Thunderbird Auto Config Server (TACS)

207784f9b2415af26585e5ccceb0959b.png

На хабре уже были статьи по настройке почтового клиента Thunderbird, с подробным разбором его возможностей и деталей настроек, а поиск по сети выдаёт множество блогов с продублированной информацией о его базовых возможностях.

Каждый из авторов решал настройку почты своим путём, используя разные языки и подходы.

Моя цель — попытаться унифицировать это, избавиться от самописных скриптов, предоставив готовый сервер-шаблонизатор для выдачи настроек по запросу почтового клиента.

Обзор

Основой для TACS является файл описания schema.yaml, в котором задаются основные параметры:

# Directory to search for templates
# The search is also performed in subdirectories, but without following symbolic links
# Required file extension: *.tmpl
#templateDir: templates
# Block for local processing of user logins.
# Executes first because it doesn't require external requests.
# If there is a match, subsequent stages are not checked
#local:
  # Default fields and properties
  #default:
    # Name of the GO template (*.tmpl), with insert fields - {{define "templateName"}}
    #template: default
    # A key-value map (hash table) that is used to fill the template.
    # Can be overridden at the user level.
    # If the field is not present at the user level, it will be set to the specified value.
    # The key is a variable declared in the template - {{ .variableName }}
    # Value - what will be substituted for the key
    #fields:
    #  cn: user
    #  mail: mail@example.com
    #  telephoneNumber:
    #  position: no_body
    #  company: "\"Example\""
  # List of users to handle requests.
  # Is a hash table of "username: params",
  # so each iteration of the key overwrites the previous values
  #list:
  #root:
  #  template: root
  #  fields:
  #    company: ""
  #    mail: root@example.com
  #    cn: Administrator
  #    signatureIsHTML: true
  #    signature: 'Sincerely\nroot'

# Block for processing users from LDAP.
# If there is a match, subsequent stages are not checked
#ldap:
  # A unique field that identifies the user, a filter compiled for this:
  #  (uid=username), example - (sAMAccountName=username)
  #uid: sAMAccountName
  # Ldap path where to start the search
  #searchBase: OU=SystemUsers,OU=Corp,DC=corp,DC=domain,DC=com
  # Additional filter for user search. Added to the filter with uid:
  # (&(uid=username)filter)
  # In this case, search only for enabled users:
  #filter: (!(userAccountControl:1.2.840.113556.1.4.803:=2))(objectCategory=person)(objectClass=user)
  # Search in subgroups?
  # If true - adds the option ":1.2.840.113556.1.4.1941:" to the filter
  #subgroups: true
  # Should I generate a response for a user who is not a member of any declared group?
  # In this case, a default section must be declared
  #allowWithoutGroups: true
  # A key-value map (hash table) that is used to fill the template.
  # Can be overridden at the ldap group level.
  # If the field is not present at the user level, it will be set to the specified value.
  # The key is a variable declared in the template - {{ .variableName }}
  # Value - fields taken from the user's LDAP profile.
  # Note.
  # If you prefix an LDAP field name with "raw:", the value will be queried raw and base64 encoded
  #default:
  #  template: default
  #  fields:
  #    cn: cn
  #    mail: mail
  #    telephoneNumber: telephoneNumber
  #    position: position
  #    company: company
  #    photo: raw:jpegPhoto
  #list:
    # The list of groups by which the user's groups are matched.
    # The check is performed one by one, and the first match
    # interrupts further processing.
    #- group: "CN=Domain Users,OU=SystemUsers,OU=Corp,DC=corp,DC=domain,DC=com"
    #  template: default
    #  fields:
    #    cn: cn
    #    mail: mail
    #    telephoneNumber: telephoneNumber
    #    position: position
    #    company: company
    #    photo: raw:jpegPhoto

Для выдачи требуемой конфигурации, составляются списки с привязкой к ним соответствующих шаблонов. Списков два:

  • Локальный — явно указывается логин пользователя, поля для заполнения шаблона и сам шаблон, который должен быть отдан. Все значения шаблона задаются в самой конфигурации и никаких запросов в иные системы выполняться не будет.

  • LDAP — указывается группа из ldap, в которой должен состоять пользователь, LDAP-поля пользователя из которых необходимо брать свойства для заполнения шаблона и соответствующий шаблон. Если логин не определен в локальном списке, будет выполнен LDAP запрос на поиск пользователя и его свойств.

Рассмотрим более подробно оба вида списков:

local

local:
  default:
    template: users
    fields:
      cn: user
      mail: mail@example.com
      telephoneNumber:
      position: no_body
      company: "\"Example\""
  list:

local.default — этот раздел используется как значения по умолчанию для всех участников списка, если на самом участнике списка, не переопределено иное.
local.default.template — задаёт имя шаблона, для формирования ответа
local.default.fields — карта соответствия Go-Template переменных и значений, которые должны быть подставлены вместо них. В примере выше видно, что если в шаблоне будут переменные

{{ .cn }}, {{ .mail }}, {{ .position }}

то они будут заменены указанными значениями:

user, mail@example.com, no_body

local.list — карта со списком логинов, на которые будут отдаваться настройки клиента. Здесь можно переопределить значения по умолчанию, заданные в разделе local.default с тем же синтаксисом, например:

local:
  default:
    template: default_users
    fields:
      cn: user
      mail: mail@example.com
      telephoneNumber:
      position: no_body
      company: "\"Example\""
  list:
    user1:
    user2:
      template: managers
    user3:
       template: admins
       fields:
         cn: Вася Пупкин
         position: Сетевой администратор
  • local.list.user1: шаблон-default_users, поля заполнены по умолчанию

  • local.list.user2: шаблон-managers, поля всё те же

  • local.list.user3: шаблон-admins, поля — индивидуальные для данного пользователя

LDAP

Если логин пользователя не найден в локальном списке, выполняется поиск в LDAP.
Настройка LDAP списка расширяет локальные списки:

ldap:
  uid: sAMAccountName
  usersSearchBase: OU=Users,DC=corp,DC=example,DC=com
  groupsSearchBase: OU=Groups,DC=corp,DC=example,DC=com
  filter: (!(userAccountControl:1.2.840.113556.1.4.803:=2))(objectCategory=person)(objectClass=user)
  subgroups: true
  allowWithoutGroups: true
  default:
  list:
  • ldap.uid — уникальный идентификатор для поиска пользователя в LDAP.

  • ldap.usersSearchBase — начальный каталог, от которого выполнять поиск пользователей в LDAP

  • ldap.groupSearchBase — начальный каталог, от которого выполнять поиск групп в LDAP

  • ldap.filter — дополнительный фильтр при поиске пользователей. Базовый поиск выполняется по фильтру ($UID=$username) или (sAMAccountName=pupkin.v). При указании данного поля, он расширяется через аргумент И — (&($UID=$username)$AddFilter) и получается, например:

(&(sAMAccountName=pupkin.v)(!(userAccountControl:1.2.840.113556.1.4.803:=2))(objectCategory=person)(objectClass=user))
  • ldap.subgroups: [true|false] — выполнять ли поиск в дочерних LDAP группах или нет. Например у вас пользователи находятся в общей группе Domain Peoples, а tacs_default — группа для выбора шаблона. Можно было бы tacs_default скриптом навесить на каждого пользователя:

# Условная структура LDAP

user1.memberOf:
	- Domain Peoples
	- tacs_default
user1.memberOf:
	- Domain Peoples
	- tacs_default
...
# Условная структура LDAP

# Было:
user1.memberOf:
	- Domain Peoples
user2.memberOf:
	- Domain Peoples
# Стало:
Domain Peoples.memberOf:
	- tacs_default

При true, к фильтру добавляется опция :1.2.840.113556.1.4.1941: которая позволяет просмотреть все дочерние подгруппы и найти искомого пользователя, если тот присутствует в дереве дочерних групп.

ldap.allowWithoutGroups: [true|false] — разрешить ли пользователей без группы. Если пользователь не найден в группах LDAP, следует ли применить к нему значения LDAP по умолчанию или выдать 404 ошибку.

ldap.default — так же как и в локальном списке, если не переназначено на группе, применяются данные значения.
ldap.default.template — шаблон по умолчанию для LDAP групп
ldap.default.fields — карта полей вида Go-Template-переменная: ldap-поле-пользователя. Если в локальном списке значение было просто значением, то в LDAP-списке, значения берутся из свойств объекта пользователя. Например:

  default:
    template: ldap-default
    fields:
      cn: cn
      position: description
  • Имя шаблона по умолчанию — ldap-default

  • Переменная шаблона {{ .cn }} — соответствует полю cn из LDAP

  • Переменная шаблона {{ .position }} — соответствует полю desccription из LDAP

ldap.default.fields.*: raw:* — если перед именем LDAP-поля указать префикс raw: тогда значение поля будет выгружено в сыром виде и закодировано в base64. Это используется для выгрузки фотографий из поля LDAP jpegPhoto:

  default:
    ...
    fields:
      photo: "raw:jpegPhoto"

Получив фото из LDAP, можно составить html-подпись для пользователя:

ldap.list — список групп с привязкой к ним шаблонов и необязательной карты свойств

  list:
    - group: "CN=tacs-with-photo,OU=tacs,OU=Groups,DC=corp,DC=example,DC=com"
      template: with-ldap-photo
      fields:
        cn: cn
        mail: mail
        position: position
        company: company
        photo: raw:jpegPhoto
        address: physicalDeliveryOfficeName
        telephoneNumber: telephoneNumber

ldap.list.[*].group — полный DN-путь к группе, например: "CN=tacs-with-photo,OU=tacs,OU=Groups,DC=corp,DC=example,DC=com"
ldap.list.[*].template — необязательное переопределение используемого шаблона для указанной группы
ldap.list.[*].fields — карта необязательных переопределений полей, аналогично разделу ldap.default.fields.

Шаблоны

Каталог для поиска шаблонов указывается в scheme.yaml:
templateDir — TACS проходит по всем подкаталогам, кроме символических ссылок, анализируя и загружая в память *.tmpl файлы, которые являются go-template.

{{define "template_name"}}...{{end}} 
local:
  default:
    template: template_name
...
  list:
    username:
      template: template_name
...
ldap:
  default:
    template: template_name
...
  list:
    - group: ...
      template: template_name
{{define "temp1"}}
...
{{end}}
{{define "temp2"}}
...
{{end}}
{{define "temp3"}}
{{template "temp1"}}
{{template "temp2"}}
{{end}}
  • Имя шаблона должно быть уникальным по сравнению с остальными, иначе шаблоны могут переписать друг-друга.

  • В шаблоне можно использовать переменные для подстановки значений из scheme.yaml/LDAP:

# Все переменные хранятся в "точке":
{{define "default"}}
{{.var_name}}
{{end}}
local:
  default:
    template_key: value
...
list:
  username:
    template_key: value
...
ldap:
default:
  fields:
    template_key: ldap_field_with_value
    template_key: raw:ldap_field_with_binary_value
...
list:
  - group: ...
    fields:
      template_key: ldap_field_with_value

Примеры

Примерная конфигурация приведена в репозитории.

Источники

Habrahabr.ru прочитано 2673 раза