Zimbra hostnév csere

Web, mail, IRC, IM, hálózatok

Sziasztok.

Zimbra szakértőre lenne szükségem, mert sajna éles a rendszer amiről szó van, backup-ot problémás csinálni, és leállás sem lenne szerencsés.

Nos, adott egy mail szerver, amit örököltünk. Aki telepítette, az a hostnévnek a domain.com-ot adta meg és nem a mail.domain.com-ot. Ezzel nem is volt gond eddig, mert ennek megfelelően volt kitöltve a hosts fájl stb.
Igenám, de most jön a gond, szeretnék rá érvényes tanúsítványt, és a letsencrypt-ben gondolkodtam. A gond az, hogy ha a mail.domain.com-ra generálom le a tanúsítványt, akkor nem indul el a zimbra többé, gondolom mert csak domain.com van felvéve benne. A domain.com-ra nem tudok generálni, mert az máshol van és annak már van tanúsítványa.

Valahogy meg kellene oldani, hogy a domain.com helyett mindenhol a mail.domain.com szerepeljen, persze az emailek továbbra is a user@domain.com formában kell tudjanak működni.

Leírásokat találtam a hostnév cseréről, de nem mernék nekivágni anélkül hogy valaki tapasztalt meg nem erősítené, illetve, ha gond lenne tudnék kihez fordulni!

A zimbra 8.7.11_GA_1854.FOSS ubuntu 16.04 x64-en.

Köszönöm a segítséget.

  • 1444 megtekintés

Helló.

Köszönöm ezt megtaláltam, csak nem mertem meglépni, mielőtt valaki tapasztalatból írna róla.
Egyébként miért írod, hogy nem akarok LE-t rakni rá? Mesélj!

<= Powered By Ubuntu & Gentoo Linux =>

'Software is like sex: It's better when it's free!'
By Linus Torvalds

( tompos v | 2018. 03. 07., sze – 06:44 )

En csinaltam mar atnevezest, full szopas. De meg lehet csinalni. Nem is maga az atnevezes a problema, hanem utana kikalapalni a fennmarado bug-okat.

Letsencrypt-et hasznalj egyebkent DNS check-kel.
Bar belegondolva igy nem is ertem a problemad. Ha a gep mail.domain.com es a domain.com mashova mutat, akkor miert domain.com a neve? O minek hivja magat kifele?

Helló.

Na, igen, ettől tartok. Kicsit részleteznéd?!
"Letsencrypt-et hasznalj egyebkent DNS check-kel." Mire gondolsz?

A kérdésedre, hogy miért a domain.com a neve, én sem tudom, lehet, hogy annó egy gépen volt minden és közben változott és máshová került, nem tudom, én már így vettem át :( . Kifelé a levelek fejlécében domain.com-ot látok.

Egyébként létezhet, hogy emiatt nem tudok rá tanúsítványt telepíteni?

Köszi

<= Powered By Ubuntu & Gentoo Linux =>

'Software is like sex: It's better when it's free!'
By Linus Torvalds

Ha hozzáférsz a domain zónájához, akkor el kell benne helyezni egy bejegyzést, amit ellenőriznek, és ennek alapján adják ki a cert-et. Ez a DNS check.

Egyébként nem vágom ezt a sztorit. Nekem előbb volt a Zimbra (8.7), mint a letsEncrypt, és a Zimbra Wiki leírás alapján simán összeraktam és csont nélkül működik azóta is. Jó, egy kicsit macerás, de fél óra alatt végig lehet csinálni, a renew meg kb. 10 perc, mert még nem scripteltem le, és kézzel csinálom. Standalone-ben kell megkérni a certet, és berakod az összes variánst. a domain.com-ot és a mail.domain.com-ot is, aztán kb. ennyi.

root@zimbra86:~/tmp/letsencrypt# ./letsencrypt-auto certonly --standalone -d xmpp.example.com -d conference.example.com

https://wiki.zimbra.com/wiki/Installing_a_LetsEncrypt_SSL_Certificate

A leírás nem DNS check-hez készült,m így a zimbrán a webes részt le kell állítani, amíg a certet megkéred (1-2 perc max.)

Mivel nem boldogultam, ezért kipróbáltam egy teljesen friss installon is. A helyzet ez, hogy hiába követem a leírást, mindig itt akadok el:

$ /opt/zimbra/bin/zmcertmgr verifycrt comm privkey.pem cert.pem chain.pem
** Verifying 'cert.pem' against 'privkey.pem'
ERROR: Can't read file 'privkey.pem'
ERROR: Can't read file 'cert.pem'

Sehol semmit nem találok arról hogy mi okozza és mi a megoldás :(

Ezzel viszont kisebb kínok árán sikerült: https://github.com/JimDunphy/deploy-zimbra-letsencrypt.sh

<= Powered By Ubuntu & Gentoo Linux =>

'Software is like sex: It's better when it's free!'
By Linus Torvalds

Saját tapasztalat (oszt vagy igazam van, vagy nem :) ), ha a google nem segít, akkor magadban keresd a hibát.
Olyan triviális dolgok, mint...
- privkey.pem, cert.pem - ott vannak az aktuális könyvtárban?
- a zmcertmgr-t futtató usernek van rájuk minimum read joga?
- privkey jelszóvédett... ez hülyeség
- a linkelt script alapján... biztos, hogy a megfelelő fájlokat adtad oda neki?
Storno

Egyetértek, én is úgy gondolom ahogy írod, de vannak kivételek (mert pl lehet, hogy pont te találsz egy bug-ot).

Mindent a leírás alapján csináltam. Többször is, mindent végignéztem, és ugyanezt egy szűz telepítéssel is kipróbáltam. Az eredmény sajnos ugyanaz volt.
Biztos vmi bug, de emiatt nem frissítenék 8.8-ra (mert ott meg biztos lenne más, vagy akár a frissítéskor... ez nem hiányzik most).
Mindegy is, a lényeg, hogy a fenti script megcsinálta.

<= Powered By Ubuntu & Gentoo Linux =>

'Software is like sex: It's better when it's free!'
By Linus Torvalds

Ez csak azért furcsa, mert ha megnézed, a script pontosan azt csinálja amit írtál, az egyetlen kérdéses pont a fájlok, főleg azok formátuma. Illetve még arra tudok tippelni, hogy valami környezeti változód nincs megfelelően beállítva.
Még ki is próbáltam volna, de a tanúsítvány gyártása már nem megy emlékezetből, olvasni meg "lusta" vagyok.

https://serverfault.com/questions/750902/how-to-use-lets-encrypt-dns-ch…

> A kérdésedre, hogy miért a domain.com a neve, én sem tudom, lehet, hogy annó egy gépen volt minden és közben változott és máshová került, nem tudom, én már így vettem át :( . Kifelé a levelek fejlécében domain.com-ot látok.
> Egyébként létezhet, hogy emiatt nem tudok rá tanúsítványt telepíteni?

A fejlecben hol?
Egy dolog, h mi szerepel a from-ban, egy masik, hogy mi a gep hostneve. Ha mail szerver, akkor olyan neven celszeru hivnia magat, ami PTR es A record ra mutat.

Szoval ha a domain.com mashova mutat es o megis domain.com-mal helozik, akkor egy rakas masik szerver el fogja kuldeni, h ez szerver biztosan terrorista.
Igy celszeru, h a szerver neve legyen mail.domain.com, o igy is hivja magat az domain.com MX record-ja pedig mutasson a mail.domain.com-ra (feltehetoleg ez utobbi teljesul is most).

Köszönöm a segítségeket. Megpróbálom újra. Egyébként a zimbra wiki leírás alapján próbáltam, de a telepítésnél hibára futott....
Egyébként ettől a hostnév mizériától függetlenül szerintetek tudnom kellene használni a tanúsítványt? Csak mert ha igen, akkor lehet, hogy a gond nem is ez...

u.i.: Jó ez a Zimbra, de Kerio alatt 10 perc az egész, ráadásul sokkal gyorsabb, kisebb, erőforrásbarátabb stb... Ok, fizetős, de a végén az ingyenes a legdrágább, főleg, ha egy meglevőt kell pofozgatni :(.

<= Powered By Ubuntu & Gentoo Linux =>

'Software is like sex: It's better when it's free!'
By Linus Torvalds

( istii | 2018. 03. 07., sze – 17:09 )

Backupot miért problémás csinálni?
Azért ugye van rendszeres mentés?
Én is váltottam már hostnevet zimbrán a linkelt leírás alapján nekem simán ment.

Azért elég sok lehetőség van a napi mentés megvalósítására OSE esetén is, akár az egyes felhasználók szintjén, akár ldap/mysql/fájl szintjén, de mentheted vm-ként snapshot/full imageben akár change block trackingel. Csak legyen mentésed, mert mentés nélkül nem lehet biztonságosan rendszert üzemeltetni.

Azt írtam lehet per user is:
Export: zmmailbox -z -m user(at)test.com getRestURL “//?fmt=tgz” > /tmp/user_test.com.tar.gz
Import: zmmailbox -z -m user(at)test.com postRestURL “//?fmt=tgz&resolve=reset” /tmp/user_test.com.tar.gz
Jó amúgy a full mentés is, ha azt(vagy egy részét) vissza lehet tölteni egy teszt környezetbe -> onnan adott postaládát/postaládákat a fenti módszerrel exportálni, majd az éles rendszerbe visszatölteni.

Nem lenne azzal sem gond, mert a következő napi mentésben az is benne lenne, viszont azt jól látod, hogy aktív felhasználó esetén teljes postaláda visszatöltésre nem nagyon van lehetőség az időközben beérkező levelek miatt. Legtöbbször véletlenül törölt mappát, fontos levelet kell visszaállítani ami simán megoldható egy visszatöltött teszt rendszerből. Szükség is volt már rá, nem is egyszer.

Sziasztok.

Meg is beszéltétek amit írtam volna. Ugyanezek a gondjaim, kiegészítve azzal, hogy az egész egy bérelt vps-en fut, ahol a snapshot (mivel sok az adat) 1 napig készül és a visszaállítás is kb ennyi, arról nem beszélve, ami közben nem érkezik be. A gép sajnos production, szóval, sokat nem lehet offline. Természetesen fájlszinten van belőle mentésem (az kicsit gyorsabb volt), de ez mégsem olyan, mintha lenne erre egy jól működő bevett megoldás/tool. Valamit valamiért ugye ;)

Minden esetre, végül sikerült megoldanom, bár párszor már azon gondolkodtam hogyan állítom vissza a mentést...

<= Powered By Ubuntu & Gentoo Linux =>

'Software is like sex: It's better when it's free!'
By Linus Torvalds

A vps-en nincs lehetőség rá (nem olyan a filerendszer). A hoston meg nem tudom mi van, ahogy írtam bérlet gép, és ennyi ideig tart sajnos :(, én is megbotránkoztam rajta (kb 200bg a gép).

<= Powered By Ubuntu & Gentoo Linux =>

'Software is like sex: It's better when it's free!'
By Linus Torvalds