[Postfixbuch-users] Authentifizierung mit LDAP [auf Viren überprüft]

Andreas Winkelmann ml at awinkelmann.de
Sa Feb 5 09:23:00 CET 2005 

Am Dienstag, 1. Februar 2005 17:29 schrieb Hans Moser:

> Ich möchte möglichst alle Authentifizierungsdaten für ein Mailsystem
> (Postfix + Cyrus IMAPd) im LDAP ablegen. Dabei sollen Klartextpassworte
> nicht "sniff"bar übers Netz gehen. Mailserver und LDAP-Server sind
> getrennte Maschinen.
>
> 1.
> Wenn Postfix z.B. die virtual-tab per LDAP realisieren soll, kann nur
> "protected bind" (simple bind + TLS) verwendet werden und kein strong
> bind. Richtig?

Yep.

> 2.
> Wenn Postfix SMTP-Auth machen soll, steht lediglich SASLAuthd zur Wahl.
> SASLAuthd kann wiederum LDAP verwenden. Dann authentifiziert sich aber
> der SASLAuthd beim LDAP. Dieser kann sowohl protected bind als auch
> strong bind mit Zertifikaten.

a.) es gibt noch ldapdb (Ein Plugin von Howard Chu (OpenLDAP)) welches sich 
allerdings nicht im cyrus-sasl-Paket, sondern im OpenLDAP-Paket befindet.
Da es ein auxprop-plugin ist, lassen sich damit auch Shared-Secret Mechanismen 
(cra-md5 und digest-md5) (Client <-> Postfix) benutzen.

b.) saslauthd kann auch strong bind zum ldap-server, ob mit Zertifikaten 
(EXTERNAL) habe ich noch nie ausprobiert.

> [Was bedeutet hier >>ldap_mech: Specify the authentication mechanism for
> SASL bind.<<? Bezieht sich das auf den ursprünglichen SMTP-Auth oder den
> SASLAuthd-Bind?]

Damit ist der Kontakt zwichen saslauthd und ldap-server gemeint.

> https://bugzilla.andrew.cmu.edu/cgi-bin/cvsweb.cgi/~checkout~/src/sasl/sasl
>authd/LDAP_SASLAUTHD?rev=1.11&content-type=text/plain SASLAuthd vergleicht
> dann die Passwortdaten von SMTP-Auth und denen im LDAP oder führt er sein
> Bind mit den SMTP-Auth-Daten durch?

Das hängt davon ab, was Du als ldap_auth_method gewählt hast.

> 3.
> Cyrus IMAPd kann auch TLS. Die Authentifizierung wird über SASL
> vorgenommen. Damit bin ich wieder bei dem für SMTP-Auth beschriebenen
> Verfahren und Fragen. wobei SASL mehr ist als SASLAuthd. Gibt es noch
> andere SASL-Mech., die letztendlich auf LDAP zurückgreifen?

ldapdb (s.o.)

> Wenn meine Annahmen richtig sind, binden sich IMAP- und Postfix-User nie
> direkt an den LDAP, sondern immer nur über SASLAuthd. (mal von Postfix
> selbst unter 1. abgesehen) Protected bind ist möglich und Zertifiktas
> basierende Authentifizierung des SASLAuthd auch.

Wenn Du mit "protected bind" (simple-bind + ssl) meinst, ist mit dem saslauthd 
auch strong-bind (ldap-v3) möglich.

Das mit den Zertifikaten habe ich noch nie ausprobiert.

> Im LDAP müssen die Userpassworte so abgelegt werden, dass der SASLAuthd
> sie prüfen kann.

Das hängt davon ab, was Du als ldap_auth_method gewählt hast.

-- 
	Andreas

Mehr Informationen über die Mailingliste Postfixbuch-users