Comments 38
А где полноценные роли Ansible?
В чем смысл выкладывать набор шаблонов без самих переменных, а тем более без тасков?
Где набор шаблонов под FreeBSD?
И ещё один вопрос: содержимое в виде tar в гитхабе?
Слишком простая задачка из одного Playbook, чтобы выделять роли. Для меня это избыточно в данной задаче
Все в postfix.yml. Переменные + около 35 тасков.
Для FreeBSD не делал и пока не планирую. Пакеты Postfix/Dovecot разрабы все еще собирают без LDAP. И если для Postfix в pkg есть пакетик с LDAP, то для Dovecot нет - явно придется пересобирать через ports. Ну в общем мне пока без надобности, да и теме статьи это не соответствует.
Слишком простая задачка из одного Playbook, чтобы выделять роли. Для меня это избыточно в данной задаче
Для плейбука свыше 5 тасков оформлять в роль.
К тому же у вас шаблоны мульти ОС, которые можно обьединить в одну роль.
Все в postfix.yml. Переменные + около 35 тасков.
Тем более в роль, ибо у вас помимо tasks есть и handlers.
Сказано - сделано - времени ушло прилично (делалось для FreeBSD), но зато много в чем получилось досконально разобраться.
Что именно делалось для FreeBSD ?
На FreeBSD изначально эта связка изучалась и настраивалась. Описано тут: https://github.com/Dorlas/mailserver-ansible/blob/main/Postfix_Dovecot_Roundcube_Active_Directory.mhtml
Теперь еще конвертить письмо в markdown разметку...
А просто открыть Google Chrome или его клонами ?
А если просто открыть его - можно получить кучу тегов и текста без его декодирования.
Примерно таких вот
<!-- TOC START --> <div id=3D"dw__toc" class=3D"dw__toc"> <h3 class=3D"toggle open" style=3D"cursor: pointer;"><strong><span>=E2=88= =92</span></strong>=D0=A1=D0=BE=D0=B4=D0=B5=D1=80=D0=B6=D0=B0=D0=BD=D0=B8= =D0=B5</h3> <div aria-expanded=3D"true" style=3D"">
А так лучше?
https://disk.yandex.ru/i/AvY-qaTDTB6owQ
В статье вы упомянули проблемы с SSD на Astra Linux. Могли бы вы рассказать, как эти проблемы влияют на работу почтового сервера, какого вида эти проблемы и их решение?
В Astra Special Edition есть модуль Parsec и режимы целостности и конфиденциальности (режимы Смоленск и Воронеж). Есть режим Орел, в котором это отключено. В ходе портирования в Dovecot были ошибки, из-за которых не работало. Исправил установкой пакета astrase-fix-maildir.
Но несмотря на это, в режиме Орел все равно в журнале Dovecot через раз вот такие ошибки идут:
ноя 02 14:25:39 astramailserver dovecot[18658]: imap: Error: MAC not enabled, no action required
ноя 02 14:25:39 astramailserver dovecot[18658]: imap: Error: MAC not enabled, no action required
ноя 02 14:25:39 astramailserver dovecot[18658]: imap(administrator@domain.alt)<18669><9h7oICUJThIKCheq>: /usr/sbin/astrase-fix-maildir '/mbx/domain.alt/administrator/.Sent'
ноя 02 14:25:39 astramailserver dovecot[18658]: imap(administrator@domain.alt)<18681><xj79ICUJUBIKCheq>: /usr/sbin/astrase-fix-maildir '/mbx/domain.alt/administrator'
ноя 02 14:23:44 astramailserver dovecot[18658]: imap: Error: MAC not enabled, no action required
ноя 02 14:23:44 astramailserver dovecot[18658]: imap(administrator@domain.alt)<18669><9h7oICUJThIKCheq>: /usr/sbin/astrase-fix-maildir '/mbx/domain.alt/administrator/.Sent'
ноя 02 14:23:44 astramailserver dovecot[18658]: imap: Error: MAC not enabled, no action required
ноя 02 14:23:44 astramailserver dovecot[18658]: imap(administrator@domain.alt)<18681><xj79ICUJUBIKCheq>: /usr/sbin/astrase-fix-maildir '/mbx/domain.alt/administrator'
ноя 02 14:23:42 astramailserver dovecot[18658]: imap(administrator@domain.alt)<18669><9h7oICUJThIKCheq>: Send mail(level=0, category=0x0, uid=3)
Жить это не мешает, с почтой работать по IMAP4 возможно (Thunderbird/Roundcube), но осадочек остается.
Может кто подскажет, как от этого избавиться - буду рад.
Если у Вас administrator@domain.alt, значит и домен domain.alt
Подготовка почтового сервера:
Задаем правильное имя сервера(для примера mail):
hostnamectl set-hostname mail.domain.alt
Имя сервера должно быть в формате FQDN
Заданное имя сервера должно разрешаться в IP-адрес через DNS. Если на момент установки это невозможно, создадим запись в файле hosts:
nano /etc/hosts
127.0.0.1 mail.domain.alt mail
очень важно, чтобы имя FQDN было первым.
Интересная штука, спасибо - раньше не попадалась. Так то много всяких Docker контейнеров с почтовыми серверами на просторах. Но тут народ похоже настроен весьма серьезно )
Протестирую в ближайшее время, любопытно стало.
A company with 15 phones (EAS enabled) and about 50 concurrent IMAP connections should plan 16 GiB RAM.
6 GiB RAM + 1 GiB swap are fine for most private installations while 8 GiB RAM are recommended for ~5 to 10 users.
We can help to correctly plan your setup as part of our support.
Понимаю, что это более комплексное решение...но по ОЗУ оно очень требовательно ((((
Чисто для сравнения - в марте смигрировал одну конторку с бесплатного Yandex Mail на мое решение (Debian). Плюс еще в качестве антиспама rSpamD стоит.
90 пользователей - 4 ядра, 4 Гб ОЗУ (Active ОЗУ не более 2 Гб в рабочее время).
Для мелких фирм дешево и сердито (клиенты WEB, Thunderbird, Outlook).
Позиционируется как groupware. А вообще есть 2 конторы по 120 примерно пользователей. Работает внутри виртуалки с 3 Гб ОЗУ и 4 ядрами на hdd, даже не ssd. Модифицировано для поддержки ldap и roundcube вместо штатного sogo. Ну, ещё прикручена моя просматривалка логов. Пару лет полёт нормальный без тормозов.
Учитывая особенности Астры в контексте безопасности, использование LDAPS и других мер безопасности, возможно, особенно важно. Спасибо за статью!
Вас уже спрашивали выше, зачем в гите размещать архивы вместо непосредственно файлов и каталогов ansible?
Насколько стабильно работает почтовый сервер на Astra Linux? Есть ли преимущества в использовании этой ОС для почтовых сервисов?
Какова производительность сервера на Astra Linux по сравнению с Debian или ALT?
Конкретно под Astra я почтовый сервер пока поднимал только факультативно, но мое личное мнение - если настроил и работает - то будет стабильно, как в другом Linux. Не думаю, что есть принципиальная разница - везде один и те же компоненты, разница в цифрах (версиях). Мы внедряли Astra под документооборот и СУБД, за 2 года особых нареканий не было от Заказчика.
Насчет преимуществ - выполнение требований импортозамещения. Если будут прикапываться не к ОС, а к компонентам (Postfix/Dovecot), есть два пути - аппелировать к RuPost (там тоже самое внутри), либо поставить Tegu (есть бесплатная редакция и она тоже есть в реестре отечественного ПО). Я ставил, тестировал - работает.
Производительность не мерял - но опять таки - внутри Linux, файловые системы у всех одинаковые, glibc и т.д. Не будет никакой принципиальной разницы в несколько раз, все на уровне погрешности. Смысла сравнивать производительность нет никакого (ИМХО конечно).
Вы решили не использовать текущие UID/GID из файлов /etc/passwd и /etc/group для упрощения Playbook. Влияло ли это как-то на Астру, ее стабильность и безопасность?
Никак не повлияло. Я не то чтобы их не использую - я их подставляю руками в Playbook )))
Код для автоматического определения UID/GID:
- name: Get UID on Postfix USer
shell: grep -i "postfix" /etc/passwd | cut -d":" -f3
register: postfix_uid
delegate_to: 127.0.0.1
run_once: true
- set_fact:
postfix_uid={{ postfix_uid.stdout }}
- debug: var=postfix_uid
run_once: true
Спасибо за труд )
Почтовый сервер на Debian / ALT / Astra / RedOS — опыт портирования Ansible Playbook