Можете ли вы поделиться опытом успешной настройки подписи/шифрования в клиенте Mozilla Thunderbird при использовании Astra Linux, Exchange и MS AD? Клиент успешно открывает зашифрованные сообщения из MS Outlook, но не может подписывать и зашифровывать сообщения, так как не может получить сертификат получателя из MS AD. Подозреваю, что проблема может быть связана с фильтром поиска в настоящий момент, который установлен как (&(objectCategory=person)(objectClass=user)). Хотелось бы услышать от людей, у которых был успешный опыт настройки подобной конфигурации.
Для настройки подписи и шифрования S/MIME в Mozilla Thunderbird требуется иметь действительный сертификат. Вам необходимо выполнить следующие шаги: 1. Получите сертификат S/MIME от удостоверяющего центра (УЦ) или внутреннего УЦ вашей организации. Убедитесь, что сертификат подписи и шифрования установлен на вашем компьютере. 2. Откройте Mozilla Thunderbird и перейдите в меню "Настройки" (Options). 3. В левой панели выберите "Безопасность" (Security), а затем "Подпись" (Digital Signatures). 4. Нажмите на кнопку "Выбрать" (Select) и выберите установленный сертификат подписи. 5. Поставьте галочку напротив опции "Подписывать сообщения (текст и HTML)" (Sign messages (HTML and plaintext)). 6. Чтобы настроить шифрование, перейдите к вкладке "Шифрование" (Encryption). 7. Нажмите на кнопку "Выбрать" (Select) и выберите установленный сертификат шифрования. 8. Поставьте галочку напротив опции "Шифровать сообщения (HTML и вложения)" (Encrypt messages (HTML and attachments)). После настройки подписи и шифрования, вы сможете отправлять зашифрованные и подписанные сообщения S/MIME. Относительно вашего вопроса о настройке подписи и шифрования в клиенте Mozilla Thunderbird при использовании Astra Linux, Exchange и MS AD, я не имею опыта с этой конкретной конфигурацией. Однако я могу предложить несколько идей, которые могут помочь: 1. Удостоверьтесь, что ваш клиент Mozilla Thunderbird имеет правильные настройки для получения информации от MS AD, таких как сервер LDAP и учетные данные пользователя. 2. Проверьте фильтр поиска в настоящий момент. Возможно, требуется изменить условия поиска для более точного поиска сертификатов получателей. 3. Убедитесь, что у ваших пользователей в MS AD есть правильные разрешения на получение сертификатов шифрования и подписи. Я также рекомендую обратиться к документации и поддержке Mozilla Thunderbird, Astra Linux, Exchange и MS AD для получения более подробной информации и рекомендаций по настройке подписи и шифрования в этой конфигурации.
-- Отказывайтесь от надежды, кто бы ты ни был! Вот основной вывод из опыта, который я имел. К сожалению, клиентам не предоставляется полная поддержка адресной книги AD, включая загрузку сертификатов. -- Почему? Потому что адресная книга TB имеет совершенно другую структуру и поля в сравнении с AD. Кроме того, TB не может получить сертификаты из атрибутов пользователя, так как у него совершенно иная концепция безопасности. -- Вы можете: - Открыть адресную книгу AD и получить оттуда адреса отдельных пользователей и их данные, используя davmail, что работает отлично. - Однако вы не можете открыть адресную книгу AD и получить оттуда адреса почтовой группы и адреса ее участников, так как TB не различает учетные записи пользователей и групп. - Также вы не можете открыть адресную книгу AD и получить оттуда сертификат пользователя, так как TB не понимает атрибутов с сертификатами. -- Итак, у вас есть два варианта: - Если ваша сертификационная служба (CA) использует только Windows (запрос и выдача сертификатов только на Windows), вам придется полностью перестраивать систему с нуля на Linux. - Если ваша CA использует Linux, вы можете организовать выгрузку новых сертификатов во внутренний ресурс, настроить задачу синхронизации на компьютере и использовать скрипт для добавления новых сертификатов в базу безопасности TB. -- У нас реализован следующий подход: - CA использует Linux и находится на моем компьютере. - При выдаче сертификата его копия (.crt файл) размещается на внутреннем ресурсе. - У пользователя на компьютере настроена задача, которая запускает скрипт для синхронизации папки с сертификатами. - При входе в систему или по значку на рабочем столе запускается скрипт для обновления базы сертификатов TB. - Проблема с адресами почтовых групп пока не решена. -- Я могу поделиться этими скриптами, но они, вероятно, будут неочевидными для понимания без хорошего знания bash.