Postfix LDAP alapokon - többféle kérdés

Linux-haladó

Sziasztok!

Egy olyan rendszert tervezünk, mely LDAP-ból vesz minden olyan adatot, amelyet lehetséges onnan venni.
Most konkrétan a levelezéssel vannak apró problémák. Volna pár kérdés:

- A jelenlegi rendszer úgy működik, hogy van egy jakab.gipsz@domain.hu formájú címed, melyre érkeznek a levelek. Ellenben te egy gjakab típusú userrel lépsz be. A levelezőszerver lekezeli mind a bejövp mind a kimenő levelek újracímzését. Odáig már eljutottam, hogy postfix alatt ez a virtual_alias_maps dolga lenne, de arról igen kevés információt találok, hogy egy ilyes LDAP bejegyzésnek hogyan is kellene kinéznie (mondjuk a postfixhez úgy amblokk alig van LDAP séma... :( ). Szeretném ha valaki jártasabb segítene megérteni a dolgok menetét, illetve ezt egyszerűen elmagarázó linkeket adna.

- A másik az SMTP auth beállítása úgy, hogy az szintén LDAP-ból, vagy ami jobb, PAM-vól történjék úgy, hogy az authentikált usereket a postfix bárhonnan engedje relayezni. Tehát akár egy 85-1298.catv.axelero.hu címről is.

- Tippek kellenének arra, hogy mennyire érdemes a teljes levelezést kizárólagosan SMTPS protokollal intézni. Van-e olyan tapasztalat, hogy pl. szerverek nem támogatják a dolgot, etc.

Elnézést, ha túl sokat kérdeztem, de ezek a kérdések felmerültek, és szeretnék a dolgokról pontos képet kapni.

Kérném az RTFM jellegű hozzászólásokat mellőzni, ha azok nem tartalmaznak konkrét linkeket az illető manual megfelelő részeire. Miközben várom a hozzászólásokat, én is keresem a megoldást/válaszokat.

A segítségeteket előre is köszönöm.

Hron György

  • 2994 megtekintés

( Frimen (nem ellenőrzött) | 2006. 11. 20., h – 08:00 )

- Tippek kellenének arra, hogy mennyire érdemes a teljes levelezést kizárólagosan SMTPS protokollal intézni.
- Van-e olyan tapasztalat, hogy pl. szerverek nem támogatják a dolgot, etc.

Gondolom TLS-re gondolsz..
.. ugye ha a szerver, fogad más szerverktől is levelet, akkor csak ezen nem müködhet. Amugy ez tisztan security+erőforrás kérdése, mert nem hiszem, hogy ne lenne olyan szerver ami nem támogatná.
Security: ugye az adat forgalom egy viszonylagos biztonságos modon zajlik..
Erőforrás: tapasztalat, ha van egy nagy hálózatod, sok felhasználóval.. akik nem igazán értenek semmihez, akkor
kétszer is meg kell gondolni, mert minden egyes cliens-t beallitani!:)
Én már ugy látom ezt, hogy jobb a sima smtp, hisz local domain-bol ha "kezedben" van a halozat talan nem fulelik a forgalmat.. viszont ha netrol akar valaki hozzaferni a leveleihez, akkor jobb egy web-es levelező https-el mukodtetve,
mivel akkor tenyleg mindenhonnan hozzafer a leveleihez es tud kuldeni. Igy nem kell smtp auth sem.. csak imap auth, amit ha couriert választasz elég könnyű ldaphoz kötni.

Fri

( Mik v | 2006. 11. 20., h – 08:31 )

"A levelezőszerver lekezeli mind a bejövp mind a kimenő levelek újracímzését."
Ez komoly? Nem értem a logikáját. A levelező kliensekben egyszer kell beállítani a nevet, utána megjegyzik. Webnélnél meg a felhasználó megjegyzi a saját címét... Nálunk 1000-nél is több mailcím van, érdekes lenne mindegyiknél külön usernevet, és külön mailcímet rendbentartani...
Szerk.: Vissza az egész! Ehhez nem kell semmi extra beállítás. LDAP-ban van gjakab usered, akinek ldapban van gipsz.jakab@akarmi.hu mailcíme. És ennyi. Elméleti szinten maradva, ezt Postfix simán lekezeli...
"A másik az SMTP auth beállítása úgy, hogy az szintén LDAP-ból, vagy ami jobb, PAM-vól történjék úgy, hogy az authentikált usereket a postfix bárhonnan engedje relayezni. Tehát akár egy 85-1298.catv.axelero.hu címről is."
Ha a restrictions valahogy így kezdődik:
permit_mynetworks,
permit_sasl_authenticated,
akor nem lehet gond.
"Tippek kellenének arra, hogy mennyire érdemes a teljes levelezést kizárólagosan SMTPS protokollal intézni. Van-e olyan tapasztalat, hogy pl. szerverek nem támogatják a dolgot, etc."
Felejtsd el. Pontosabban meg lehetne próbálni, de szerintem az smtp szerverek min. fele nincs felkészítve ilyen kapcsolatra. Arról nem is beszélve, hogy a bejövő leveleidnél ezt nem tudod megkövetelni. A küldő szerver küldi ahogy küldi és késsz. De smtps-t nem ismerem nagyon, javítsatok ki ha nem jól tudom.

Mik

( hrgy84 | 2006. 11. 20., h – 11:44 )

Nem is tudok mit szólni. Köszönöm a válaszokat.

A address rewritingről azért volna szó, mert a webes kliensbe nem lehet beállítani hogy jakab.gipsz@email.com címmel küldje, ő mindig csak gjakab@domain.com címmel óhajtja küdeni. Tudom-tudom, cseréljük le, de a téma le van zárva ezen a téren. Ne ajánlgassatok webes klienst, NEM érdekel.

Persze ha nem müxx az address rewriting, akkor gáz...

Az SMTPS csak ötlet volt.

Hát nevezetessen egy webes kliens a horde. Ebbe nem lehet per-user belőni hogy mit kinek hova, csak azt, hogy honnan authentikáljon. Azt mondjuk nem tom, hogy LDAP-ból fel tudná-e esetleg venni, de per-user címeket nem láttam konfigurálhatónak lenni benne... (Huhh... mindegy, reggel van, sry).

Szal nemtom mi legyen.

Nem akarlak megsérteni, de ha csak levelezésre kell,
akkor elég "sz*r" választás a Horde, mégpedig azért mert
van nála "kicsit" jobb is (technologiailag, kezelhetosegileg, stb.)..
arról nem is beszélve, hogy olyan amiben egy user-hez több email
cimet is megadhatsz, az auth-nak semmi koze az email cimhez.. a felhasznalo,
akár maga veheti fel a cimeket..
De, mivel NEM erdekel nem ajanlok inkabb egyet sem.

A masik.. az LDAP egy mostohagyerek a linuxban.. nagyon kevés szerver alkalmazas,
ami teljesen jol kezeli az ldap-ot, a tobbség el van cseszve itt ott és nem csak
kis projectek, hanem a nagyok is, mint pölö a samba.. (bar csak egy lekerdezes).
Postfix-el nem foglalkoztam meg, de ha nem is tudja amit akarsz hozza tudod hegeszteni,
vagy kerülő uton is meg tudod oldani.. mivel elég sok alkalmazással ezt is kell tenni, ha
mindent ldap-bol akarsz venni.

Fri

Mintha kissé eltűntem volna... hmm...
Panther leírása megoldja a postfix kérdést, ha a pcforumon lennénk, akkor megkapná az 50 pontot.

Frimen: A horde vszínűleg nem csak arra kell, hanem pl. CVS managgelésére is, meg fórumhoz se lenne rossz, ez csak egy funkciója lenne.
Amit az LDAP-ról irsz, kissé meglep, mert eddig én ezeket nem tapasztaltam. Mondjuk a courier-auth elszórakoztatott egy ideig, de a vége az lett, hogy rávettem: authentikáljon PAM-ból a PAM meg LDAP-ból és mindenki heppi.
Nyilván nem akarok full mindent LDAP-ba tenni, pl az /etc/services megússza a dolgot :). De ami authentikálással és userekkel kapcsolatos azt jó lenne 1 helyen tudni.
Arról nem beszélve, hogy a SQL a LDAP-nál is mostohább, pl. a Sambából most vették ki Gentoo alatt a mySQL supportot (tény & való: egy trágyadomb volt). Szal nem tom. Mivel az LDAP-ot meg erre találták ki, ezért esett a választásom erre.

Az address rewriting-hoz adalék: pl. a mail parancssal küldött levelek is érdekes domainnel mennek el néha, mivel a belső domain természetesen nem egyezik a külsővel. Tehát a belső pl. enkicsicegem.local mig a külső ceg.hu Na most ebből az enkicsicegem.local nem létezik. Visszafele a aliasozás megoldja a gondot. De van egy tippem hogy a kifele menő levelek gondját is meg fogja oldani. Maj' kiderül.

( sherpa v | 2007. 05. 08., k – 18:31 )

A fórum témája megközelítőleg pászlik az én gondomhoz is :)

Egy couriert imap-ot szeretnék "integrálni" egy Novell Netware 6.5 eDir.-ba Valakinek van-e ezzel tapasztalata?
Ha pam-ot használok a hitelesítésre akkor nem tudja beléptetni a felhasználót a home könyvtárába mivel a homeDirectory bejegyzésem a NW. homejára mutat.
kimappe-eltem a linuxos home könyvtárát egy home bejegyzés alá, és beconfoltam a courier-ldap-ot.
Syslog: couriertcpd: authentication error: Input/output error
Semmi más.
Ötletek?
Előre is köszönöm!

Üdv!

A NW-t le kellene beszélni a homeDirectory lenyúlásáról. Elméletileg a wines klienseknek kinyomott homeDirectory érték nem onnanjön, hanem teljesen máshonnan.

Ha ez mégsem így van, akkor meg sémát kell bővítened a NW-n, illetőleg a libnss-ldap.conf fájlban át kell írni a homeDirectory-ra mutató attributumot a megfelelőre.

courier-ldap esetén hasonló a helyzet.

Auth: Erről bővebbet kellene tudni.

Kérünk log- és konfigrészleteket is. (alap syslog-ot feltételezve, kellene pl. néhány bejegyzés az auth.log végéről is).

Köszönöm a válaszod!

Az NW-t nem tudom, vagy legalább is még nem jöttem rá miként is tudnám a homeDirectory atribútum lebeszéléséről.
Éppen ezért átmapp-eltem a linux-os home atribútumot egy home nevű atr-nak. A courier-ldap conf-jában már átírtam ezen hivatkozásokat, sok már árt névvel együtt.
Ha azt mondom a couriernek, hogy authldap modult használjon akkor az auth-logban egy árva kanyi bejegyzás nem annyi nem kerül a syslog ba is csak ennyi:
May 9 06:08:47 postfix_vm couriertcpd: LOGIN FAILED, user=pityu, ip=[::ffff:127.0.0.1]
May 9 06:08:47 postfix_vm couriertcpd: authentication error: Input/output error

cat /etc/courier/authldaprc | grep ^[^#]
LDAP_URI ldap://10.5.1.121
LDAP_PROTOCOL_VERSION 3
LDAP_BASEDN o=ceg
LDAP_BINDDN cn=admin, ou=users, o=ceg
LDAP_BINDPW passwd
LDAP_TIMEOUT 5
LDAP_MAIL mail
LDAP_GLOB_UID vmail
LDAP_GLOB_GID vmail
LDAP_HOMEDIR home
LDAP_MAILDIR mailbox
LDAP_DEFAULTDELIVERY defaultDelivery
LDAP_FULLNAME fullName
LDAP_CRYPTPW userPassword
LDAP_UID uidNumber
LDAP_GID gidNumber
LDAP_DEREF never
LDAP_TLS 0

Köszi!