[Postfixbuch-users] smtpauth mit MySQL ohne saslauthd?

Patrick Ben Koetter p at state-of-mind.de
Sa Apr 18 20:52:57 CEST 2009


* Christian Schoepplein <postfixbuch-users at listen.jpberlin.de>:
> >Aber nicht den kleinsten gemeinsamen anteil an mechanismen vergessen.
> >saslauthd kann nur plain und login. Dies muss dann darauf eingeschränkt
> >werden:
> >
> >mech_list: plain login
> 
> Merci. Mir ist schon aufgefallen, dass plötzlich NTLM-Logins nicht mehr 
> funktionieren.
> 
> Gibt es wirklich keine Möglichkeit auch mit saslauthd NTLM usw. zu 
> realisieren? Ist es ein Nachteil NTLM, cram-md5 und digest-md5 nicht 

Es gibt gegenwärtig keine Möglichkeit auch mit saslauthd NTLM anzubieten.
saslauthd kann es schlichtweg nicht und wird es wohl auch nie können.

> mehr anzubieten, wenn TLS / SSL möglich ist?

Es ist dann kein Nachteil, wenn PLAIN/LOGIN genutzt wird und (!) die
Verbindung mit TLS verschlüsselt wird. Tatsächlich ist es sogar sicherer als
die ganzen Shared-Secret-Mechanismen, denn in diesem Fall ist die Verbindung
verschlüsselt und die Passwörter sind auch verschlüsselt abgelegt.

Bei Shared-Secret-Mechanismen werden die Daten verschlüsselt übertragen, aber
das Passwort plaintext abgelegt. Bei Plaintext-Mechanismen werden die Daten
unverschlüsselt gesendet, aber die Passwörter verschlüsselt abgelegt.

Egal wie Du es drehst, an einer Seite fehlt es. Wenn Du jetzt TLS mit
dazuwirfst, schützt es die unverschlüsselten Plaintext-Mechanismen - das ist
dann gut.


> >Es würde aber auch mit zwei verschiedenen smtpd listenern funktionieren,
> >wie der OP vorgeschlagen hat. In der master.cf einen zweiten smtpd
> >einrichten und als option smtpd_sasl_path=smtpd2 mitgeben. Dieser hätte
> >eine eigene "smtpd2.conf".
> 
> Danke auch dafür. Evtl. stell ich das so noch um.
> 
> Im Moment verwende ich nur saslauthd mit rimap auf allen 
> Postfixinstanzen, der IMAP Proxy (perdition) kennt alle 150.000 User 
> bzw. leitet an den entsprechenden Server weiter :).

Und die Datenverbindung von saslauthd zum IMAP-Server, ist die verschlüsselt?
Nur so zum Nachdenken. Am Ende gibst Du Dir riesig Mühe vorne wie wild alles
sicher zu machen und hinten sendest Du Benutzername und Kennwort im Klartext
durch das Netz...

Grüsse,

p at rick

-- 
state of mind
Agentur für Kommunikation, Design und Softwareentwicklung

http://www.state-of-mind.de

Franziskanerstraße 15      Telefon +49 89 3090 4664
81669 München              Telefax +49 89 3090 4666

Amtsgericht München        Partnerschaftsregister PR 563




Mehr Informationen über die Mailingliste Postfixbuch-users