaˇ c nebo poˇ cítaˇ covou sít’ pˇ red pr˚ unikem zvenˇ cí (typicky z Internetu). Free/Busy Free/Busy server zabudovaný do Kerio MailServeru je služba, která uživatel˚ um prostˇ rednictvím protokolu HTTP poskytuje informace o zaneprázdnˇ enosti/volném ˇ case ostatních uživatel˚ u, aniž by se zobrazily podrobnosti jednotlivých událostí. IMAP Internet Message Access Protocol (IMAP) je protokol umožˇ nující klient˚ um pracovat se svými zprávami na serveru, bez nutnosti stahování na lokální poˇ cítaˇ c. Uživatel se tak m˚ uže pˇ ripojovat k serveru z více r˚ uzných poˇ cítaˇ cu ˚ a má vždy k dispozici všechny své zprávy (pokud by byly zprávy staženy na lokální disk urˇ citého poˇ cítaˇ ce, nebyly by z ostatních poˇ cítaˇ cu ˚ dostupné). K téže schránce lze (za urˇ citých podmínek) pˇ ristupovat protokoly IMAP i POP3 souˇ casnˇ e. 387
Slovníˇ cek pojm˚ u
IP IP (Internet Protocol) je protokol, který nese ve své datové ˇ cásti všechny ostatní protokoly. Nejd˚ uležitˇ ejší informací v jeho hlaviˇ cce je zdrojová a cílová IP adresa, tedy kým (jakým poˇ cítaˇ cem) byl paket vyslán a komu je urˇ cen. IP adresa 32-bitové ˇ císlo jednoznaˇ cnˇ e urˇ cující poˇ cítaˇ c v Internetu. Zapisuje v desítkové soustavˇ e jako ˇ ctveˇ rice byt˚ u (0-255) oddˇ elených teˇ ckami (napˇ r. 200.152.21.5). Každý paket obsahuje informaci, odkud byl vyslán (zdrojová IP adresa), a kam má být doruˇ cen (cílová IP adresa). Kerberos Protokol pro bezpeˇ cné ovˇ eˇ rování uživatel˚ u v sít’ovém prostˇ redí. Byl navržen organizací MIT (Massachusetts Institute of Technology) v rámci projektu Athena. Protokol je založen na principu d˚ uvˇ eryhodné tˇ retí strany. Uživatelé se pˇ rihlašují svým heslem k centrálnímu serveru (KDC, Key Distribution Center) a od nˇ eho dostávají šifrované vstupenky (tickets) pro pˇ rihlášení k r˚ uzným službám v síti. LDAP LDAP (Lightweight Directory Access Protocol) je internetový protokol pro pˇ rístup k adresᡠrovým službám. V adresᡠrích bývají uloženy informace o uživatelských úˇ ctech a jejich právech, poˇ cítaˇ cích v síti apod. Nejˇ castˇ eji používají LDAP e-mailové programy pro vyhledávání e-mailových adres a ˇ rízení doruˇ cování pošty (Microsoft Active Directory). MAPI MAPI (Messaging Application Programming Interface) je programovací aplikaˇ cní rozhraní (API) firmy Microsoft. Je to softwarové rozhraní, které umožˇ nuje jakémukoliv programu podporujícímu MAPI pracovat s libovolným poštovním systémem (Kerio MailServer) a tedy posílat a zpracovávat data bez ohledu na typ a výrobce komunikaˇ cních prostˇ redk˚ u. Maska subsítˇ e Maska subsítˇ e rozdˇ eluje IP adresu na dvˇ eˇ cásti: adresu sítˇ e a adresu poˇ cítaˇ ce v této síti. Maska se zapisuje stejnˇ e jako IP adresa (napˇ r. 255.255.255.0), ale je tˇ reba ji vidˇ et jako 32-bitové ˇ císlo mající zleva urˇ citý poˇ cet jedniˇ cek a zbytek nul (maska tedy nem˚ uže mít libovolnou hodnotu). Jedniˇ cka v masce subsítˇ e oznaˇ cuje bit adresy sítˇ e a nula bit adresy poˇ cítaˇ ce. Všechny poˇ cítaˇ ce v jedné subsíti musejí mít stejnou masku subsítˇ e a stejnou sít’ovou ˇ cást IP adresy. MX záznamy Jeden z typ˚ u záznam˚ u, které mohou být uloženy v DNS. Obsahuje informaci o poštovním serveru pro danou doménu (tzn. na který SMTP server má být poslán e-mail pro tuto doménu). MX záznam˚ u pro jednu doménu m˚ uže být více, pak mají r˚ uznou prioritu a mohou definovat napˇ r. primární a záložní (sekundární) server.
388
NNTP NNTP (Network News Transfer Protocol) je jednoduchý textový protokol, který rozšiˇ ruje, naˇ cítá a umist’uje zprávy na Internetu. Notifikace Struˇ cná zpráva (upozornˇ ení) na urˇ citou událost — napˇ r. pˇ rijetí e-mailu. Zpravidla se posílá formou krátké textové zprávy (SMS) na mobilní telefon. POP3 Post Office Protocol je protokol, který umožˇ nuje uživatel˚ um stahovat zprávy ze serveru na sv˚ uj lokální disk. Je vhodný zejména pro klienty, kteˇ rí nemají trvalé pˇ ripojení k Internetu. Na rozdíl od protokolu IMAP, POP3 neumožˇ nuje uživatel˚ um manipulovat se zprávami na serveru. Veškeré operace s nimi musí být provádˇ eny na poˇ cítaˇ ci klienta. POP3 umožˇ nuje pˇ rístup pouze do uživatelovy složky INBOX a nepodporuje veˇ rejné a sdílené složky. Port 16-bitové ˇ císlo (1-65535) používané protokoly TCP a UDP pro identifikaci aplikací (služeb) na daném poˇ cítaˇ ci. Na jednom poˇ cítaˇ ci (jedné IP adrese) m˚ uže být spuštˇ eno více aplikací souˇ casnˇ e (napˇ r. WWW server, poštovní klient, WWW klient — prohlížeˇ c, FTP klient atd.). Každá aplikace je však jednoznaˇ cnˇ e urˇ cena ˇ císlem portu. Porty 1-1023 jsou vyhrazené a používají je standardní, pˇ ríp. systémové služby (napˇ r. 80 = WWW). Porty nad 1024 (vˇ cetnˇ e) mohou být volnˇ e použity libovolnou aplikací (typicky klientem jako zdrojový port nebo nestandardní aplikací serverového typu). Poštovní schránka Místo, kde jsou pˇ rijaté e-maily na serveru uloženy. Poštu si klient m˚ uže ze schránky vybírat (protokolem POP3), anebo pracovat se zprávami pˇ rímo na serveru (protokolem IMAP). Fyzicky je schránka reprezentována adresᡠrem na disku, který je vytvoˇ ren v adresᡠri Kerio MailServeru (mail/jmeno_uzivatele). V tomto adresᡠri jsou vytvᡠreny další podadresᡠre, reprezentující jednotlivé složky). Schránky nejsou vytvoˇ reny pˇ ri definici uživatel˚ u, konkrétní schránka je vždy vytvoˇ rena až po pˇ rijetí prvního e-mailu, který do ní má být uložen. RFC RFC (Request For Comments) je soubor obecnˇ e a dobrovolnˇ e uznávaných standard˚ u. Je to soubor ˇ císlovaných dokument˚ u, kde každý z nich se vˇ enuje nˇ ejaké ˇ cásti sít’ové komunikace. SMTP Simple Mail Transfer Protocol je základní protokol, který se používá pro odesílání pošty v Internetu. Odesílatel a pˇ ríjemce zprávy je urˇ cen e-mailovou adresou.
389
Slovníˇ cek pojm˚ u
Spam Nevyžádaný, zpravidla reklamní e-mail. Spamy bývají rozesílány hromadnˇ e, pˇ riˇ cemž adresy pˇ ríjemc˚ u získávají rozesílatelé nelegálními cestami. SSL Protokol pro zabezpeˇ cení a šifrování TCP spojení. P˚ uvodnˇ e byl navržen firmou Netscape pro zabezpeˇ cení pˇ renosu WWW stránek protokolem HTTP, dnes je podporován témˇ eˇ r všemi standardními internetovými protokoly — SMTP, POP3, IMAP, LDAP atd. Na zaˇ cátku komunikace se nejprve asymetrickou šifrou provede výmˇ ena šifrovacího klíˇ ce, který je pak použit pro (symetrické) šifrování vlastních dat. TLS Transport Layer Security. Nástupce SSL, de facto SSL verze 3.1. Tato verze je standardizována organizací IETF. WebDAV WebDAV (Web Distributed Authoring and Versioning) je rozhraní rozšiˇ rující protokol HTTP o možnost skupinovˇ e editovat a spravovat soubory umístˇ ené na serverech. WebMail Rozhraní Kerio MailServeru, které umožˇ nuje pˇ rístup k poštˇ e pomocí WWW prohlížeˇ ce. V Kerio WebMailu je rovnˇ ež možno mˇ enit nˇ ekterá uživatelská nastavení (napˇ r. filtrování zpráv nebo heslo).
390
Rejstˇ rík
A Active Directory 86 import uživatel˚ u 89 Active Directory Extension 102 instalace 102 ActiveSync 349 instalace SSL certifikátu 355 instalace SSL certifikátu ve WM 5.0 356 instalace SSL certifikátu ve WM 2002 356 odstranˇ ení zaˇ rízení ze správy Kerio MailServeru 359 pˇ rímá synchronizace se serverem 349 podporovaná mobilní zaˇ rízení 352 RoadSync 354 SSL certifikáty v<e>nbspSony Ericsson 357 SSL šifrování 354 synchronizace s desktopovou aplikací 351 vzdálené vymazání obsahu zaˇ rízení 357 záznam Debug 360 záznamy v<e>nbspmobilních zaˇ rízeních 361 aktualizace Kerio MailServer 144 Kerio Outlook Connector 144 Kerio Sync Connector 144 alias 126 definice 127 kontrola 128 skupiny 95 uživatele 74 antivirus 173 filtrování pˇ ríloh 178 McAfee Anti-Virus 173, 174 podporované externí antiviry 175 statistika 179 Apple Address Book 369
Apple iCal 344 CalDAV 347 iCal Config Tool 348 Apple iPhone 376 Apple iPhone 2.0 378 Apple iPhone 3G 378 Apple iPhone OS 3.0 378 Apple Mail nastavení mailserver.cfg 374 podpora týmové spolupráce 374 archivace 181 avserver 39 B BlackBerry AstraSync 364 NotifyLink 364 NotifySync 365 C CalDAV 347 Apple iCal 347 certifikát serveru 196 intermediate 199 Safari 201 D datový adresᡠr 141 doména Windows NT 73 doménový koš 117 X-Envelope-To: 117 domény alias 60 primární 56 zápatí 57 DoS útok 387 DSN 387
391
Rejstˇ rík
E e-mailová adresa 387 e-mailové konference 230 ETRN 116, 134, 222, 387 F firewall 136, 304, 387 Free/Busy 387 fronta zpráv 248 prohlížení fronty 249 H HTTP 48 HTTP Proxy
143
I iCal Config Tool 348 IMAP 47, 302, 303, 304, 387 import uživatel˚ u 86 instalace 17 Linux DEB 22 Linux RPM 20 Mac OS X 23 MS<e>nbspWindows 17 internetové pˇ ripojení 112 IP 388 IP adresa 388 K Kerberos 62, 73, 388 ovˇ eˇ rování 280 Kerio Assist 39 Kerio Administration Console 37, 41 jazyk 41 lokalizace 41 Kerio MailServer Engine 37 Kerio MailServer Monitor 37, 37 Linux 39 Mac OS X 38 Windows 37 Kerio Open Directory Extension instalace 110
nastavení ovˇ eˇ rování 107 Kerio Outlook Connector 316, 331 automatická aktualizace 328, 342 instalace 317, 333, 340 konflikt 330 MAPI 331 nastavení datového souboru 339 Offline Edition 316, 316 profil 319 ProfileCreator 321 synchronizace 329 Kerio Sync Connector for Mac 371 Kerio WebMail 205 jazyk 207 kontrola pravopisu 208 lokalizace 207 slovníky 208 konference 230 administrátor 230 aliasy 243 archivace 240 import ˇ clen˚ u 239 ˇ clen 231 moderátor 231 nová 231 konfliktní software 16 L LDAP 99, 388 konfigurace klient˚ u 225 server 224 služba 47 linux spuštˇ ení administraˇ cní konzole spuštˇ ení serveru 21, 22 logo pro Kerio WebMail 205 M MAPI 388 Maska subsítˇ e 388 master ovˇ eˇ rování master password 142 metody ovˇ eˇ rování 138 Microsoft Entourage 366 392
22, 23
MS<e>nbspOutlook iCal 343 iCalendar 343 internetový kalendᡠr 343 MX záznamy 115, 388
R RAS 112 registrace produktu 30 import licenˇ cního klíˇ ce 34 licenˇ cní politika 36 pˇ redplatné 36 registrace pˇ res web 30 registrace plné verze 32 registrace pomocí administraˇ cní konzole 30 registrace trial verze 31 reindexace poštovních složek 310 relaying 116 RFC 389 RoadSync 354
N nastavení úˇ ctu 335 NNTP 47, 389 notifikace 389 NT doména 63 import uživatel˚ u 89 NTLM ovˇ eˇ rování 298 nastavení v<e>nbspaplikaci MS<e>nbspOutlook 300 O obnova smazaných položek 57 offline 329 offline režim 329 Open Directory 110, 290 Kerio Open Directory Extension Open Directory Extension 290 nastavení 111 P PAM 62, 73 Performance Monitor 37, 276 pˇ ríklady nastavení 306 plánování 221 ˇ casové intervaly 216, 217, 222 plánování zdroj˚ u 244 POP3 47, 302, 304, 389 port 49, 389 porty 304 poštovní schránka 389 profil nový 333 promazávané položky 58 nastavení 59 uživatele 60 v doménˇ e 59 pˇ rístupová práva skupiny 95
109
S skiny 205 kaskádový styl 205 skupiny IP adres 48, 121, 215, 219, 220 uživatel˚ u 76, 95 složky veˇ rejné 277 služby 46 SMTP 46, 115, 120, 272, 389 Sony Ericsson 357 spam 147, 390 bayesovský filtr 160 Caller ID 162 Distributed Sender Blackhole List 154 email policy 161 grafy 171 hodnocení spamu 148 hodnocení zpráv 160 internetové databáze spammer˚ u 151 logy 171 pravidla 155 SORBS 154 SpamAssassin 148, 160 SpamCop 154 SpamHAUS SBL-XBL 154 SPF 164 standardní nastavení 166 393
Rejstˇ rík
statistika 170 SURBL 161 vlastní pravidla 155 WPBL 154 zpoždˇ ení SMTP pozdravu 165 záznamy 171 spamserver 39 správa mobilních zaˇ rízení 84 odebrat 84 vyˇ cistit 84 SSL 196, 390 systémové požadavky 15 T technická podpora TLS 390 TNEF 137
práva 278 vzdálené POP3 schránky
W Web Administration 312 pˇ rihlášení uživatele 314 podporované prohlížeˇ ce 312 pˇ rístupová práva 313 WebDAV 390 WebMail 390 Windows Calendar 344 X X-Envelope-To:
137
380
U uživatelské úˇ cty 69 šablony 92 kvóta 77 Unix-to-Unix decoding 137 Unix-to-Unix encoding 137 uudecode 137 uuencode 137 V veˇ rejné složky 277 doménové 278 globální 278 nové 278 podpora klient˚ u 279
129
Z zdroje 244 nový 245 správa 245 vypnutí 245 zálohování 184 kmsrecover 189 obnova ze zálohy záznamy 259 config 263 debug 272 error 270 mail 264 nastavení 259 operations 269 security 266 spam 271 warning 269
394
189
395