Месяц: Август 2016

Zimbra. Установка сертификата Comodo SSl.

Используем командную строку

  • 1. Получаем от Comodo файлы в формате crt, либо в zip архиве. Или качаем их по следующей ссылке —https://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/620/1/
  • 2. Помещаем их на Zimbra сервер. Должны быть вот такие файлы:
    • AddTrustExternalCARoot.crt
    • COMODORSAAddTrustCA.crt
    • COMODORSADomainValidationSecureServerCA.crt
    • my_domain_com.crt files
  • 3. Объединяем CA сертификаты в один файл.
 cat AddTrustExternalCARoot.crt COMODORSAAddTrustCA.crt COMODORSADomainValidationSecureServerCA.crt > /tmp/commercial_ca.crt
  • 4. Копируем SSL сертификат в /tmp/commercial.crt.
 cp my_domain_com.crt /tmp/commercial.crt
  • 5. Проверяем полученные сертификаты на соответствие:
/opt/zimbra/bin/zmcertmgr verifycrt comm /opt/zimbra/ssl/zimbra/commercial/commercial.key /tmp/commercial.crt /tmp/commercial_ca.crt 
** Verifying /tmp/commercial.crt against /opt/zimbra/ssl/zimbra/commercial/commercial.key
Certificate (/tmp/commercial.crt) and private key (/opt/zimbra/ssl/zimbra/commercial/commercial.key) match.
Valid Certificate: /tmp/commercial.crt: OK
  • 6. Прописываем сертификат в систему.
/opt/zimbra/bin/zmcertmgr deploycrt comm /tmp/commercial.crt /tmp/commercial_ca.crt 
** Verifying /tmp/commercial.crt against /opt/zimbra/ssl/zimbra/commercial/commercial.key
Certificate (/tmp/commercial.crt) and private key (/opt/zimbra/ssl/zimbra/commercial/commercial.key) match.
Valid Certificate: /tmp/commercial.crt: OK
** Copying /tmp/commercial.crt to /opt/zimbra/ssl/zimbra/commercial/commercial.crt
** Appending ca chain /tmp/commercial_ca.crt to /opt/zimbra/ssl/zimbra/commercial/commercial.crt
** Importing certificate /opt/zimbra/ssl/zimbra/commercial/commercial_ca.crt to CACERTS as zcs-user-commercial_ca...done.
** NOTE: mailboxd must be restarted in order to use the imported certificate.
** Saving server config key zimbraSSLCertificate...done.
** Saving server config key zimbraSSLPrivateKey...done.
** Installing mta certificate and key...done.
** Installing slapd certificate and key...done.
** Installing proxy certificate and key...done.
** Creating pkcs12 file /opt/zimbra/ssl/zimbra/jetty.pkcs12...done.
** Creating keystore file /opt/zimbra/mailboxd/etc/keystore...done.
** Installing CA to /opt/zimbra/conf/ca...done.
  • 7. Перезапускаем сервис.
zmcontrol restart

Использование веб-интерфейса (Admin Console)

Получаем от Comodo следующие файлы:

    • AddTrustExternalCARoot.crt
    • COMODORSAAddTrustCA.crt
    • COMODORSADomainValidationSecureServerCA.crt
    • my_domain_com.crt files

Переходим по пунктам Home > Configure > Certificates и нажимаем на Install Certificate

Zimbra-ssl-adminconsole-001.png

Выбираем сервер для установки SSL сертификата:

Zimbra-ssl-adminconsole-002.png

Выбираем Install the commercial signed certificate

Zimbra-ssl-adminconsole-007.png

Нажимаем кнопку Next

Zimbra-ssl-adminconsole-008.png

Добавляем файлы по одному, как показано на картинке:

Zimbra-ssl-adminconsole-009.png

Выбираем кнопку Install и SSL сертификат будет установлен

Zimbra-ssl-adminconsole-010.png

Перезапускаем Zimbra сервисы от пользователя zimbra в командной строке:

zmcontrol restart

Теперь возвращаемся в веб-интерфейс смотрим на установленный сертификат

Zimbra-ssl-adminconsole-011.png

Установка chan_dongle

Модуль chan_dongle необходим для работы с модемами Huawei:

  • K3715
  • E169 / K3520
  • E155X
  • E175X
  • K3765

Описываемая в данной статье версия является форком основного проекта, но основной проект не развивается с 2013 года и поддерживает только Asterisk 11. Впрочем, есть еще один форк той версии, что используется в данной статье. В связи с этим гарантировать работу модуля невозможно. Со списком известных багов можно ознакомиться по этой ссылке, но не ожидайте, что автор их исправит, так как этот список не обновлялся с 2011 года. Даже сам автор предупреждает, что модуль работает как попало и может назвонить вам куда нибудь и тем самым сожрать все ваши деньги или натворить еще что-то. Так что пожалуйста, прежде чем читать дальше, еще раз подумайте, стоит ли связываться с этим модулем. На сегодняшний день это единственный модуль, способный заставить дружить недорогие GSM-модемы с Asterisk и, скорее всего, у Вас нет выбора.

This channel driver is in alpha stage.
I am not responsible if this channel driver will eat your money on your SIM card or do any unpredicted things.

Модемы должны быть разлочены, проверка PIN-кода на SIM-карте должна быть отключена. Также необходимо обязательно отключить на модемах функции CR-ROM и CARDREADER, оставив модем только в режиме модема. Для этого необходимо подключиться к модему консолью и дать следующую АТ-команду:

Также желательно отключить на модеме ожидание вызова:

Установите необходимые для сборки chan_dongle пакеты

Далее загружаем форк chan_dongle под Asterisk 13, разархивируем, собираем, устанавливаем. Не обращаем внимание на строчку «automake: error: no ‘Makefile.am’ found for any configure output» — это не является ошибкой

Копируем конфигурационный файл dongle.conf

Перезапускаем Asterisk, смотрим, загрузился ли модуль

Далее необходимо сделать так, чтобы модемам при подключении назначался верный владелец (чтобы Asterisk имел к ним доступ). Для этого создадим файл /etc/udev/rules.d/92-dongle.rules со следующим содержимым

Затем перезапустим службу udev

Теперь при подключении устройства типа ttyUSB, система автоматически назначит ему владельца asterisk и группу dialout.

Идентификация по IMSI или IMEI

В Файле /etc/asterisk/dongle.conf описываются все устройства. Синтаксис файла — общепринятый в Asterisk. Например, я опишу модем, в котором установлена SIM-карта оператора Киевстар:

Идентификация устройства производится по imsi и imei. Можно идентифицировать устройство только по одному из параметров. imsi — это идентификатор SIM-карты, imei — это идентификатор терминала. Если Вам важно идентифицировать устройства по SIM-картам, тогда Вы можете указать только imsi номера этих SIM-карт (написаны на картах), если же важно идентифицировать по терминалам, тогда указывайте imei терминала (написан на модеме).

Все входящие вызовы с такого устройства будут обработаны контекстом from-dongle из файла extensions.conf или extensions.ael.

Исходящие вызовы через данный модем необходимо направлять на Dongle/GSM1

Также в описании устройства можно указать exten=+79123456789. В таком случае все входящие вызовы будут иметь указанный exten. В некоторых случаях это возможно понадобится.

Если идентификация по IMEI / IMSI не работает

В последней версии chan_dongle обнаружение устройств выполняется либо по идентификатору терминала (модема) — IMEI, либо по идентификатору абонента (SIM-карты) — IMSI. Если же по каким-то причинам Вам необходимо идентифицировать устройство по порту USB-контроллера, то используйте расширенную конфигурацию udev для присвоения псевдонимов портам, а затем эти псевдонимы можно использовать для определения модемов в dongle.conf.

Для привязки модемов по номеру порта контроллера USB, нужно определить адреса этих портов. Извлеките все модемы из сервера, затем запустите

Вставляйте по одному модему и записывайте адреса портов контроллера, которые относятся к каждому из них. Затем в файл /etc/udev/rules.d/92-dongle.rules допишите псевдонимы для каждого из модемов, указав адреса контроллеров в качестве ID, подобно следующему:

Как видно из примера, необходимы только два порта, вместо четырех.

Теперь в файле /etc/asterisk/dongle.conf вместо идентификации по IMEI и/или IMSI укажите идентификацию по портам USB следующим образом:

Однако этот метод определения модемов не является рекомендуемым, т.к. при случайной смене USB-порта либо вообще ничего не будет работать, либо Ваши вызовы пойдут не туда куда планировалось. Настоятельно рекомендуется использовать идентификацию по IMEI / IMSI.

На этом установка полностью завершена.

Установка Zimbra Open Source Edition

Рассмотрим установку Zimbra Open Source Edition 8 на CentOS 6.5 x64


Установим CentOS 6.5 как описано в статье:

Сделаем начальные настройки над ОС
Установим текстовый редактор nano и файловый менеджер mc

yum install nano mc -y

Обновил систему(обязательное действие перед установкой Зимбры)

yum update -y

Настроим статический интерфейс отредактировав файл ifcfg-eth0

nano /etc/sysconfig/network-script/ifcfg-eth0

Добавим или отредактируем следующие строки

ONBOOT=yes # Инициализировать интерфейс при загрузке
BOOTPROTO=none # DHCP или NONE(статический)
IPADDR=10.1.1.5
NETMASK=255.255.255.0
GATEWAY=10.1.1.1
DNS1=10.1.1.2
DNS2=10.1.1.3
IPV6INIT=no # отключаем инициализацию IPv6

Потребуется обязательно отключить SELinux
Отредактируем файл /etc/selinux/config

nano /etc/selinux/config

Приведем его к следующему виду

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing — SELinux security policy is enforced.
#     permissive — SELinux prints warnings instead of enforcing.
#     disabled — No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of these two values:
#     targeted — Targeted processes are protected,
#     mls — Multi Level Security protection.
SELINUXTYPE=targeted

Если у вас уже установлен nc (он же netcat) удаляем его.

yum remove nc

И заместо него ставим

yum install nc which

Установим sysstat

yum install sysstat

Изменим настройки сети

nano /etc/sysconfig/network

Приведем к виду

NETWORKING=yes
NETWORKING_IPV6=no
IPV6INIT=no
HOSTNAME=zimbra.nikmc.ru #Свое имя сервера

Далее исправим hosts

nano /etc/hosts

Приведем его к виду

127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4
10.1.1.5 zimbra.nikmc.ru

Не забываем заменить zimbra.nikmc.ru на свое имя сервера и IP 10.1.1.5 на свой!

Далее отключаем поддержку IPv6
Допишем строку отключения в файл /etc/sysctl.conf

nano /etc/sysctl.conf

И добавим строку

########disable ipv6#####
net.ipv6.conf.all.disable_ipv6 = 1

Применим изменения выполнив команду

sysctl -p

Отключим службы

chkconfig sendmail off
chkconfig ip6tables off
chkconfig iptables off
chkconfig postfix off

Перезагрузимся

reboot

Выполним команду

lsmod | grep ipv6

Должна вернуть 1 строку с похожими значениями, если отличается повторяем шаг отключения IPv6

ipv6                  322442  180

Если на предыдущем шаге все получилось, тогда идем дальше.
Проверим не занят ли у нас 25 порт

netstat -na

Проверим имя сервера

hostname

Должно вернуть

zimbra.nikmc.ru

На этом подготовка сервера для установки Zimbr’ы закончена!

Установка  Zimbra Collaboration 8 Open Source Edition
Скачаем дистрибутив c официального сайта.
Загрузим на сервер в директорию /tmp

Распакуем

cd /tmp
tar xvzf zcs-*.tgz

Произведем установку

cd zcs-*
./install.sh —platform-override

Установщик выполнит проверку требуемых пакетов и выдаст лицензионное соглашение.
Соглашаемся с лицензией

…………
Do you agree with the terms of the software license agreement? [N] y
…………

Далее выбираем пакеты Zimbr’ы, которые хотим установить

…………
Select the packages to install :
Install zimbra-ldap [Y]
Install zimbra-logger [Y]
Install zimbra-mta [Y]
Install zimbra-snmp [Y]
Install zimbra-store [Y]
Install zimbra-apache [Y]
Install zimbra-spell [Y]
Install zimbra-memcached [N]
Install zimbra-proxy [N]
Checking required space for zimbra-core
checking space for zimbra-store
…………

Получаем предупреждение о несоответствии платформы, на которую производится установка. На  все остальные вопросы отвечаем утвердительно:

…………
Install anyway [N]Y
The system will be modified. Continue? [N]Y
…………

Меняем доменное имя на то, которое нам надо:

…………
Change domain name? [Yes]Y
Create domain: <nikmc.ru>
…………

Система предупредит что не находит MX записи на DNS сервере. Проигнорируем и продолжим.

После установки мы попадем в меню первоначальной настройки. Здесь настройки менять не обязательно, за исключением создания пароля администратора.
Для этого сделаем следующие действия:

  • Нажмем 3 для перехода в меню zimbra-store.
  • В пункте 3 увидим имя учетки админина «admin@nikmc.ru».
  • Нажмем 4 для создания пароля администратора.
  • Нажмем R для выхода в предыдущее меню.
  • Для применения конфигурации нажмем A.

 

*** CONFIGURATION COMPLETE — press ‘a’ to apply
Select from menu, or press ‘a’ to apply config (? — help) a

Zimbra спросит сохранить данные в файл, мы согласимся.

Save configuration data to a file? [Yes]Yes
Save config in file: [/opt/zimbra/config.xxxxx]
Saving config in /opt/zimbra/config.xxxx…done.
The system will be modified — continue? [No]Yes

По окончанию установщик предложит оповестить разработчика о успешной установке.

You have the option of notifying Zimbra of your installation.
This helps us to track the uptake of the Zimbra Collaboration Suite.
The only information that will be transmitted is:
The VERSION of zcs installed (7.1.1_GA_3196_CentOS5)
The ADMIN EMAIL ADDRESS created (admin@yourdomain.com)
Notify Zimbra of your installation? [Yes] No
…………
Configuration complete — press return to exit
…………

Configuration complete!

Все сервер готов.
Перейдем по адресу https://10.1.1.5 для пользователей или https://10.1.1.5:7071 для панели администрирования.

Настройка чтобы был доступ и по https и http.

Сменим текущего пользователя на zimbra:

su zimbra

Доступность панели можно настроить с помощью утилиты zmtlsctl у нее есть несколько режимов. Нам же нужна доступность как по http так и по https, для этого используется параметр both:

zmtlsctl both

Теперь надо перезапустить демон mailboxd:

zmmailboxdctl stop
zmmailboxdctl start

Теперь Zimbra доступна как по http так и по https.