Installer un serveur multi-organisations avec Artica, part 1

Le but de cette série d'articles est de présenter l'installation et la configuration pas à pas d'un serveur de messagerie pour héberger plusieurs organisations avec la solution logicielle Artica.

J'utilise la terminologie organisation, utilisée par Artica. Une organisation peut être représentée par une entreprise, une association, un collectif, ou tout groupe ayant un domaine sur lequel vous allez proposer d'héberger et de gérer leurs Boîtes Aux Lettres électroniques.

Dans cette première partie, nous allons voir comment installer le serveur et comment configurer les bases communes à toutes les organisations.

Préparez le serveur

Il est important avant de commencer, de prendre en compte un certain nombre de points importants pour la préparation du serveur:

  • utilisez un serveur dédié, Artica utilise beaucoup d'applications système et les configures pour ses besoins, il est donc conseillé d'utiliser un serveur uniquement pour Artica ;
  • utilisez un serveur à l'heure, sur la bonne timezone. Aidez vous des commandes date et du protocole NTP pour garder votre serveur à l'heure ;
  • configurez correctement le hostname du serveur. Le domaine de la machine sera utilisé pour générer la racine de l'arborescence LDAP. Personnellement j'utilise un de mes premiers domaines pour configurer le FQDN de mon serveur :
127.0.0.1       artica.guidtz.org artica localhost.localdomain localhost
  • sécurisez votre serveur :
    limitez les accès ssh à la machine au strict minimum. Par habitude je crée un utilisateur qui est le seul autorisé à se connecter via ssh.
    On peut aussi modifier le port ssh
    Interdire l'accès root
    Interdire les mots de passe vide :
Port xxx
PermitRootLogin no
PermitEmptyPasswords no
AllowUsers sysadmin
  • mettez en place un firewall (pour le moment Artica n'intègre pas de firewall, c'est prévu dans le courant de l'année). J'utilise shorewall qui permet via des fichiers de configuration assez simple de générer les règles iptables adéquates. Pour commencer, fermez tout les ports et ouvrez seulement les suivants :
    le port ssh, celui par défaut ou le port défini dans la configuration du service
    le port 9000 qui est le port de la console d'administration d'Artica
    les ports 25, 143 pour respectivement les protocoles smtp, imap
    les ports 465 et 993 pour le smtps et l'imaps
    443 et 81 pour le webmail et l'interface de gestion utilisateur
  • prévoir de la place pour les mailbox, dans /var/spool/cyrus

 

Installez Artica

Le développeur d'Artica met à disposition un fichier binaire qui permet de simplifier l'installation, autant l'utiliser.

Suivant votre distrib ce fichier est téléchargeable à l'adresse suivante : http://artica.fr/index.php/get-a-download-artica/binaries-setup-all-distris.

Je suis un fervent utilisateur de GNU/Debian pour mes serveurs, donc j'utilise le fichier setup-debian que je télécharge dans mon répertoire /usr/src :

# cd /usr/src
# wget http://artica.fr/download/setup-debian.tgz
# tar xvzf setup-debian.tgz
# ./setup-debian

 

La première partie de l'installation consiste à installer les paquets nécessaires au fonctionnement d'Artica, on valide donc l'installation de tout ces paquets.

Une fois l'install des prérequis installés, on se retrouve avec le menu suivant :

Select the modules you want to install:
Install all modules.......:................................[A]

SMTP MTA (include postfix and securities modules):.....[1]
26 package(s) are not installed
**********************************************************
Files Sharing (include Samba and Pure-ftpd):...........[3]
11 package(s) is not installed
**********************************************************

Squid Proxy (include Squid and dansguardian):..........[4]
6 package(s) are not installed
**********************************************************

NFS System :...........................................[6]
2 package(s) are not installed

----------------------------
Install/upgrade Artica-postfix:........................[5] (1.4.012814)
reboot  Artica-postfix:................................[R]
Get SuperAdmin Infos:..................................[I]

Quit the installation program.........................:[Q]
Type the option.......................................:

Nous commençons à valider "1" pour installer la partie SMTP MTA.

On instale ensuite la partie Amavis :

Amavisd-new and milter:................................[C]

Puis la partie MDA :

Mail server (include postfix and Cyrus-imap):..........[2]

 

Pour finir, nous allons installer la dernière version d'Artica.

ATTENTION, je parle ici d'installer une version de dev, pour montrer les dernière possibilités d'Artica. A vous de tester cette verison pour voir si elle est complètement fonctionnelle pour vos besoins, sinon attendez la sortie de la prochaine version stable.

Pour installer de la dernière nightly :

# /usr/share/artica-postfix/bin/artica-update --upgrade-nightly

Il peut être utile à ce moment de l'installation de redémarrer le serveur.

 

Première connexion et changement de mots de passe

Maintenant que toute la base est installée le reste des installation/paramétrage ce ferra presque que par l'interface web.

Pour se connecter : https://ip_serveur:9000.

Le couple login/mot de passe par défaut est admin/secret. A la première connexion, beaucoup de panneaux d'alertes sont activés, c'est normal, nous allons voir petit à petit comment tout mettre en route.

On peut remarquer 4 partie essentielles dans cette interface :

interface01

  1. une barre de menu horizontale nous amenant vers des outils de configuration système
  2. une barre verticale de menus nous amenant vers des des outils de configuration des organisations et des applications
  3. la page principale d'information sur l'état du système
  4. des panneaux interactifs d'alertes ou d'informations

 

Changement du mot de passe de la console d'admin

La première chose que nous allons régler est cette alerte :

artica_password

cliquez dessus, changez le mot de passe et validez en cliquant sur "Edit".

Une fois le changement de mot de passe validé, vous devrez vous reconnecter à l'interface.

 

Changement du mot de passe MySQL

On va en profiter pour aussi changer le mot de passe par défaut du serveur MySQL.

Cliquez sur "Global Settings" dans la barre de menu horizontale. Puis sur "Mysql Settings" et enfin sur "New Mysql Password and Username".

Dans la nouvelle fenêtre, entrez le compte root et le mot de passe de votre choix pour changer le mot de passe root de MySQL :

mysql_password

 

Si vous voulez utiliser un autre utilisateur que root en tant qu'admin, il faudra revenir une seconde fois sur cette fenêtre et entrer un autre username et mot de passe.

Changement du mot de passe Cyrus

Le dernier mot de passe à changer est celui de Cyrus, pour cela, cliquez sur "Messaging" dans la barre de menu verticale à gauche. Puis sur l'onglet "Mailboxes", puis sur "Cyrus MDA System" et enfin sur l'onglet Services Parameters", ce qui ouvre la fenêtre suivante :

cyrus_parameters

Suffit de cliquer sur "Cyrus Master Account Password" et d'entrer le nouveau mot de passe.

 

Passage en mode multi-organisations

Le rôle de ce serveur sera de gérer plusieurs organisations, on va donc avant de créer les organisations paramétrer le serveur pour gérer les organisations multiples.

Le changement le plus important dans ce mode de fonctionnement sera le formalisme des identifiants.

En mode organisation simple, l'identifiant d'un utilisateur sera par exemple guillaume pour le compte ayant l'adresse e-mail guillaume@domaine.tld.

En mode multi-organisations l'identifiant sera celui-ci : guillaume@domaine.tld.

 

Éliminer l'organisation par défaut

Le processus d'installation crée une organisation par défaut qui prends le domaine défini dans le FQDN de la machine.

On va éliminer cette organisation.

Cliquez sur "Organizations" puis sur "Manage nom_organisation". A ce moment une fenêtre s'ouvre avec tout les paramètres de l'organisation, on verra en détails plus tard ces paramètres, cliquez sur "Delete this organization" puis cliquez sur "Delete mailboxes" et confirmez.

Attendre un petit peu que tout ce fasse sur le serveur.

Passage du serveur en mode multi-organisations

Cliquez sur "Messaging", puis sur l'onglet "Mailboxes" et sur "Multi-domains", cliquez sur le rond rouge pour le passer au vert :

multi-domains

 

Notre serveur est maintenant prêt pour gérer plusieurs organisations. On verra dans l'article suivant comment créer nos organisations.

 

Installer des applications supplémentaires

On va finir l'installation de notre serveur en installant une série d'applications supplémentaires. Cliquez sur "Softwares install" dans la barre horizontale. La fenêtre suivante va s'ouvrir :

software_install

Pour chaque onglet, vous allez avoir les informations suivantes :

  • le nom de l'application
  • la version installée, ou not installed si le soft n'est pas encore installé
  • la version disponible
  • un bouton "install or upgrade"
  • un status d'install

Messaging softwares

Installez et mettre à jour :

  • Postfix si vous voulez utiliser la dernière version (pour utiliser le mode multi-instances par exemple)
  • Fetchmail
  • Cyrus Imap si vous voulez utiliser la dernière version
  • Milter Greylist si vous voulez activer le greylisting
  • Clamav-Milter Daemon
  • atlerMIME
  • msmtp
  • MailSync

Statistics softwares

Installez et mettre à jour :

  • System statistics
  • GnuPlot
  • Versatile Ressource

Web/groupwares softwares

Installez et mettre à jour :

  • Roundcube Webmail 0.3.1

System packages

Installez et mettre à jour :

  • Disk Archiver
  • Smart Hard Disk Monitoring (sauf si vous êtes sur une machine virtuelle)
  • nMap Security Scanner

Installation de bind9

De façon à avoir un cache DNS local, nous allons installez Bind9, il faut l'installer à la main sur le serveur.

Sous GNU/Debian par exemple :

# apt-get install bind9

 

Attention certaines installations peuvent être longues, patience ...

N'hésitez pas à refaire un tour dans chaque onglet pour vérifier que tout est bien installer et relancer les installations qui auraient échouées.

Au final, un petit redémarrage complet du serveur nous permettra de vérifier que tout démarre correctement.

Activer mailman

Si on veut ajouter la possibilité de créer des mailing liste, on va devoir activer mailman.Cliquez sur "Messaging", puis sur l'onglet "Routing and Network", puis sur Mailing List Manager. Cliquez sur le rond rouge pour le passer au vert et validez : activate_mailman

A noter que mailman restera en défaut tant qu'on aura pas installé notre première organisation. On peut remédier à cela en cliquant sur "Advanced Options" puis en remplissant les options par défaut :

mailman_options

Les options à paramétrer sont :

  • Default domain for email addresses : mettre le domaine de votre première organisation
  • Default host for web interface : mettre l'url par défaut de l'interface de mailman
  • Language : pour avoir les interfaces de mailman en français

Activer Artica Filter

Artica Filter va nous permettre de mettre en place des fonctionnalités de filtres supplémentaires sur les emails (disclaimers, bcc ...). Cliquez sur "Messaging" puis sur l'onglet "Filters", puis sur "Modules Activations", cliqez sur le rond rouge en face de "Enable Artica Filter" et validez :

activate_artica_filters

Désactiver les mises à jour automatique

Artica intègre un système de mise à jour automatique. Je penses que sur un système en production il faut désactiver cette fonctionnalité. Les mises à jours devront se faire après test et validation des nouvelles versions. Cliquez sur "Manage Your Server", puis sur "Softwares", puis sur "Auto Update Artica Core", désactivez toutes les options et validez :

auto_update

A suivre

Nous voilà maintenant avec un serveur disposant de toutes les fonctionnalités et applications pour accueillir toutes nos organisations. Nous verrons dans la seconde partie comment configurer tout cela.