The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Smtp аутентификация клиентов postfix в Aсtive Directory

04.02.2005 17:44

Игорь Полянский прислал статью с пошаговым описанием настройки Postfix для SMTP аутентификации в LDAP директории, используя PAM модуль pam_ldap под FreeBSD.

  1. Главная ссылка к новости (http://www.opennet.me/base/net...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/5029-sasl
Ключевые слова: sasl, pam, postfix, ldap
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (16) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Vladimir (??), 19:04, 04/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    1. интересно, а есть ли auxprop_plugin для аутентификации через AD, не в курсе ?

    2. Что нужно сделать, чтобы postfix искал пользователей, алиасы(и т.д.)  в AD ?

     
  • 1.2, Vladimir (??), 19:08, 04/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И вообще хочется почитать про то, как максимально можно "срастить" Postfix,Cyrus-Imapd c AD и возможно ли это ?

    В принципе вместо Postfix и Cyrus-Imapd может быть что угодно, главное посмотреть как использовать openLDAP для взаимодествия с AD.

     
  • 1.3, Автор (?), 21:17, 04/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я забыл одну из ключевых позиций. Тем пользователей, кому нужна smtp аутентификация:

    в FreeBSD 4.x - нужно их добавить в файл паролей,  достаточно:
    user:*:1001:1001::0:0:smtp user:/nonexistent:/sbin/nologin  
    т.е. группу, дом. дир., shell, пароль задавать не нужно.

    в FreeBSD 5.1 и выше, Linux, Solaris что-бы не вносить пользователей в файл паролей можно использовать дополнительно модуль nss_ldap. Но в этом случае нужно расширить схему AD при помощи SFU или чего либо еще и добавить настройки касающиеся nss_ldap в ldap.conf, но это выходит за рамки этой статьи.

     
  • 1.4, Dimez (??), 22:02, 04/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А без PAM как-нибудь можно обойтись?

    Не нравится мне он...

     
  • 1.5, Аноним (5), 00:19, 05/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У меня работает прекрасно связка Sendmail+milter-ahead+Exchange.
    все алиасы и т.д. работает замечательно. может не так красиво как с LDAP, но как вариант. Причем milter-ahead (http://www.milter.info) умеет даже кэшировать информацию.

     
  • 1.6, sauron (?), 10:10, 05/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    господа вы о чем вообще ? Для взаимодействия с AD достаточно использовать его LDAP интерфейс. Плюс указать нужные поля в записи и где они находятся. Об этом я писал аж год назад.

    PS Pam в целом и не нужен.

     
     
  • 2.7, Andrey (??), 11:36, 05/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >господа вы о чем вообще ? Для взаимодействия с AD достаточно >использовать его LDAP интерфейс. Плюс указать нужные поля в записи и где >они находятся. Об этом я писал аж год назад.

    >PS Pam в целом и не нужен.

    А где ссылка?

     

  • 1.8, sauron (?), 11:39, 05/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    http://sauron.opennet.ru/postfix+courier-imap+cyrus-sasl+openldap.html
    замените слова LDAP на AD. А так же измените на используемые в AD названия аттрибутов.
     
     
  • 2.16, v0v0 (??), 01:24, 13/11/2006 [^] [^^] [^^^] [ответить]  
  • +/
    LDAP_HOMEDIR homeDirectory
    Такой хрени нет в АД. Расширять схему? э, не очень бы хотелось
     

  • 1.9, Автор (?), 15:26, 06/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну хорошо, есть самый простой способ:
    запускать saslauthd со следующими опциями:
    saslauthd -a rimap -O host
    где host ваш Exchange сервер. Как вы знаете Exchange использует учетные записи AD и поддерживает протокол IMAP. В этом случае вам не нужно использовать PAM. Случай который я описал в статье, дает вам возможность использовать учетную запись из AD не только для smtp аутентификации, но и для других служб: telnet, ssh, ftp... Вообщем для всего, что может работать с PAM.

     
     
  • 2.10, sauron (?), 08:04, 07/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    saslauthd и так удлиняет цепочку. Зачем удлинять ее еще на одно звено PAM модулем? Кроме этого использование pam_ldap авторизации не совсем верно. Поидее надо использовать pam_krb5. Т.к. AD его поддерживает. Потом кто мешает использовать saslauthd с ldap, а остальные с pam модулями ?
     
     
  • 3.11, Автор (?), 12:05, 07/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Теперь у нас есть несколько вариантов:
    saslauthd -a pam;
    saslauthd -a ldap (я этот вариант с AD не тестировал, а Вы?);
    saslauthd -a rimap;
    Выбирайте любой.

    >Кроме этого использование pam_ldap авторизации не совсем верно.
    Я писал о smtp аутентификации. Для авторизации еще необходим nss_ldap.

    >Поидее надо использовать pam_krb5.
    Да, pam_krb5 можно использовать, а Вы пробовали?


     
     
  • 4.12, sauron (?), 08:33, 08/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >saslauthd -a ldap (я этот вариант с AD не тестировал, а Вы?);
    Должно работать.

    >Да, pam_krb5 можно использовать, а Вы пробовали?
    Если правильно настроить MIT-Kerberos V на взаимодействие с AD должно работать. Там есть только один минус. Увы он не работает в паре с nss_ldap.

     
  • 2.15, kex2k (??), 11:59, 03/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Так как все-таки настроить подключение к Exchange посредством saslauthd? Если не использовать pam_ldap откуда будет брать данные для подключения к EXchange'у saslauthd?
    Спасибо.
     

  • 1.13, 4tune (?), 20:23, 09/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >>saslauthd -a ldap (я этот вариант с AD не тестировал, а Вы?);
    >Должно работать.
    Более того, прекрасно работает.
     
  • 1.14, Аноним (5), 13:10, 18/04/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Всё это хорошо, но расскажите подробнее как именно настроить авторизацию пользователей(sendmail, postfix - неважно) например посредством saslauthd -a ldap
    где там какие % и фильтры в saslauthd.conf ставить - вообще непонятно.
    С настройкой pam_ldap парюсь с неделю уже ничего не выходит. использовал для этого fedora 2 с родными пакетами и sentos 4.0 и с установленным pam_ldap с сайта PADL ничего не выходит всё делаю как в вышеобозначенной статье. чего где ещё прописать? в логах всё время одно и тоже:
    saslauthd[...]:do_auth   :auth failure:[user=asd][service=smtp][realm=][mech=pam][reason=PAMauth error]
    я готов оставить это дело если бы кто рассказал как sasl заставить работать с AD через ldap
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру