[Postfixbuch-users] Passwörter verschlüsselt speichern

[Andreas Winkelmann]

On Wednesday 20 December 2006 19:08, Marcel Hartmann wrote:

> > > Hat jemand einen Link für mich?
> >
> > 1. saslauthd mit PAM als Methode starten
> > 2. in PAM den smtp-Dienst /etc/pam.d/smtp so konfigurieren, dass er
> > über
> >    pam_mysql auf die DB zugreift.
> > 3. Passwörter verschlüsselt abspeichern
> >
> > Alternativ:
> >
> > 1. FROST-patch auf SASL anwenden
> > 2. SASL neu bauen
> > 3. Passwörter verschlüsselt abspeichern
> > 4. CRAM-MD5 und DIGEST-MD5 aus mech_list in smtpd.conf entfernen
> > 5. weiterhin auxprop: sql benutzen.
>
> Welches sind denn die grundsätzlichen Vor- und Nachteile von auxprob: sql
> und saslauthd? Meines Wissens kann das auxprob: sql auch Cram-md5 und
> Digest-md5
> Verschlüsselung. Was mich interessieren würde. Derzeit nutze ich plain
> login mit
> TLS/SSL connects. Alles andere kann man ja im selben Netz schnell weg
> sniffen.
>
> Derzeit nutze ich aber noch den saslauthd mit MySQL Unterstützung im
> caching mode.

Die groben Unterschiede:

sql-Auxprop:
- Kann shared-secret Mechanismen (cram-md5, digest-md5, ntlm).
- Passwörter werden im Klartext gespeichert.
- Relativ kurzer Weg zum SQL-Server.
- Kein zusätzlicher Daemon
- Alles geschieht im Adressraum und mit den Berechtigungen der Applikation 
(root-recht für Zugriff auf shadow.).

saslauthd:
- Kann keine Shared-Secret Mechanismen.
- Passwörter können verschlüsselt gespeichert werden.
- Relativ langer Weg (App->SASL-Lib->saslauthd->pam->pam_mysql->mysql)
- Zusätzlicher Daemon
- Die Applikation kann weniger Rechte wie saslauthd haben (root-recht für 
Zugriff auf shadow.) 
- Eigener Adressraum für gewisse Teile (Speicherlecks bei pam-Modulen 
behindern nicht die Applikation).
 
Was jetzt Vorteile oder Nachteile sind, musst Du selber zuordnen.

BTW, auxprop nicht auxprob

--
Andreas Winkelmann