作者 主題: 想請問關於POSTFIX使用OPENLDAP做認證  (閱讀 16852 次)

0 會員 與 1 訪客 正在閱讀本文。

天線

  • 榮譽博士
  • 憂鬱的高中生
  • ***
  • 文章數: 155
    • 檢視個人資料
想請問關於POSTFIX使用OPENLDAP做認證
« 於: 2002-07-24 17:20 »
如題<小弟想將公司的帳號管理全部移到OPENLDAP

目前在一個虛擬的環境作測試,想要將一些需要認證的SERVICES都統一使用OPENLDAP來做
目前完成了內部HTTP和SQUID和SAMBA都使用OPENLDAP作認證

但是現在遇到POSTFIX,
postfix原本使用SASL+SASLDB,現在卻不知道要如何使用OPENLDAP來做認證
我找了MAILLIST,只看到用SASL+pam,但是沒有找到做法,


請有知道做法的前輩指導一下,或是告訴我哪裡有文章SASL+LDAP可以參考

萬分感謝

huckly

  • 區域板主
  • 俺是博士!
  • *****
  • 文章數: 3420
    • 檢視個人資料
    • http://blog.huckly.net
re: 想請問關於POSTFIX使用OPENLDAP做認證
« 回覆 #1 於: 2002-07-24 17:34 »
挖 好棒喔  我也打算這樣做
不過我的順序會跟你不一樣
我就是要先作 postfix+ladp

不知 你之前 http 跟 samba 如何做到
能不能 分享給大家
這樣我作的時候 也許就輕鬆多了
IT doesn't matter

duncanlo

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 7311
    • 檢視個人資料
re: 想請問關於POSTFIX使用OPENLDAP做認證
« 回覆 #2 於: 2002-07-24 19:32 »
:P

合起來剛好全部都作好了!

天線

  • 榮譽博士
  • 憂鬱的高中生
  • ***
  • 文章數: 155
    • 檢視個人資料
re: 想請問關於POSTFIX使用OPENLDAP做認證
« 回覆 #3 於: 2002-08-01 20:09 »
引述: "huckly"
挖 好棒喔  我也打算這樣做
不過我的順序會跟你不一樣
我就是要先作 postfix+ladp

不知 你之前 http 跟 samba 如何做到
能不能 分享給大家
這樣我作的時候 也許就輕鬆多了


分享沒問題,不過等我把這個case搞定先
我大部分都是參考howto的


postfix現在我還是搞不定,所以跳過它
user建議要webmail,所以找了openwebmail,還好它有支援ldap
openwebmail設定用openldap作認證蠻簡單,

可是現在問題來了,認證後居然說無法建立user個人目錄
對openwebmail真的是不熟,請前輩給點指導
還有前輩有搞定postfix用openldap作認證嗎????
可以指導一下嗎????

真是痛苦ㄚ,,,,

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5384
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
re: 想請問關於POSTFIX使用OPENLDAP做認證
« 回覆 #4 於: 2002-08-01 21:41 »
引述: "天線"

postfix現在我還是搞不定,所以跳過它
user建議要webmail,所以找了openwebmail,還好它有支援ldap
openwebmail設定用openldap作認證蠻簡單,

可是現在問題來了,認證後居然說無法建立user個人目錄
對openwebmail真的是不熟,請前輩給點指導
還有前輩有搞定postfix用openldap作認證嗎????
可以指導一下嗎????

真是痛苦ㄚ,,,,


你可以試試 Courier Mail Server
http://sourceforge.net/projects/courier/

這個 SMTP + POP3 + IMAP4 + WebMail 的 server 有支援 ldap.
裝起來很簡單.... 而且所有的協定都可以支援 SSL.

天線

  • 榮譽博士
  • 憂鬱的高中生
  • ***
  • 文章數: 155
    • 檢視個人資料
re: 想請問關於POSTFIX使用OPENLDAP做認證
« 回覆 #5 於: 2002-08-02 17:00 »
可以試試 Courier Mail Server
http://sourceforge.net/projects/courier/

這個 SMTP + POP3 + IMAP4 + WebMail 的 server 有支援 ldap.
裝起來很簡單.... 而且所有的協定都可以支援 SSL.[/quote]


謝謝前輩,不過陣前換將兵家大忌<<<開玩笑的

只是POSTFIX和CYRUS IMAP都花很多時間去了解
現在又重新換一套的話,不知何年才可以完工

感嘆<<難怪OPENLDAP認證的中文文件這麼少
真是很難搞
有些都需要PATCH才能搞定<像POSTFIX+SASL就需要SASL加上PATCH
SAMBA更殘忍,帳號這麼多,轉到OPENLDAP都轉不成功

真的好想哭

huckly

  • 區域板主
  • 俺是博士!
  • *****
  • 文章數: 3420
    • 檢視個人資料
    • http://blog.huckly.net
re: 想請問關於POSTFIX使用OPENLDAP做認證
« 回覆 #6 於: 2002-08-02 17:10 »
那你的意思只 我先作 ldap 再整合到 samba 會比較輕鬆嗎
所以我先 作 postfix+ldap 不會影像 samba 部分

我想 寫path檔 是不可避免的痛
尤其是 我們client 端 都是 windows 平台
想要輕鬆管理 他們 是必要寫一堆 script

 :cry:  :cry:  :cry:
IT doesn't matter

天線

  • 榮譽博士
  • 憂鬱的高中生
  • ***
  • 文章數: 155
    • 檢視個人資料
re: 想請問關於POSTFIX使用OPENLDAP做認證
« 回覆 #7 於: 2002-08-02 18:29 »
引述: "huckly"
那你的意思只 我先作 ldap 再整合到 samba 會比較輕鬆嗎
所以我先 作 postfix+ldap 不會影像 samba 部分

我想 寫path檔 是不可避免的痛
尤其是 我們client 端 都是 windows 平台
想要輕鬆管理 他們 是必要寫一堆 script

 :cry:  :cry:  :cry:


前輩
您還沒開始動手作嗎

我不太懂你的意思------->>>先作 ldap 再整合到 samba 會比較輕鬆嗎
POSTFIX+SASL需要PATCH是因為SASL的認證方法沒有LDAP
所以需要PATCH,才能用LDAP
或是經過PAM在到LDAP

SAMBA是因為輸入一個USER到LDAP比較簡單
但是要把NT上的所有USER轉成LDIF就很痛苦
SAMBA附帶的轉移工具很讓人想罵髒話

真想放棄算了

duncanlo

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 7311
    • 檢視個人資料
re: 想請問關於POSTFIX使用OPENLDAP做認證
« 回覆 #8 於: 2002-08-02 22:01 »
我也想玩!

用FreeBSD的可不可以?

ericshei

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 2257
    • 檢視個人資料
re: 想請問關於POSTFIX使用OPENLDAP做認證
« 回覆 #9 於: 2002-08-06 11:15 »
哇~~超級非常希望各位大大能夠希望實作成功,造褔我們這些功力不深,可憐的mis,如果成功,這對我們是一大福音呢?

哈克

  • 可愛的小學生
  • *
  • 文章數: 18
    • 檢視個人資料
re: 想請問關於POSTFIX使用OPENLDAP做認證
« 回覆 #10 於: 2002-10-15 16:14 »
不知是誰的簽名檔是這麼寫的
世界上最遠的文章就是在我機器裡面我卻不知道

現在正在做 postfix + openldap

把 postfix.org 網站 看完也只有在
HA mail system tutorial

但這篇文章太過進階 常看到一半 不知其所以然

又尋尋覓覓
最後找到了  就再
/etc/postfix/README_FILES/LDAP_README

果然是隨機附贈文件
他對再 /postfix/mail.cf 中 如何設定參數 解釋非常清楚
看完後 對 HA mail system tutorial 中部分解釋 就緩然大悟

如果覺得不滿意 鄧肯兄 還提供一份  howto
其中第六章 針對 目前常用的 Mail Transfer Agents 解說如何整合
包含 Sendmail postfix 以及 Qmail 不過 使用 Qmail 的網友對這篇文章不用注意
因為作者說 他沒用過 Qmail

LDAP Implementation HOWTO

如果還不夠 還有一份 HowTO
天線兄 這份 HOWTO 可能對你就不錯用
www.crt.realtors.org/projects/ email-redir/mailserver.pdf ">Virtual Mailserver HOWTO

至於我呢 正做到一半 如果成功 再跟各位報告

duncanlo

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 7311
    • 檢視個人資料
re: 想請問關於POSTFIX使用OPENLDAP做認證
« 回覆 #11 於: 2002-10-15 16:52 »
http://k12linux.mesd.k12.or.us/ldap/postfix.html

資料很多,不怕你找...

LDAP的Schema搞定後,
後面的就容易多了,
Auth部份...
注意一下posixAccount和posixGroup兩個objectClass!

我是用FreeBSD在試,
目前已知在FreeBSD上,
用LDAP作系統認證可能會有問題.

天線

  • 榮譽博士
  • 憂鬱的高中生
  • ***
  • 文章數: 155
    • 檢視個人資料
re: 想請問關於POSTFIX使用OPENLDAP做認證
« 回覆 #12 於: 2002-10-15 17:49 »
兩前輩這麼久的文章還挖出來糗我,
那兩句話是我做完這個case所有的心得,
是用來警惕自己別亂發問,
,讓哈克兄見笑了

基本上我想要的功能大都完成了

兩位前備所提到的howto我都看過了,postfix+ldap的relay認證的重點應該在sasl
而不在POSTFIX本身
但是如果ldap也須要做SAMBA-PDC的認證中心,我建議從SAMBA開使做會比教好

而我需要的是POSTFIX RELAY---->SASL----->LDAP
基本上也都完工運作,
別叫我寫心得,我有考律過要寫心得,可是真的不知該從那裡開使寫

duncanlo兄提到的posixAccount和posixGroup兩個objectClass
我的見解是:  這兩個是pam所要求的objectclass,如果認證的流程不經過pam那就
不一定要這兩個
例如 postfix---->cyrus-sasl----->openldap

如果是 postfix------>cyrus-sasl----->pam_ldap----->openldap
那麼就需要這兩個objectclass

..
..
..
###########以下是警惕天線自己的話,不是對別人說的########
##別讓howto說:                                                                      ##
##世上最遠的距離是,我就在你的電腦裡,你卻不知道我最能幫你            ##
########################################## #

哈克

  • 可愛的小學生
  • *
  • 文章數: 18
    • 檢視個人資料
re: 想請問關於POSTFIX使用OPENLDAP做認證
« 回覆 #13 於: 2002-10-15 18:03 »
不是糗你啦 也是警惕自己
你說 postfix------>cyrus-sasl----->pam_ldap----->openldap  
這是最好的狀況
也就是說
不管 是
samba---|
postfix----->pam_ldap----->openldap  
ftp-------|
......
是吧
只是
postfix 最好再加上 cyrus-sasl 再 PAM_ldap 之前是吧

能把施做步驟寫出來嗎

原本我再做 ldap 碰到一些瓶頸
也是看了天線兄在幾個月前 的文章 才突破

所以希望這次也藉助 天線兄得經驗 完成這次施做

再問一下 我看 postfix 文件 他並沒有說一定要加 cyrus-sasl
當然基於安全上問題 最好要是吧

天線

  • 榮譽博士
  • 憂鬱的高中生
  • ***
  • 文章數: 155
    • 檢視個人資料
re: 想請問關於POSTFIX使用OPENLDAP做認證
« 回覆 #14 於: 2002-10-15 22:14 »
我有做過transport那部份
那變成給POSTFIX一份可以RELAY的名單
並且用LDAP作為alaisesdb
而不問帳號密碼........(不曉得有沒有想錯)

可是我原本的環境postfix+cyrus-imap+cyrus-sasl
都是用SASL--->saslauthd---->shadow來做認證
那麼cyrus-imap我就不知該如何像postfix--transports那樣做
所以我用修改SASL的功能來支援LDAP
或是用SASL轉向PAM來達到墓地
#############################################
##我不曉的POSTFIX如果不加CYRUS-SASL,
##是不是還有別的方法可以直接透過PAM來做relay auth
#############################################

我以POSTFIX+LDAP這個做說明好了
原本CYRUS-SASL是不支援LDAP
cyrus-sasl-1.5.XX版有一個PATCH,可以讓SASL支援LDAP和MYSQL的認證
可以在這裡找到http://www.surf.org.uk/src/cyrussasl.html
也就是說 postfix--->sasl---->ldap
所有relay auth都交給sasl,在由sasl去跟ldap做check
詳系的設定可以看網站上的說明,設定好sasl的部份就可以和LDAP溝通了

而cyrus-sasl V2版則已經加入對LDAP和MYSQL的認證支援
另外還有ntlm,,otp,,opie,,srp....等等的認證支援



而我們現在假設我們需要的是
postfix-->sasl--->pam_ldap--->ldap

那麼POSTFIX+SASL和OPENLDAP的部分這裡不詳談
SASL的認證方式則選擇pam
postfix對pam沒有存取權
所以需要靠pwcheck或saslauthd

OPENLDAP的USER必須有posixAccount的OBJECTCLASS,


重點在PAM_LDAP的部份
以REDHAT來說pam_ldap是包在NSS_LDAP.X.X.rpm

而需要修改的設定檔有三個
/etc/nsswitch.conf
/etc/pam.d/smtp
/etc/ldap.conf
先修改/etc/nsswitch

passwd:     files nisplus nis
shadow:     files nisplus nis
group:      files nisplus nis
hosts:      files nisplus nis dns
            ||
            ||
            ||
           \  /
            \/
passwd:    files ldap
shadow:    files ldap
group:      files ldap
hosts:       files ldap dns
看完netman的NFS NIS這裡我就不用說明了

第二再修改/etc/pam.d/smtp
可以參考/usr/share/doc/nss_ldap/pam.d/pop來寫
或是直接COPY這個POP來用

第三則是/etc/ldap.conf
在REDHAT中
這是給PAM專用的和/etc/openldap/ldap.conf 不同
/etc/openldap/ldap.conf是給openldap-client用的像 ldapadd

而/etc/ldap.conf
這個是告訴pam_ldap如何和LDAP聯絡感情的
#host 127.0.0.1
#base dc=example,dc=com
#ldap_version 3
#binddn cn=proxyuser,dc=example,dc=com
#bindpw secret
#port 389
..................等等
針對自己狀況來做修改

大致是如此,有點草率,時間久了有點忘記
至於其他的SERVICES部份大致相同
有些都可以直接支援 LDAP 不需要再多一到PAM的手續
例如 squid ---> openldap 或是 apache ---> openldap
但是我個人覺得
這樣做變成 每一個要做 LDAP認證的SERVICES的設定檔都要有rootpw
才能跟LDAP溝通,ldap的rootpw分散在許多不同的設定檔不太好
<<<>>

而其他SERVICES有支援 PAM 卻沒有支援LDAP的也可以抽換PAM的模組來達到墓地
REDHAT就是把所有SERVICES_pam認證導向/etc/pam.d/system-auth
再抽換system-auth來做ldap認證

不曉的有沒有漏掉的,有問題在一起討論
 :D  :D

huckly

  • 區域板主
  • 俺是博士!
  • *****
  • 文章數: 3420
    • 檢視個人資料
    • http://blog.huckly.net
re: 想請問關於POSTFIX使用OPENLDAP做認證
« 回覆 #15 於: 2002-10-24 10:12 »
請教一下天線兄
你的做法是 postfix 透過 sasl 跟 openldap 要 posix 的帳號 所以 我在 LDAP 必須有 POSIX 的 schema 跟 data

但如果 我postfix 不透過 sasl 要

是否直接 在 ldap 中 設定 mail schema 就可以了嗎

本來想偷懶 不用 sasl
結果反而失敗 ................
IT doesn't matter

天線

  • 榮譽博士
  • 憂鬱的高中生
  • ***
  • 文章數: 155
    • 檢視個人資料
re: 想請問關於POSTFIX使用OPENLDAP做認證
« 回覆 #16 於: 2002-10-24 16:29 »
huckly前輩

你可真是超人ㄚ
一顆腦袋可以同一時間作那麼多事,而且又沒duncanlo兄那種
上班等下班
下班等睡覺
睡覺等妹妹

哈哈.....開玩笑的

回到正題
http://uni.x-si.org/hamail.txt這篇文章我有做過,只是不太明白這樣的做法和
給postfix一份RELAY名單有何不同,也不明白postfix如何比對密碼,只是照著作而不知所以然,而且也是問題一堆

postfix上面的ldap-readme第一段話
Postfix can use an LDAP directory as a source for any of its lookups:
aliases, virtual, canonical, etc.
沒有auth ㄋㄟ

我再找時間試試看你說的方法'''不透過sasl讓postfix去比對ldap上面的帳號密碼'''
剛剛看了一下sample-ldap.cf或許可行,不過想不透postfix是如何比對密碼

或許可以問問netman