本教程将指导你如何使用 iRedMail 服务器配置 Mozilla Thunderbird 客户端，以便通过 IMAPS 和 SMTP 提交协议发送和接收邮件，如何使用 Samba AD LDAP 服务器设置联系人数据库以及如何配置其他相关的邮件功能，例如通过 LDAP 数据库离线副本启用 Thunderbird 联系人。

安装和配置 Mozilla Thunderbird 客户端的过程适用于安装在 Windows 或 Linux 操作系统上的 Thunderbird 客户端。

要求

1. 如何在 CentOS 7 上安装 iRedMail 集成到 Samba4 AD
2. 如何配置和集成 iRedMail 服务到 Samba4 AD DC
3. 将 iRedMail Roundcube 与 Samba4 AD DC 集成

第一步：为 iRedMail 服务器配置 Thunderbird

1、 在安装完成 Thunderbird 邮件客户端之后，点击启动器或者快捷方式打开程序，并在首屏检查 E-mail 系统集成，然后点击跳过集成按钮继续。

Thunderbird 系统集成

2、 在欢迎界面点击跳过并使用我已存在的邮件按钮添加你的名字、你的 Samba 帐户邮件地址以及密码，检查记住密码区域并点击继续按钮启动你的邮箱帐户设置。

在 Thunderbird 客户端尝试识别由 iRedMail 服务器提供的正确的IMAP设置后，点击手动配置按钮手动设置 Thunderbird。

Thunderbird 邮箱帐户设置

3、 邮件帐户设置窗口展开后，通过添加正确的 iRedMail 服务器 FQDN 来手动编辑 IMAP 和 SMTP 设置，为邮件服务添加安全端口（IMAPS 为 993，发送为 587），为每个端口选择合适的 SSL 通信通道并验证然后点击完成完成设置。使用以下图片作为指导。

Thunderbird iRedMail 设置

4、 由于你的 iRedMail 服务器使用自签名证书，屏幕上应会显示一个新的“安全异常”窗口。点击永久存储此异常并按确认安全异常按钮添加此安全性异常，Thunderbird 客户端应该就被成功配置了。

Thunderbird 安全异常

你会看到你的域帐号的所有已收文件，并且你能够从你的域或者其他域发送或者接收文件。

域邮箱收件箱

第二步：使用 Samba AD LDAP 设置 Thunderbird 联系人数据库

5、 为了让 Thunderbird 客户端查询 Samba AD LDAP 数据库中的联系人，点击“设置”菜单，在左边面板右键单击您的帐户，如下图片所示找到 “Composition & Addressing → Addressing → Use a different LDAP server → Edit Directories”

Thunderbird Samba AD LDAP 设置

Thunderbird Composition & Addressing 设置

6、 LDAP 目录服务器窗口应该带开了，点击添加按钮并将下面的内容填写到目录服务器属性窗口中：

在 “常规” 选项卡上添加此对象的描述性名称，添加你的域的名称或 Samba 域控制器的 FQDN，你的域的基本 DN 形式是 “dc=你的域,dc=tld”，LDAP 端口号 389，vmail 绑定 DN 帐户用于以 vmail@your\_domain.tld 的形式查询 Samba AD LDAP 数据库。

使用下面的截图作为指导：

目录服务器属性

7、 在下一步中，从目录服务器属性进入高级选项卡，并在搜索过滤栏添加下面的内容：

(&(mail=*)(|(&(objectClass=user)(!(objectClass=computer)))(objectClass=group)))

添加搜索过滤

让其他的设置保持默认，并点击 OK 按钮来应用更改，再次点击 OK 按钮关闭 LDAP 目录服务器窗口，在账户设置界面点击 OK 关闭窗口。

选择 LDAP 目录服务器

8、 要测试 Thunderbird 是否能够向 Samba AD LDAP 数据库请求联系人，点击上方的地址簿图标，选择之前创建的 LDAP 数据库名。

添加绑定 DN 帐户密码来查询 AD LDAP 服务器，勾选使用密码管理器记住密码，然后点击确定按钮保存更改并关闭窗口。

Thunderbird Samba AD LDAP 测试

9、 使用上面的搜索框搜索 Samba AD 联系人，并提供一个域名帐户名。注意没有在 AD E-mail 字段声明的邮件地址的 Samba AD 帐户不会在 Thunderbird 地址簿搜索中列出。

搜索 Samba AD 邮件联系人

10、 要在编写电子邮件时搜索联系人，请单击视图→联系人侧边栏或按 F9 键打开 “联系人” 面板。

在 Thunderbird 中搜索联系人

11、 选择合适的地址簿，你应该能够搜索并添加收件人的电子邮件地址。发送第一封邮件时，会出现一个新的安全警报窗口。点击确认安全例外，邮件应该就能发送到收件人地址中了。

在 Thunderbird 发送邮件

12、 如果你想通过仅针对特定 AD 组织单位的 Samba LDAP 数据库搜索联系人，请从左边面板编辑你的目录服务器名称的地址簿，点击属性并添加自定义的 Samba AD OU，如下所示。

ou=your_specific_ou,dc=your_domain,dc=tld 

Samba LDAP 数据库中搜索联系人

第三步：设置 LDAP 离线副本

13、 要为 Thunderbird 配置 Samba AD LDAP 离线副本，请点击“地址簿”按钮，选择你的 LDAP 通讯录，打开“目录服务器属性” -> “常规” 选项卡，将端口号更改为 3268。

接着切换到离线选项卡并点击“现在下载”按钮开始在本地复制 Samba AD LDAP 数据库。

在 Thunderbird 设置 LDAP 离线副本

为离线下载 LDAP 数据库

当同步联系人完成后，你将收到消息复制成功通知。点击 OK 并关闭所有窗口。在无法访问 Samba 域控制器的情况下，你仍然可以通过离线方式进行搜索。

作者简介：

我是一个电脑上瘾的家伙，开源和基于 linux 的系统软件的粉丝，在 Linux 发行版桌面、服务器和 bash 脚本方面拥有大约4年的经验。

via: https://www.tecmint.com/configure-thunderbird-with-iredmail-for-samba4-ad-ldap/

作者：Matei Cezar 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

Roundcube 是 Linux 中最常用的 Webmail 用户代理之一，它为终端用户提供了一个现代化的 Web 界面，它可以与所有邮件服务进行交互，以便阅读、撰写和发送电子邮件。Roundcube 支持各种邮件协议，包括安全的邮件协议，如IMAPS、POP3S 或者 submission。

在本文中，我们将讨论如何在 iRedMail 中使用 IMAPS 以及 submission 安全端口配置 Roundcube，以检索和发送 Samba4 AD 帐户的电子邮件、如何从浏览器访问 iRedMail Roundcube Web 界面，并添加网址别名、如何启用 Samba4 AD 集成全局 LDAP 地址簿以及如何禁用某些不需要的 iRedMail 服务。

要求

1. 如何在 CentOS 7 上安装 iRedMail，用于Samba4 AD集成
2. 在 CentOS 7 上配置 iRedMail，用于 Samba4 AD 集成

第一步：在 Samba4 AD DC 中声明域帐户的电子邮件地址

1、 为了发送和接收 Samba4 AD DC 域账户的邮件，您需要编辑每个用户帐户，如下所示，通过从安装了 RSAT 工具的 Windows 机器并且已经加入 Samba4 AD 中打开 ADUC 工具显式地在邮箱字段填写正确的地址。

添加邮箱帐户来加入 Samba4 AD DC

2、 相似地，要使用邮件列表，你需要在 ADUC 中创建组，为每个组添加相应的电子邮件地址，并分配合适的用户帐户作为每个组的成员。

这步创建了一个邮件列表，所有 Samba4 AD 组成员的邮箱都会收到给这个 AD 组邮箱地址的邮件。使用下面的截图作为指导为 Samba4 组声明电子邮件字段，并为组添加域成员。

确保所有的域账户成员都添加到了声明了邮件地址的组中。

为 Samba4 AD DC 创建组管理员

将用户添加到组

在本例中，发送给 [email protected] 的所有邮件地址将被该组的每个成员邮箱接收，它是 “Domain Admins” 组声明的电子邮件地址。

3、 你可以声明 Samba4 AD 帐户的电子邮件地址的另一种方法是直接从其中一个 AD DC 控制台使用 samba-tool 命令行创建一个用户或组，并使用 --mail-address 标志指定邮件地址。

使用下面其中一个命令创建一个指定邮件地址的用户：

# samba-tool user add  [email protected]  --surname=your_surname  --given-name=your_given_name  your_ad_user

创建一个指定邮件地址的组：

# samba-tool group add  [email protected]  your_ad_group

将成员添加到组中：

# samba-tool group addmembers your_group user1,user2,userX

使用下面的语法列出 samba-tool 中有关用户或者组的命令字段：

# samba-tool user add -h
# samba-tool group add -h

第二步：安全 Roundcube Webmail

4、 开始修改 Roundcube 配置文件之前，首先使用 netstat 命令管道输出给 egrep 过滤器来列出 Dovecot 和 Postfix 监听的套接字，并确保安全端口（IMAPS 是 993，submission 是 587 ）是活跃的并且已启用。

# netstat -tulpn| egrep 'dovecot|master'

5、 要强制邮件的接收和发送在使用安全的 IMAP 和 SMTP 端口的 Roundcube 以及 iRedMail 服务之间，打开位于 /var/www/roundcubemail/config/config.inc.php 的 Roundcube 配置文件并确保你修改过了下面的行，本例中是 localhost，如下片段所示：

// For IMAPS
$config['default_host'] = 'ssl://127.0.0.1';
$config['default_port'] = 993;
$config['imap_auth_type'] = 'LOGIN';
// For SMTP
$config['smtp_server'] = 'tls://127.0.0.1';
$config['smtp_port'] = 587;
$config['smtp_user'] = '%u';
$config['smtp_pass'] = '%p';
$config['smtp_auth_type'] = 'LOGIN';

这步强烈建议在远程主机中安装 Roudcube，而不是提供了邮件服务的主机中（IMAP、POP3 或者 SMTP 守护进程）。

6、 接下来，不要关闭配置文件，搜索并做如下小的修改以便 Roundcube 能够通过 HTTPS 协议访问、隐藏版本号以及自动为登录 Web 界面的帐户追加域名。

$config['force_https'] = true;
$config['useragent'] = 'Your Webmail'; // Hide version number
$config['username_domain'] = 'domain.tld'

7、 同样，禁用下面的插件：managesieve 和 password，通过在以 $config[‘plugins’] 开头的行前添加注释 //。

一旦登录并验证了域，用户将从连接到 Samba4 AD DC 的 Windows 或 Linux 机器上更改密码。系统管理员将全局管理域帐户的所有筛选规则。

// $config['plugins'] = array('managesieve', 'password');

8、 最后，保存并关闭配置文件，并打开浏览器访问 Roundcube Webmail，通过 HTTPS 协议进入 iRedMail IP 地址或者 FQDN/mail 位置。

由于浏览器使用的是自签名证书，所以你首次访问 Roundcube 会在浏览器上看到一个警告。接受证书并用 Samba AD 帐户凭证登录。

https://iredmail-FQDN/mail

Roundcube Webmail 登录

第三步：在 Roundcube 中启用 Samba AD 联系人

9、 要配置 Samba AD 全局 LDAP 地址簿以在 Roundcube 联系人中显示，再次打开 Roundcube 配置文件，并做如下修改：

到达文件的底部，并辨认以 # Global LDAP Address Book with AD 开头的部分，删除到文件底部的所有内容，并替换成如下代码段：

# Global LDAP Address Book with AD.
#
$config['ldap_public']["global_ldap_abook"] = array(
  'name'          => 'tecmint.lan',
  'hosts'         => array("tecmint.lan"),
  'port'          => 389,
  'use_tls'       => false,
  'ldap_version'  => '3',
  'network_timeout' => 10,
  'user_specific' => false,
  'base_dn'       => "dc=tecmint,dc=lan",
  'bind_dn'       => "[email protected]",
  'bind_pass'     => "your_password",
  'writable'      => false,
  'search_fields' => array('mail', 'cn', 'sAMAccountName', 'displayname', 'sn', 'givenName'),
  'fieldmap' => array(
    'name'        => 'cn',
    'surname'     => 'sn',
    'firstname'   => 'givenName',
    'title'       => 'title',
    'email'       => 'mail:*',
    'phone:work'  => 'telephoneNumber',
    'phone:mobile' => 'mobile',
    'department'  => 'departmentNumber',
    'notes'       => 'description',
  ),
  'sort'          => 'cn',
  'scope'         => 'sub',
  'filter' => '(&(mail=*)(|(&(objectClass=user)(!(objectClass=computer)))(objectClass=group)))',
  'fuzzy_search'  => true,
  'vlv'           => false,
  'sizelimit'     => '0',
  'timelimit'     => '0',
  'referrals'     => false,
);

在这段代码中替换相应的 name、hosts、base_dn、bind_dn 和 bind_pass 的值。

10、 做了所需修改后，保存并关闭文件，登录 Roundcube webmail 界面，并进入地址簿菜单。

所有域名帐户（用户和组）与其指定的电子邮件地址的联系人列表都将被显示在全局地址簿上。

Roundcube 用户联系人列表

第四步：为 Roundcube Webmail 界面添加一个别名

11、 要从 https://webmail.domain.tld 访问 Roundcube 而不是从 iRedMail 默认提供的旧地址，你需要进行以下更改。

在已安装 RSAT 工具的已加入的 Windows 机器上打开 DNS 管理器，并如下所示，添加一条 iRedMail FQDN、named webmail 的 CNAME 记录。

DNS Webmail 属性

12、 接下来，在 iRedMail 机器中，打开位于 /etc/httpd/conf.d/ssl.conf 的 Apache Web 服务器的 SSL 配置文件，将 DocumentRoot 指向 /var/www/roundcubemail/。

修改 /etc/httpd/conf.d/ssl.conf 片段：

DocumentRoot “/var/www/roundcubemail/”

重启 Apache 使更改生效。

# systemctl restart httpd

13、 现在打开下面的地址，Roundcube 界面应该会显示出来。接受自签名证书错误以进入登录页面。用你自己的域名替换例子中的 domain.tld。

https://webmail.domain.tld

第五步：禁用 iRedMail 未使用的服务

14、 由于 iRedMail 守护进程配置为查询 Samba4 AD DC LDAP 服务器的帐户信息和其他资源，因此可以通过使用以下命令来安全地停止和禁用 iRedMail 机器上的某些本地服务，例如 LDAP 数据库服务器和 iredpad 服务。

# systemctl stop slapd iredpad
# systemctl disable slapd iredpad

15、 另外，如下图所示，通过在 crontab 文件中的每行之前添加注释 #，禁用 iRedMail 执行的某些计划任务，例如 LDAP 数据库备份和 iRedPad 跟踪记录。

# crontab -e

禁用 iRedMail 任务

第六步：在 Postfix 中使用邮件别名

16、 要将所有本地生成的邮件（发往 postmaster 并随后重定向到 root 帐户）重定向到特定的 Samba4 AD 帐户，请打开位于 /etc/postfix/aliases 中的 Postfix 别名配置文件，并修改 root 行，如下所示：

root:   [email protected]

17、 应用别名配置文件，以便 Postfix 可以通过执行 newaliases 命令以其自己的格式读取它，并测试邮件是否通过发出以下命令发送到正确的域电子邮件帐户。

# echo “Test mail” | mail -s “This is root’s email” root

18、 邮件发送完毕后，请使用你为邮件重定向设置的域帐户登录 Roundcube webmail，并验证先前发送的邮件应该在你的帐户收件箱中。

验证用户邮件

就是这样了！现在你已经有了一个完全工作的与 Samba4 AD 集成的邮件服务器了。域帐户可以用它们的内部或者其他外部域发送和接收邮件了。

本教程中使用的配置可以成功将 iRedMail 服务器集成到 Windows Server 2012 R2 或 2016 AD 中。

作者简介：

我是一个电脑上瘾的家伙，开源和基于 linux 的系统软件的粉丝，在 Linux 发行版桌面、服务器和 bash 脚本方面拥有大约4年的经验。

via: https://www.tecmint.com/integrate-iredmail-roundcube-with-samba4-ad-dc/

作者：Matei Cezar 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

在本教程中，将学习如何修改提供邮件服务的 iRedMail 主要守护进程，相应地，Postfix 用于邮件传输，Dovecot 将邮件传送到帐户邮箱，以便将它们集成到 Samba4 AD 域控制器中。

将 iRedMail 集成到 Samba4 AD DC 中，你将得到以下好处：通过 Samba AD DC 得到用户身份验证、管理和状态，在 AD 组和 Roundcube 中的全局 LDAP 地址簿的帮助下创建邮件列表。

要求

1. 在 CentOS 7 中为 Samba4 AD 集成安装 iRedMail

第一步：准备 iRedMail 系统用于 Samba4 AD 集成

1、 在第一步中，你需要为你的机器分配一个静态的 IP 地址以防你使用的是由 DHCP 服务器提供的动态 IP 地址。

运行 ifconfig 命令列出你的机器网络接口名，并对正确的网卡发出 nmtui-edit 命令，使用自定义 IP 设置编辑正确的网络接口。

root 权限运行 nmtui-edit 命令。

# ifconfig
# nmtui-edit eno16777736

找出网络接口名

2、 在打开要编辑的网络接口后，添加正确的静态 IP 设置，确保添加了 Samba4 AD DC 的 DNS 服务器 IP 地址以及你的域的名字，以便从机器查询 realm。使用以下截图作为指导。

配置网络设置

3、 在你完成配置网络接口后，重启网络进程使更改生效，并对域名以及 samba 4 域控制器的 FQDN 使用 ping 命令测试。

# systemctl restart network.service
# cat /etc/resolv.conf     # 验证 DNS 解析器配置是否对域解析使用了正确的 DNS 服务器 IP
# ping -c2 tecmint.lan     # ping 域名
# ping -c2 adc1            # ping 第一个 AD DC
# ping -c2 adc2            # Ping 第二个 AD DC

验证网络 DNS 配置

4、 接下来，用下面的命令安装 ntpdate 包，与域控制器同步时间，并请求 samba4 机器的 NTP 服务器：

# yum install ntpdate
# ntpdate -qu tecmint.lan      # querry domain NTP servers
# ntpdate tecmint.lan          # Sync time with the domain

与 Samba NTP 服务器同步时间

5、 你或许想要本地时间自动与 samba AD 时间服务器同步。为了实现这个设置，通过运行 crontab -e 命令并追加下面的行添加一条计划任务。

0   */1   *   *   *   /usr/sbin/ntpdate tecmint.lan > /var/log/ntpdate.lan 2>&1

自动与 Samba NTP 同步时间

第二步：为 iRedMail 集成准备 Samba4 AD DC

6、 现在，如这篇教程所述进入一台安装了 RSAT 工具的 Windows 机器管理 Samba4 AD。

打开 DNS 管理器，转到你的域转发查找区并添加新的 A 记录、MX记录还有 PTR 记录指向你的 iRedMail 系统的 IP 地址。使用以下截图作为指导。

添加一条 A 记录（相应地用 iRedMail 机器的名字和 IP 替换）。

为 iRedMail 创建 DNS A 记录

添加 MX 记录（将子域留空，优先级为 10）。

为 iRedMail 创建 DNS MX 记录

在反向查找区域（相应地替换 iRedMail 服务器的 IP 地址）添加 PTR 记录。如果你尚未为域控制器配置反向区域，请阅读以下教程：从 Windows 管理 Samba4 DNS 组策略

为 iRedMail 创建 DNS PTR 记录

7、添加了使邮件服务器正常运行的基本 DNS 记录后，请进入 iRedMail 机器，安装 bind-utils 软件包，并按如下建议查询新添加的邮件记录。

Samba4 AD DC DNS 应该会响应之前添加的 DNS 记录。

# yum install bind-utils
# host tecmint.lan
# host mail.tecmint.lan
# host 192.168.1.245

安装 Bind 并查询邮件记录

在一台 Windows 机器上，打开命令行窗口并使用 nslookup 命令查询上面的邮件服务器记录。

8、 作为最后一个先决要求，在 Samba4 AD DC 中创建一个具有最小权限的新用户帐户,并使用名称 vmail, 为此用户选择一个强密码, 并确保该用户的密码永不过期。

vmail 帐户将被 iRedMail 服务用来查询 Samba4 AD DC LDAP 数据库并拉取电子邮件帐户。

要创建 vmail 账户，如截图所示，使用加入了已安装 RSAT 工具域的 Windows 机器上的 ADUC 图形化工具，或者按照先前主题中那样用 samba-tool 命令行直接在域控制器中运行。

在本指导中，我们会使用上面提到的第一种方法。

AD 用户和计算机

为 iRedMail 创建新的用户

为用户设置强密码

9、 在 iRedMail 系统中，用下面的命令测试 vmail 用户能够查询 Samba4 AD DC LDAP 数据库。返回的结果应该是你的域的对象总数, 如下截图所示。

# ldapsearch -x -h tecmint.lan -D '[email protected]' -W -b 'cn=users,dc=tecmint,dc=lan'

注意：相应地替换域名以及 Samba4 AD 的 LDAP dn （cn=users,dc=tecmint,dc=lan）。

查询 Samba4 AD DC LDAP

第三步：将 iRedMail 服务集成到 Samba4 AD DC 中

10、 现在是时候修改 iRedMail 服务（Postfix、Dovecot 和 Roundcube）以便为邮箱帐户查询 Samba4 域控制器。

第一个要修改的服务是 MTA 代理，Postfix。执行以下命令禁用一系列的 MTA 设置，添加你的域名到 Postfix 本地域以及邮箱域中，并使用 Dovecot 代理发送已接收的邮件到用户邮箱中。

# postconf -e virtual_alias_maps=' '
# postconf -e sender_bcc_maps=' '
# postconf -e recipient_bcc_maps= ' '
# postconf -e relay_domains=' '
# postconf -e relay_recipient_maps=' '
# postconf -e sender_dependent_relayhost_maps=' '
# postconf -e smtpd_sasl_local_domain='tecmint.lan' #用你自己的域替换
# postconf -e virtual_mailbox_domains='tecmint.lan' #用你自己的域替换   
# postconf -e transport_maps='hash:/etc/postfix/transport'
# postconf -e smtpd_sender_login_maps='proxy:ldap:/etc/postfix/ad_sender_login_maps.cf'  # 检查 SMTP 发送者
# postconf -e virtual_mailbox_maps='proxy:ldap:/etc/postfix/ad_virtual_mailbox_maps.cf'  # 检查本地邮件帐户
# postconf -e virtual_alias_maps='proxy:ldap:/etc/postfix/ad_virtual_group_maps.cf'  # 检查本地邮件列表
# cp /etc/postfix/transport /etc/postfix/transport.backup   # 备份 transport 配置
# echo "tecmint.lan dovecot" > /etc/postfix/transport       # 添加带 dovecot transport 的域
# cat /etc/postfix/transport                    # 验证 transport 文件
# postmap hash:/etc/postfix/transport

11、 接下来，用你最喜欢的文本编辑器创建 Postfix 的 /etc/postfix/ad_sender_login_maps.cf 配置文件，并添加下面的配置。

server_host     = tecmint.lan
server_port     = 389
version         = 3
bind            = yes
start_tls       = no
bind_dn         = [email protected]
bind_pw         = ad_vmail_account_password
search_base     = dc=tecmint,dc=lan
scope           = sub
query_filter    = (&(userPrincipalName=%s)(objectClass=person)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
result_attribute= userPrincipalName
debuglevel      = 0

12、 使用下面的配置创建 /etc/postfix/ad_virtual_mailbox_maps.cf。

server_host     = tecmint.lan
server_port     = 389
version         = 3
bind            = yes
start_tls       = no
bind_dn         = [email protected]
bind_pw         = ad_vmail_account_password
search_base     = dc=tecmint,dc=lan
scope           = sub
query_filter    = (&(objectclass=person)(userPrincipalName=%s))
result_attribute= userPrincipalName
result_format   = %d/%u/Maildir/
debuglevel      = 0

13、 使用下面的配置创建 /etc/postfix/ad_virtual_group_maps.cf。

server_host     = tecmint.lan
server_port     = 389
version         = 3
bind            = yes
start_tls       = no
bind_dn         = [email protected]
bind_pw         = ad_vmail_account_password
search_base     = dc=tecmint,dc=lan
scope           = sub
query_filter    = (&(objectClass=group)(mail=%s))
special_result_attribute = member
leaf_result_attribute = mail
result_attribute= userPrincipalName
debuglevel      = 0

替换上面三个配置文件中的 server_host、bind_dn、bind_pw 和 search_base 以反应你自己域的设置。

14、 接下来，打开 Postfix 主配置文件，通过在下面的行前添加 # 注释，搜索并禁用 iRedAPD 的 check_policy_service 和 smtpd_end_of_data_restrictions。

# nano /etc/postfix/main.cf

注释下面的行：

#check_policy_service inet:127.0.0.1:7777
#smtpd_end_of_data_restrictions = check_policy_service inet:127.0.0.1:7777

15、 现在，通过执行一系列查询，验证 Postfix 是否使用现有的域用户和域组绑定到 Samba AD，如以下示例所示。

结果应与下面的截图类似。

# postmap -q [email protected] ldap:/etc/postfix/ad_virtual_mailbox_maps.cf
# postmap -q [email protected] ldap:/etc/postfix/ad_sender_login_maps.cf
# postmap -q [email protected] ldap:/etc/postfix/ad_virtual_group_maps.cf

验证 Postfix 绑定到了 Samba AD

相应替换 AD 用户及组帐户。同样，确保你使用的 AD 组已被分配了一些成员。

16、 在下一步中修改 Dovecot 配置文件以查询 Samba4 AD DC。打开 /etc/dovecot/dovecot-ldap.conf 文件并添加下面的行。

hosts           = tecmint.lan:389
ldap_version    = 3
auth_bind       = yes
dn              = [email protected]
dnpass          = ad_vmail_password
base            = dc=tecmint,dc=lan
scope           = subtree
deref           = never
user_filter     = (&(userPrincipalName=%u)(objectClass=person)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
pass_filter     = (&(userPrincipalName=%u)(objectClass=person)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
pass_attrs      = userPassword=password
default_pass_scheme = CRYPT
user_attrs      = =home=/var/vmail/vmail1/%Ld/%Ln/Maildir/,=mail=maildir:/var/vmail/vmail1/%Ld/%Ln/Maildir/

Samba4 AD 帐户的邮箱将会存储在 /var/vmail/vmail1/your_domain.tld/your_domain_user/Maildir/ 中。

17、 确保 dovecot 的主配置文件中启用了 pop3 和 imap 协议。打开 /etc/dovecot/dovecot.conf 验证是否启用了 quota 和 acl 邮件插件，并检查这些值是否存在。

在 Dovecot 中启用 POP3 和 IMAP

18、 可选地，如果要将全局硬配额设置为每个域用户的最大不超过 500 MB 存储，请在 /etc/dovecot/dovecot.conf 文件中添加以下行。

quota_rule = *:storage=500M 

19、 最后，为了使目前这些更改生效，用 root 权限执行下面的命令重启并验证 Postfix 和 Dovecot 守护进程的状态。

# systemctl restart postfix dovecot
# systemctl status postfix dovecot

20、 为了使用 IMAP 协议从命令行测试邮件服务器配置，请使用 telnet 或 netcat 命令，如下所示。

# nc localhost 143
a1 LOGIN ad_user@your_domain.tld ad_user_password
a2 LIST “” “*”
a3 LOGOUT

测试 iRedMail 配置

如果你可以使用 Samba4 用户帐户从命令行执行 IMAP 登录，那么 iRedMail 服务器似乎已经准备好发送和接收 AD 帐户的邮件。

在下一个教程中将讨论如何将 Roundcube webmail 与 Samba4 AD DC 集成，并启用全局 LDAP 地址簿，自定义 Roudcube，从浏览器访问 Roundcube Web 界面，并禁用某些不需要的 iRedMail 服务。

作者简介：

我是一个电脑上瘾的家伙，开源和基于 linux 的系统软件的粉丝，在 Linux 发行版桌面、服务器和 bash 脚本方面拥有大约4年的经验。

via: https://www.tecmint.com/integrate-iredmail-to-samba4-ad-dc-on-centos-7/

作者：Matei Cezar 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

Samba 很久以来一直是为 *nix 系统上的 Windows 客户端提供共享文件和打印服务的标准。家庭用户，中型企业和大型公司都在使用它，它作为最佳解决方案在多种操作系统共存的环境中脱颖而出。

由于广泛使用的工具很可能发生这种情况，大多数 Samba 安装都面临着可能利用已知漏洞的攻击的风险，这个漏洞直到 WannaCry 勒索软件攻击的新闻出来之前都被认为是不重要的。

在本文中，我们将解释这个 Samba 漏洞是什么以及如何保护你负责的系统。根据你的安装类型（从仓库或者源码），你需要采取不同的方法。

如果你目前有在任何环境中使用 Samba 或者知道有人在使用，请继续阅读！

漏洞

过时和未修补的系统容易受到远程代码执行漏洞的攻击。简单来说，这意味着访问可写共享的人可以上传一段任意代码，并使用服务器中的 root 权限执行该代码。

这个问题在 Samba 网站上被描述为 CVE-2017-7494，并且已知会影响 Samba v3.5（2010 年 3 月初发布）及以后版本。由于与 WannaCry 有相似之处，它被非官方地被命名为 SambaCry：它们均针对 SMB 协议，并且可能是蠕虫病毒 - 这可能导致其从一个系统传播到另一个系统中。

Debian、Ubuntu、CentOS 和 Red Hat 已采取快速的行动来保护它们的用户，并为其支持的版本发布了补丁。另外，还提供了不受支持的安全临时解决方案。

更新 Samba

如先前提到的那样，根据你之前安装的方法有两种方式更新：

如果你从发行版的仓库中安装的 Samba

让我们看下在这种情况下你需要做什么：

在 Debian 下修复 SambaCry

添加下面的行到你的源列表中（/etc/apt/sources.list）以确保 apt 能够获得最新的安全更新：

deb http://security.debian.org stable/updates main
deb-src http://security.debian.org/ stable/updates main

接下来，更新可用的软件包：

# aptitude update

最后，确保 samba 软件包的版本符合漏洞修复的版本（见 CVE-2017-7494）：

# aptitude show samba

在 Debian 中修复 SambaCry

在 Ubuntu 中修复 SambaCry

要开始修复，如下检查新的可用软件包并更新 Samba 软件包：

$ sudo apt-get update
$ sudo apt-get install samba

已经修复 CVE-2017-7494 的 Samba 版本有下面这些：

• 17.04: samba 2:4.5.8+dfsg-0ubuntu0.17.04.2
• 16.10: samba 2:4.4.5+dfsg-2ubuntu5.6
• 16.04 LTS: samba 2:4.3.11+dfsg-0ubuntu0.16.04.7
• 14.04 LTS: samba 2:4.3.11+dfsg-0ubuntu0.14.04.8

最后，运行下面命令验证你的 Ubuntu 已经安装了正确的版本。

$ sudo apt-cache show samba

在 CentOS/RHEL 7 中修复 SambaCry

在 EL 7 中打过补丁的 Samba 版本是 samba-4.4.4-14.el7\_3。要安装它，这些做：

# yum makecache fast
# yum update samba

像先前那样，确保你已经安装了打补丁的 Samba 版本：

# yum info samba

在 CentOS 中修复 SambaCry

旧支持的 CentOS 以及 RHEL 更老的版本也有修复。参见 RHSA-2017-1270 获取更多。

如果你从源码安装的 Samba

注意：下面的过程假设你先前从源码构建的 Samba。强烈建议你在部署到生产服务器之前先在测试环境尝试。

此外，开始之前确保你备份了 smb.conf 文件。

在这种情况下，我们也会从源码编译并更新 Samba。然而在开始之前，我们必须先确保安装了所有的依赖。注意这也许会花费几分钟。

在 Debian 和 Ubuntu 中：

# aptitude install acl attr autoconf bison build-essential \
debhelper dnsutils docbook-xml docbook-xsl flex gdb krb5-user \
libacl1-dev libaio-dev libattr1-dev libblkid-dev libbsd-dev \
libcap-dev libcups2-dev libgnutls28-dev libjson-perl \
libldap2-dev libncurses5-dev libpam0g-dev libparse-yapp-perl \
libpopt-dev libreadline-dev perl perl-modules pkg-config \
python-all-dev python-dev python-dnspython python-crypto xsltproc \
zlib1g-dev libsystemd-dev libgpgme11-dev python-gpgme python-m2crypto

在 CentOS 7 或相似的版本中：

# yum install attr bind-utils docbook-style-xsl gcc gdb krb5-workstation \
libsemanage-python libxslt perl perl-ExtUtils-MakeMaker \
perl-Parse-Yapp perl-Test-Base pkgconfig policycoreutils-python \
python-crypto gnutls-devel libattr-devel keyutils-libs-devel \
libacl-devel libaio-devel libblkid-devel libxml2-devel openldap-devel \
pam-devel popt-devel python-devel readline-devel zlib-devel

停止服务（LCTT 译注：此处不必要）：

# systemctl stop smbd

下载并解压源码（在写作时 4.6.4 是最新的版本）：

# wget https://www.samba.org/samba/ftp/samba-latest.tar.gz 
# tar xzf samba-latest.tar.gz
# cd samba-4.6.4

出于了解信息的目的，用以下命令检查可用的配置选项。

# ./configure --help

如果你在先前的版本的构建中有使用到一些选项，你或许可以在上面命令的返回中包含一些选项，或者你可以选择使用默认值：

# ./configure
# make
# make install

最后重启服务。

# systemctl restart smbd

并验证你正在使用的是更新后的版本：

# smbstatus --version

这里返回的应该是 4.6.4。

其它情况

如果你使用的是不受支持的发行版本，并且由于某些原因无法升级到最新版本，你或许要考虑下面这些建议：

• 如果 SELinux 是启用的，你是处于保护之下的！
• 确保 Samba 共享是用 noexec 选项挂载的。这会阻止二进制文件从被挂载的文件系统中执行。

还有将：

nt pipe support = no

添加到 smb.conf 的 [global] 字段中。你或许要记住，根据 Samba 项目，这“或许禁用 Windows 客户端的某些功能”。

重要：注意 nt pipe support = no 选项会禁用 Windows 客户端的共享列表。比如：当你在一台 Samba 服务器的 Windows Explorer 中输入 \\10.100.10.2\ 时，你会看到 “permission denied”。Windows 客户端不得不手动执行共享，如 \\10.100.10.2\share_name 来访问共享。

总结

在本篇中，我们已经描述了 SambaCry 漏洞以及如何减轻影响。我们希望你可以使用这个信息来保护你负责的系统。

如果你有关于这篇文章的任何提问以及评论，欢迎使用下面的评论栏让我们知道。

作者简介：

Gabriel Cánepa 是一名 GNU/Linux 系统管理员，阿根廷圣路易斯 Villa Mercedes 的 web 开发人员。他为一家国际大型消费品公司工作，在日常工作中使用 FOSS 工具以提高生产力，并从中获得极大乐趣。

via: https://www.tecmint.com/fix-sambacry-vulnerability-cve-2017-7494-in-linux/

作者：Gabriel Cánepa 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

本系列教程将引导你了解如何在 CentOS 7 安装 iRedMail 以及 Samba4 AD 域控制器，以便域帐户可以通过 Thunderbird 桌面客户端或通过 Roundcube Web 界面发送或接收邮件。

将要安装 iRedMail 的 CentOS 7 服务器需允许通过 25 和 587 端口进行 SMTP 或邮件路由服务，并且还将通过 Dovecot 作为邮件传递代理，提供 POP3 和 IMAP 服务，两者都使用安装过程中签发的自签名证书进行安全保护。

收件人邮箱将与 Roundcube 提供的 webmail 用户代理一起存储在同一台 CentOS 服务器上。iRedMail 将使用 Samba4 AD 来查询和验证收件人帐户，在 AD 组的帮助下创建邮件列表，并通过 Samba4 AD DC 控制邮件帐户。

需要：

• 在 Ubuntu 上使用 Samba4 创建 AD 基础架构

步骤 1：在 CentOS 7 上安装 iRedMail

1、 在安装 iRedMail 之前，请先确保你使用下面的指南在你的机器上安装了一个全新的 CentOS 7 操作系统：

• 全新安装 CentOS 7 Minimal

2、 同样使用下面的命令确保系统更新了最新的安全补丁和软件包。

# yum update

3、 系统同样需要一个 FQDN 主机名，使用下面的命令设置。使用你自定义的 FQDN 代替 mail.tecmint.lan 变量。

# hostnamectl set-hostname mail.tecmint.lan

使用下面的命令验证系统主机名。

# hostname -s   # Short name
# hostname -f   # FQDN
# hostname -d   # Domain
# cat /etc/hostname  # Verify it with cat command

验证 CentOS 7 主机名

4、 通过手动编辑 /etc/hosts，将机器的 FQDN 和短名称映射到机器的回环 IP 地址。添加如下所示的值，并相应替换 mail.tecmint.lan 和 mail 的值。

127.0.0.1   mail.tecmint.lan mail  localhost localhost.localdomain

5、 iRedMail 专家建议应该完全禁用 SELinux。通过编辑 /etc/selinux/config 并将 SELINUX 参数的值从 permissive 设置成 disabled 来禁用 SELinux。

SELINUX=disabled

重启机器并应用新的 SELinux 策略，或者运行 setenforce 带上参数 0 来强制 SELinux 立即禁用。

# reboot
或者
# setenforce 0

6、 接下来，安装下面这些接下来会用来系统管理的软件包：

# yum install bzip2 net-tools bash-completion wget

7、 要安装 iRedMail，首先打开下载页 http://www.iredmail.org/download.html 中并用下面的命令下载最新的版本。

# wget https://bitbucket.org/zhb/iredmail/downloads/iRedMail-0.9.6.tar.bz2

8、 下载完成后，使用下面命令解压压缩包并进入解压后的 iRedMail 目录。

# tar xjf iRedMail-0.9.6.tar.bz2 
# cd iRedMail-0.9.6/
# ls

9、 使用下面的命令执行 iRedMail 的 shell 脚本来开始安装。接下来安装器会询问一系列的问题。

# bash iRedMail.sh

10、 在首个欢迎提示中，点击 Yes 来继续安装。

iRedMail 安装向导

11、 接下来，选择邮件存储的位置。iRedMail 默认邮箱的存储位置在 /var/vmail/ 中。

如果这个目录所在的分区有足够的空间来保存你所有域帐户的邮件，接着点击 Next 来继续。

否则，如果你已经配置一个更大的分区来用于邮件存储，那么就用不同的目录来更改默认位置。

iRedMail 邮件存储路径

12、 在下一步中，选择要与 iRedMail 进行交互的前端 Web 服务器。今后将完全禁用 iRedMail 管理面板，因此我们将使用前端 Web 服务器仅通过 Roundcube Web 面板访问帐户邮件。

如果你每小时没有数以千计的邮件帐户访问 webmail 界面，那么你应该使用 Apache Web 服务器来实现其灵活性和易于管理。

iRedMail 首选的 Web 服务器

13、 在此步骤中，由于 Samba4 域控制器的兼容性原因，请选择 OpenLDAP 后端数据库，并点击 Next 继续，但是一旦将 iRedMail 集成到 Samba 域控制器中，我们将不再使用该 OpenLDAP 数据库。

iRedMail LDAP 后端

14、 接下来，如下图所示，为你的 Samba4 域名指定 LDAP 后缀，然后点击 Next 继续。

iRedMail LDAP 后缀

15、 在接下来的提示中，只要输入你的域名，并点击 Next 继续。相应地替换 tecmint.lan 值。

iRedMail 邮件域

16、 现在，为 [email protected] 管理员设置一个密码，并点击 Next 继续。

iRedMail 邮件域管理员

17、 接下来，从列表中选择要与邮件服务器集成的可选组件。我强烈建议你安装 Roundcube，以便为域帐户提供访问邮件的 Web 界面，尽管你也可以在不同的计算机上安装并配置 Roundcube，以便在高负载情况下释放邮件服务器资源。

对于受限访问互联网的本地域，特别是在我们使用域集成时，除了 Awstats 可以用于你进行邮件分析，其他组件不是非常有用。

iRedMail 可选组件

18、 在下一步中输入 Y 来应用配置并开始安装。

iRedMail 配置更改

19、 最后，所有的问题都输入 Y，接受 iRedMail 脚本自动配置你的防火墙以及 MySQL 配置文件。

iRedMail 系统配置

20、 安装完成后，安装器会提供一些敏感信息。比如 iRedAdmin 凭证、web 面板的 URL 地址以及安装过程中使用的所有参数的文件位置。

iRedMail 安装总结

仔细阅读上面的信息，使用下面的命令重启机器来使所有的邮件服务启用。

# init 6

21、 系统重启后，使用 root 权限的帐户登录或以 root 身份登录，并使用下面的命令列出所有的网络套接字以及你邮件服务器监听的相关程序。

在套接字列表中，你会看到邮件服务器几乎覆盖邮件服务正常运行所需的所有服务：SMTP/S、POP3/S、IMAP/S 和防病毒以及垃圾邮件保护。

# netstat -tulpn

iRedMail 网络套接字

22、 为了查看 iRedMail 已修改的所有配置文件的位置、iRedMail 安装过程中用于数据库管理的凭据、邮件管理帐户以及其他帐户，那么就显示 iRedMail.tips 这个文件。

该文件位于你最初解压安装包的目录中。请注意，你应该移动并保护此文件，因为它包含有关邮件服务器的敏感信息。

# less iRedMail-0.9.6/iRedMail.tips

23、 上面提到的包含邮件服务器详细信息的文件也将自动发送到 postmaster 这个邮件服务器管理员帐户中。

通过在浏览器中输入机器的 IP 地址，你可以通过 HTTPS 协议安全地访问 webmail。接受 iRedMail 自签名证书在浏览器中生成的错误，并使用在安装中为 postmaster@your\_domain.tld 帐户设置的密码登录。阅读并将此电子邮件存储到一个安全的邮箱。

https://192.168.1.254

iRedMail 登录帐户

iRedMail Web 邮件

就是这样了！到目前为止，你已经配置了一台完整的自己运行的邮件服务器了，但尚未与 Samba4 AD 域控制器服务集成。

在下一部分中，我们将看到如何修改 iRedMail 服务（postfix，dovecot 和 roundcube 配置文件），以便查询域帐户、发送、接收和读取邮件。

作者简介：

我是一个电脑上瘾的家伙，开源和基于 linux 系统软件的粉丝，在 Linux 发行版桌面、服务器和 bash 脚本方面拥有大约 4 年的经验。

via: http://www.tecmint.com/install-iredmail-on-centos-7-for-samba4-ad-integration/

作者：Matei Cezar 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

这篇文章讲述了如何使用 Authconfig-gtk 工具将 CentOS 7 桌面系统加入到 Samba4 AD 域环境中，并使用域帐号登录到 CentOS 系统。

要求

1、在 Ubuntu 系统中使用 Samba4 创建活动目录架构

2、CentOS 7.3 安装指南

第一步：在 CentOS 系统中配置 Samba4 AD DC

1、在将 CentOS 7 加入到 Samba4 域环境之前，你得先配置 CentOS 系统的网络环境，确保在 CentOS 系统中通过 DNS 可以解析到域名。

打开网络设置，关闭有线网卡。打开下方的设置按钮，手动编辑网络设置，指定 DNS 的 IP 地址为 Samba4 AD DC 服务器的 IP 地址。

设置完成之后，应用配置，并打开有线网卡。

网络设置

配置网络

2、下一步，打开网络配置文件，在文件末尾添加一行域名信息。这样能确保当你仅使用主机名来查询域中的 DNS 记录时， DNS 解析器会自动把域名添加进来。

$ sudo vi /etc/sysconfig/network-scripts/ifcfg-eno16777736

添加下面一行：

SEARCH="your_domain_name"

网卡配置

3、最后，重启网卡服务以应用更改，并验证解析器的配置文件是否正确配置。我们通过使用 ping 命令加上 DC 服务器的主机名或域名以验证 DNS 解析能否正常运行。

$ sudo systemctl restart network
$ cat /etc/resolv.conf
$ ping -c1 adc1
$ ping -c1 adc2
$ ping tecmint.lan

验证网络配置是否正常

4、同时，使用下面的命令来配置你的主机名，然后重启计算机以应用更改：

$ sudo hostnamectl set-hostname your_hostname
$ sudo init 6

使用下面的命令来验证主机名是否正确配置：

$ cat /etc/hostname
$ hostname

5、最后一步配置是使用下面的命令来保证系统时间跟 Samba4 AD DC 服务器的时间同步：

$ sudo yum install ntpdate
$ sudo ntpdate -ud domain.tld

第二步：安装要加入 Samba4 AD DC 所必需的软件包

6、为了将 CentOS 7 加入到活动目录域中，你需要使用下面的命令来安装相关的软件包：

$ sudo yum install samba samba samba-winbind krb5-workstation

7、最后，安装 CentOS 软件库中提供的图形化界面软件包： Authconfig-gtk 。该软件用于将 CentOS 系统集成到域环境中。

$ sudo yum install authconfig-gtk

第三步：将 CentOS 7 桌面系统集成到 Samba4 AD DC 域环境中

8、将 CentOS 加入到域的过程非常简单。使用有 root 权限的帐号在命令行下打开 Authconfig-gtk 程序，然后按下图所示修改相关配置即可：

$ sudo authconfig-gtk

打开身份或认证配置页面：

• 用户帐号数据库 ： 选择 Winbind
• Winbind 域 ： 你的域名
• 安全模式 ： ADS
• Winbind ADS 域 ： 你的域名.TLD
• 域控制器 ： 域控服务器的全域名
• 默认Shell ： /bin/bash
• 勾选允许离线登录

域认证配置

打开高级选项配置页面：

• 本地认证选项 ： 支持指纹识别
• 其它认证选项 ： 用户首次登录创建家目录

高级认证配置

9、修改完上面的配置之后，返回到身份或认证配置页面，点击加入域按钮，在弹出的提示框点保存即可。

身份和认证

保存认证配置

10、保存配置之后，系统将会提示你提供域管理员信息以将 CentOS 系统加入到域中。输入域管理员帐号及密码后点击 OK 按钮，加入域完成。

加入 Winbind 域环境

11、加入域后，点击应用按钮以让配置生效，选择所有的 windows 并重启机器。

应用认证配置

12、要验证 CentOS 是否已成功加入到 Samba4 AD DC 中，你可以在安装了 RSAT 工具 的 windows 机器上，打开 AD 用户和计算机工具，点击域中的计算机。

你将会在右侧看到 CentOS 主机信息。

活动目录用户和计算机

第四步：使用 Samba4 AD DC 帐号登录 CentOS 桌面系统

13、选择使用其它账户，然后输入域帐号和密码进行登录，如下图所示：

Domain\domain_account
或
[email protected]

使用其它账户

输入域用户名

14、在 CentOS 系统的命令行中，你也可以使用下面的任一方式来切换到域帐号进行登录：

$ su - domain\domain_user
$ su - [email protected]

使用域帐号登录

使用域帐号邮箱登录

15、要为域用户或组添加 root 权限，在命令行下使用 root 权限帐号打开 sudoers 配置文件，添加下面一行内容：

YOUR_DOMAIN\\domain_username             ALL=(ALL:ALL) ALL      #For domain users
%YOUR_DOMAIN\\your_domain\  group            ALL=(ALL:ALL) ALL  #For domain groups

指定用户和用户组权限

16、使用下面的命令来查看域控制器信息：

$ sudo net ads info

查看域控制器信息

17、你可以在安装了 Winbind 客户端的机器上使用下面的命令来验证 CentOS 加入到 Samba4 AD DC 后的信任关系是否正常：

$ sudo yum install samba-winbind-clients

然后，执行下面的一些命令来查看 Samba4 AD DC 的相关信息：

$ wbinfo -p ### Ping 域名
$ wbinfo -t ### 检查信任关系
$ wbinfo -u ### 列出域用户帐号
$ wbinfo -g ### 列出域用户组
$ wbinfo -n domain_account ### 查看域帐号的 SID 信息

查看 Samba4 AD DC 信息

18、如果你想让 CentOS 系统退出域环境，使用具有管理员权限的帐号执行下面的命令，后面加上域名及域管理员帐号，如下图所示：

$ sudo net ads leave your_domain -U domain_admin_username

退出 Samba4 AD 域

这篇文章就写到这里吧！尽管上面的这些操作步骤是将 CentOS 7 系统加入到 Samba4 AD DC 域中，其实这些步骤也同样适用于将 CentOS 7 桌面系统加入到 Microsoft Windows Server 2008 或 2012 的域中。

作者简介：

我是一个电脑迷，开源 Linux 系统和软件爱好者，有 4 年多的 Linux 桌面、服务器系统使用和 Base 编程经验。

via: http://www.tecmint.com/join-centos-7-to-samba4-active-directory/

作者：Matei Cezar 译者：rusking 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出