[Postfixbuch-users] Authentifizierung mit LDAP [auf Viren überprüft]

[Hans Moser]

Hallo!

Ich möchte möglichst alle Authentifizierungsdaten für ein Mailsystem 
(Postfix + Cyrus IMAPd) im LDAP ablegen. Dabei sollen Klartextpassworte 
nicht "sniff"bar übers Netz gehen. Mailserver und LDAP-Server sind 
getrennte Maschinen.

1.
Wenn Postfix z.B. die virtual-tab per LDAP realisieren soll, kann nur 
"protected bind" (simple bind + TLS) verwendet werden und kein strong 
bind. Richtig?

2.
Wenn Postfix SMTP-Auth machen soll, steht lediglich SASLAuthd zur Wahl. 
SASLAuthd kann wiederum LDAP verwenden. Dann authentifiziert sich aber 
der SASLAuthd beim LDAP. Dieser kann sowohl protected bind als auch 
strong bind mit Zertifikaten.
[Was bedeutet hier >>ldap_mech: Specify the authentication mechanism for 
SASL bind.<<? Bezieht sich das auf den ursprünglichen SMTP-Auth oder den 
SASLAuthd-Bind?]
-> 
https://bugzilla.andrew.cmu.edu/cgi-bin/cvsweb.cgi/~checkout~/src/sasl/saslauthd/LDAP_SASLAUTHD?rev=1.11&content-type=text/plain
SASLAuthd vergleicht dann die Passwortdaten von SMTP-Auth und denen im 
LDAP oder führt er sein Bind mit den SMTP-Auth-Daten durch?

3.
Cyrus IMAPd kann auch TLS. Die Authentifizierung wird über SASL 
vorgenommen. Damit bin ich wieder bei dem für SMTP-Auth beschriebenen 
Verfahren und Fragen. wobei SASL mehr ist als SASLAuthd. Gibt es noch 
andere SASL-Mech., die letztendlich auf LDAP zurückgreifen?


Wenn meine Annahmen richtig sind, binden sich IMAP- und Postfix-User nie 
direkt an den LDAP, sondern immer nur über SASLAuthd. (mal von Postfix 
selbst unter 1. abgesehen) Protected bind ist möglich und Zertifiktas 
basierende Authentifizierung des SASLAuthd auch.
Im LDAP müssen die Userpassworte so abgelegt werden, dass der SASLAuthd 
sie prüfen kann.


Schubst mich mal in die richtige Richtung! :-)


Hans