Postfix kliens oldali tls, sasl, pam-ldap Debian Woody-n mini-HOGYAN

A HupWiki-ből...

Tartalomjegyzék

Postfix kliens oldali tls, sasl, pam-ldap Debian Woody-n mini-HOGYAN

Készítette: Gyuris Szabolcs J. <szimszon a freemail pont hu -nál>
2004.01.13. Copyright: http://www.gnu.org/copyleft/gpl.html

Garancia

Ha bárkinek bármi problémája adódna az itt leírtakból kifolyólag, azért felelõsséget nem vállalok, mindenki csak saját felelõsségére használja fel az írást!

Előfeltételek

A leírás feltételez egy mûködõ postfix rendszert, mint alapot.

Telepítés

1. Telepíteni kell a postfix-tls -t, libsasl-modules-plain és a

  libsasl-digestmd5-plain csomagokat:

$apt-get install postfix-tls libsasl-modules-plain libsasl-digestmd5-plain

A Woody alap telepítéssel a /var/spool/postfix könyvtár alá zárja (jail) a levelezõ szervert.

2. Be kell másolni az smtp szerver által használt ssl tanusítványát kiállító Tanusítvány-hitelesítõ szervezet (CA) tanusítványát a /etc/postfix/certs könyvtárba és a /var/spool/postfix/etc/postfix/certs könyvtárba, például smtp_CA.pem néven.

A /var/spool... könyvtár alá a jail miatt kell betenni. Lehetséges, hogy a /etc... könyvtárba nem szükséges a meglétük.

Ezután le kell futtatni a

c_rehash /etc/postfix/certs

és a

c_rehash /var/spool/postfix/etc/postfix/certs

parancsot, hogy a postfix felismerje a tanusítványokat.

3. A /etc/postfix/main.cf file-ban a következõ soroknak kell szerepelnie:

    #sasl
    smtp_sasl_auth_enable = yes
    smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
    smtp_sasl_security_options = noanonymous
  
    # tls
    smtp_use_tls = yes
    smtp_tls_CApath = /etc/postfix/certs/
    smtp_tls_loglevel = 1
    smtp_tls_per_site = hash:/etc/postfix/tls_per_site
  A
    smtp_tls_peer_match = no
  alapbeállítás arra vonatkozólag, hogy a CommonName-nek az SSL tanusítványban
  meg kell-e egyezni a server teljes domain nevevel. no - nem kell
                                                    yes - szükséges
  A
    smtp_tls_note_starttls_offer = yes
  sorral összegyüjthetjük, azokat az smtp szervereket, amikkel tls
  módban is tudunk kommunikálni.

4. Létre kell hozni egy /etc/postfix/sasl_passwd file-t az alábbi tartalommal:

    szerver_nev		felhasználó:jelszó
  

Több sor lehet, a szerver névnek meg kell egyezni a relay_host értékével és,vagy a transport_maps táblában szereplõ szerverével, ahol sasl-al szeretnénk magunkat hitelesíteni.

Majd egy

$postmap /etc/postfix/sasl_passwd

parancs következik.

5. A következõ file, a /etc/postfix/tls_per_site:

    szerver_neve	MUST
  A MUST helyén állhat NONE - nincs TLS
                        MAY - próbálkozik a STARTTLS-sel, de ha nem 

támogatott, akkor anélkül mûködik MUST - mindenképpen megköveteli a TLS-t MUST_NOPEERMATCH - megköveteli a TLS-t, de nem veszi figyelembe a CommonName atribútumot a tanusítványban, így eltérhet a szerver teljes domain nevétõl. Majd egy

$postmap /etc/postfix/sasl_passwd

parancs következik.

6. A /etc/postfix/master.cf file-ba irjuk be a következõ sort:

    tlsmgr    fifo  -       -       y       300     1       tlsmgr

7. Újraindíthatjuk a postfix-et:

$/etc/init.d/postfix restart

Megjegyzés

További dokumentációk a témával kapcsolatban a postfix-tls csomagban és postfix-doc csomagban.

Ha valaki talál benne pontatlanságot, vagy kiegészíteni valót, szóljon és javítom.

Kapcsolódó oldalak

Postfix

Postfix szerver oldali tls, sasl, pam-ldap Debian Woody-n mini-HOGYAN

Személyes eszközök