blackicedbear/dms
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
main
dms/DOKU-Mailserver-Setup.md
T
blackicedbear cd587b6bff File Server
2026-05-21 10:52:34 +02:00

9.8 KiB
Raw Permalink Blame History

================================================================================ Docker-Mailserver mit Active Directory LDAPS - Dokumentation ByteTrail GmbH | FH Burgenland SS 2026 | Team 3 VZ

UMGEBUNG

  • Mailserver: SRV-EXCH01.byte.trail (10.10.10.11), Docker mit docker-mailserver v15.1.0
  • Domain Controller: SRV-DC01.byte.trail (10.10.10.10), Windows Server, AD DS
  • Domain: byte.trail
  • 29 Benutzer + 1 Service-Account in Active Directory
  • Git-Repo: https://git.lucida.ee/blackicedbear/dms.git (Branch: main)

UEBERSICHT: WAS WURDE GEMACHT

  1. LDAPS-Zertifikat auf dem Domain Controller (AD CS)

    • Active Directory Certificate Services (AD CS) als Enterprise Root CA installiert (Server-Manager > Rollen hinzufuegen > Active Directory Certificate Services > Certification Authority > Enterprise CA > Root CA)
    • Rolle: Certification Authority (Enterprise Root CA)
    • CA-Name: byte-SRV-DC01-CA
    • Nach Installation von AD CS stellt die CA automatisch ein Zertifikat fuer den DC aus (Auto-Enrollment). LDAPS (Port 636) wird dadurch automatisch aktiviert.
    • Kein separates Skript noetig — AD CS Enterprise Root CA reicht aus.

    Warum LDAPS statt LDAP?

    • Windows Security Update erzwingt LDAP Signing unabhaengig von Registry-Einstellungen
    • Einfaches LDAP (Port 389) funktioniert nicht mehr zuverlaessig mit Signing-Enforcement
    • LDAPS (Port 636) umgeht das Problem komplett durch TLS-Verschluesselung

  2. Active Directory Benutzer und Struktur

    • Skript: Setup-ByteTrail-AD.ps1
    • 6 OUs: Geschaeftsfuehrung, Sales, Marketing, Service, Server, Gruppen
    • 11 Sicherheitsgruppen (GRP-GF-, GRP-SALES-, GRP-MKT-, GRP-SVC-, GRP-ALL-EMAIL, GRP-ADMINS)
    • 29 Benutzer mit E-Mail-Adressen (vorname.nachname@byte.trail)
    • 1 Service-Account: svc-mailserver (fuer LDAP-Bind)
    • Standardpasswort Benutzer: ByteTrail2026!
    • Service-Account Passwort: Mail$3rv!ceAcc2026

  3. Docker-Mailserver Konfiguration (mailserver.env)

    • ACCOUNT_PROVISIONER=LDAP
    • LDAP_SERVER_HOST=ldaps://10.10.10.10
    • LDAP_BIND_DN=CN=Mailserver Service Account,OU=Server,DC=byte,DC=trail
    • LDAP_START_TLS=no (weil wir ldaps:// verwenden)
    • DOVECOT_AUTH_BIND=yes (Authentifizierung per LDAP-Bind statt Passwort-Vergleich)
    • DOVECOT_USER_FILTER=(&(objectClass=person)(mail=%u))
    • DOVECOT_PASS_FILTER=(&(objectClass=person)(mail=%u))
    • SSL_TYPE=manual (selbst-signiertes Zertifikat)

  4. SSL/TLS Zertifikat fuer den Mailserver

    • Selbst-signiertes Zertifikat fuer mail.byte.trail
    • Wird automatisch beim ersten Start durch ssl-init Container erstellt
    • Wichtig: basicConstraints=CA:FALSE (Thunderbird lehnt CA-Zertifikate als Server-Zertifikate ab)
    • SAN: DNS:mail.byte.trail, DNS:byte.trail
    • Gueltig fuer 10 Jahre

PROBLEME UND LOESUNGEN

Problem 1: LDAP-Verbindung haengt

Symptom: Dovecot LDAP-Verbindung zu ldaps://10.10.10.10 haengt endlos,
         keine Fehlermeldung, keine Timeout-Meldung.

Ursache: Die globale OpenLDAP-Client-Konfiguration (/etc/ldap/ldap.conf)
         hatte kein TLS_REQCERT never. Die OpenLDAP-Bibliothek hat das
         selbst-signierte CA-Zertifikat des DC stillschweigend abgelehnt.
         Dovecot's eigene tls_require_cert=never Einstellung reicht NICHT aus,
         weil die darunterliegende OpenLDAP-Bibliothek die globale Konfiguration
         fuer ldaps:// Verbindungen nutzt.

Loesung: In /etc/ldap/ldap.conf im Container:
         TLS_REQCERT never

Problem 2: LDAP-Suche gibt "Operations error"

Symptom: ldap_search() failed: Operations error (LDAP Error Code 1)

Ursache: Active Directory liefert standardmaessig Referrals (Verweise auf andere Naming Contexts wie CN=Configuration, CN=Schema). Die OpenLDAP-Client-Bibliothek kann diese Referrals nicht verarbeiten und meldet "Operations error".

Loesung: In /etc/ldap/ldap.conf im Container: REFERRALS off

Problem 3: LDAP-Authentifizierung schlaegt fehl (Password mismatch)

Symptom: doveadm auth test anna.huber@byte.trail ByteTrail2026!
         -> "Password mismatch (for LDAP bind)"

Ursache: Alle AD-Benutzer wurden mit -ChangePasswordAtLogon $true erstellt
         (im Setup-Skript). Das setzt pwdLastSet=0 in AD. Solange pwdLastSet=0
         ist, scheitern LDAP-Simple-Binds mit "Invalid Credentials" (data 52e).

Loesung: Auf dem Domain Controller fuer alle Benutzer ausfuehren:
         Invoke-Command -ComputerName 10.10.10.10 -ScriptBlock {
             Get-ADUser -Filter {mail -like "*@byte.trail"} |
             ForEach-Object { Set-ADUser $_ -ChangePasswordAtLogon $false }
         }

Problem 4: Dovecot kennt pass_attrs/user_attrs nicht (AD-Attribute fehlen)

Symptom: "uniqueIdentifier missing", "no fields returned by the server", "User is missing UID"

Ursache: Docker-mailserver generiert die Dovecot-LDAP-Konfiguration mit Standardwerten fuer OpenLDAP-Schemata: - pass_attrs = uniqueIdentifier=user,userPassword=password - user_attrs = mailHomeDirectory=home,mailUidNumber=uid,... Active Directory hat diese Attribute NICHT (kein uniqueIdentifier, kein mailHomeDirectory, kein mailUidNumber etc.).

Loesung: In user-patches.sh werden die Attribute beim Container-Start automatisch umgeschrieben auf: - pass_attrs = =user=%u (statischer Wert, da auth_bind=yes den Benutzer per LDAP-Bind authentifiziert und kein Passwort aus LDAP lesen muss) - user_attrs = =uid=5000,=gid=5000,=home=/var/mail/%d/%n/home/,=mail=maildir:/var/mail/%d/%n (statische Werte fuer UID/GID des vmail-Benutzers und Maildir-Pfade)

Problem 5: Mail-Zustellung scheitert mit "Mailbox was deleted under us"

Symptom: dovecot-lda und LMTP melden beim Speichern einer Mail:
         "failed to store into mailbox 'INBOX': Mailbox was deleted under us"

Ursache: Die /var/mail Verzeichnisse waren als Bind-Mount von Windows NTFS
         eingebunden. Docker auf Windows nutzt dafuer das v9fs-Dateisystem
         (Plan 9 Filesystem Protocol). v9fs unterstuetzt die POSIX-Dateioperationen
         nicht korrekt, die Dovecot fuer Maildir-Operationen benoetigt
         (insbesondere dotlock-Dateien und dovecot-uidvalidity).

Loesung: In docker-compose.yml Bind-Mounts durch Docker Named Volumes ersetzen:
         Vorher:  - ./docker-data/dms/mail-data/:/var/mail/
         Nachher: - dms-mail-data:/var/mail/
         Docker Named Volumes nutzen ext4 statt v9fs, was alle
         POSIX-Dateisystemoperationen korrekt unterstuetzt.

Problem 6: Thunderbird "Basic Constraints" Fehler
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Symptom: "Der Server verwendet ein Zertifikat mit einer Basiseinschraenkung,
          die es als eine Zertifizierungsstelle identifiziert."

Ursache: Das selbst-signierte Zertifikat wurde mit basicConstraints CA:TRUE
         generiert (OpenSSL-Standard fuer -x509). Thunderbird lehnt korrekt
         ab, ein CA-Zertifikat als Server-Zertifikat zu akzeptieren.

Loesung: Zertifikat neu generieren mit expliziten Extensions:
         -addext "basicConstraints=critical,CA:FALSE"
         -addext "keyUsage=digitalSignature,keyEncipherment"
         -addext "extendedKeyUsage=serverAuth"

Problem 7: Container-Restart ueberspringt user-patches.sh
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Symptom: Nach "docker restart" meldet der Container
         "Skipping most setup routines" und user-patches.sh wird nicht
         ausgefuehrt. LDAP-Fixes gehen verloren.

Ursache: docker-mailserver erkennt einen Restart (vs. frischen Start)
         und ueberspringt Setup-Routinen inkl. user-patches.sh.

Loesung: Statt "docker restart" immer "docker compose down && docker compose up -d"
         verwenden, damit der Container frisch erstellt wird und
         user-patches.sh ausgefuehrt wird.
         Bei einem einfachen Restart bleiben die Aenderungen im
         Container-Dateisystem erhalten (nur relevant wenn der Container
         nicht geloescht wird).


WICHTIGE DATEIEN
----------------
docker-compose.yml                          - Docker Services (ssl-init, mailserver, mssql)
mailserver.env                              - Mailserver-Konfiguration (LDAP, SSL, Filter)
docker-data/dms/config/user-patches.sh      - Startup-Patches (LDAP TLS, Referrals, Dovecot attrs)
docker-data/dms/config/ldap-ca.pem          - LDAPS CA-Zertifikat vom Domain Controller
docker-data/dms/ssl/cert.pem                - Mailserver TLS-Zertifikat (selbst-signiert)
docker-data/dms/ssl/key.pem                 - Mailserver TLS-Schluessel (nicht im Git)
Setup-ByteTrail-AD.ps1                      - AD-Setup (OUs, Gruppen, Benutzer, Service-Account)


THUNDERBIRD-EINSTELLUNGEN
-------------------------
Server:    mail.byte.trail
IMAP:      Port 993, SSL/TLS
SMTP:      Port 587, STARTTLS
Benutzername: anna.huber@byte.trail (oder jeder andere AD-Benutzer)
Passwort:  ByteTrail2026!

Beim ersten Verbinden muss die Sicherheitsausnahme fuer das selbst-signierte
Zertifikat bestaetigt werden. Alternativ kann das Zertifikat
(docker-data/dms/ssl/cert.pem) in Thunderbird importiert werden:
Einstellungen > Datenschutz & Sicherheit > Zertifikate verwalten >
Zertifizierungsstellen > Importieren


USER-PATCHES.SH - WAS WIRD BEIM START GEMACHT
----------------------------------------------
1. /etc/ldap/ldap.conf: TLS_REQCERT never + REFERRALS off
2. LDAP CA-Zertifikat in System Trust Store installieren
3. Dovecot LDAP: tls_require_cert=never, pass_attrs und user_attrs fuer AD anpassen
4. Postfix LDAP: TLS-Zertifikatspruefung deaktivieren
Reference in New Issue View Git Blame Copy Permalink