Postfix szerver oldali tls, sasl, pam-ldap Debian Woody-n mini-HOGYAN

A HupWiki-ből...

Tartalomjegyzék

Postfix szerver oldali tls, sasl, pam-ldap Debian Woody-n mini-HOGYAN

Készítette: Gyuris Szabolcs J. <szimszon a freemail pont hu -nál>
2004.01.13. Copyright: http://www.gnu.org/copyleft/gpl.html

Garancia

Ha bárkinek bármi problémája adódna az itt leírtakból kifolyólag, azért felelõsséget nem vállalok, mindenki csak saját felelõsségére használja fel az írást!

Előfeltételek

A leírás feltételez egy mûködõ postfix rendszert, mint alapot.

Telepítés

1. Telepíteni kell a postfix-tls -t, libsasl-modules-plain csomagokat

$apt-get install postfix-tls libsasl-modules-plain

  A Woody alap telepítéssel a /var/spool/postfix könyvtár alá
  zárja (jail) a levelezõ szervert.
    

2. Át kell másolni a /lib/security könyvtár tartalmát a

  /var/spool/postfix/lib/ könyvtár alá:
    

$cp -a /lib/security /var/spool/postfix/lib/

3. Létre kell hozni a /etc/postfix/sasl/smtpd.conf-ot a következõ tartalommal:

    pwcheck_method: PAM
    

4. El kell készíteni egy mail.pem file-t amit a /etc/postfix könyvtárba

  kell másolni.
  Ez ugyan olyan, mint amit az apache-ssl használ. Tartalmaz egy tanusítványt
  (certificate) és egy privát kulcsot (private key)
  

5. Át kell írni a /etc/postfix/master.cf:

    # only used by postfix-tls 
    smtps    inet  n       -       n       -       -       smtpd -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes
    587      inet  n       -       n       -       -       smtpd -o smtpd_enforce_tls=yes -o smtpd_sasl_auth_enable=yes
  A fenti két sor alapesetben megjegyzés, így csak a # jelet kell a sor 
  elejérõl eltávolítani.
  

6, Hozzá kell írni a /etc/postfix/main.cf állományhoz az alábbi sorokat:

    # ezzel engedjük meg a hitelesen azonosított ügyfeleknek a levél küldést
    smtpd_recipient_restrictions = permit_sasl_authenticated,
    permit_mynetworks, check_relay_domains
    
    # sasl beléptetéshez szükséges
    smtpd_tls_auth_only = yes
    smtpd_sasl_auth_enable = yes
    smtpd_sasl_security_options = noanonymous
    smtpd_sasl_local_domain = $myhostname
    # tls/ssl titkosított kapcsolathoz szükséges
    smtpd_tls_cert_file = /etc/postfix/mail.pem
    smtpd_tls_key_file = $smtp_tls_cert_file
    smtpd_tls_loglevel = 1
    smtpd_use_tls = yes

7. Készítsünk egy /var/spool/postfix/etc/pam.conf file-t (a jail miatt) a

  következõ tartalommal:
    smtp    auth    required        pam_ldap.so

8. Valamint a /etc/pam.d/smtp file tartalmazza:

    #%PAM-1.0
    auth    required        pam_ldap.so config=/var/spool/postfix/etc/pam_ldap.conf 
    account   required    /lib/security/pam_ldap.so config=/var/spool/postfix/etc/pam_ldap.conf 
    password   required   /lib/security/pam_ldap.so config=/var/spool/postfix/etc/pam_ldap.conf 
  A config= -re a sorok végén akkor van szükség, ha más beállításokkal
  szeretném használni a pam-ot, pl. más adatbázisból szeretnék felhasználót 
  azonosítani.
  

9. A /var/spool/postfix/etc/pam_ldap.conf fõbb sorai:

    host ldap.adatbazis.host
    base ldap base DN
    ldap_version 3
    scope sub
    pam_login_attribute mail
    pam_password crypt
  A pam_login_attribute sor akkor kell, ha nem az alapértelmezett uid
  atribútumra keresek rá, a felhasználó azonosításakor, hanem jelen
  esetben a ,,mail atribútumra, így virtuális felhasználók az e-mail
  címüket használhatják felhasználói névként.

10. Újra kell indítani a postfix-et:

$/etc/init.d/postfix restart

Esetleg a tûzfalon a 25-ös port mellett, a 465-os portot is ki kell nyitni, az ssmtp szervíznek, ez nem minden kliens esetén kell.

Megjegyzés

További dokumentációk a témával kapcsolatban a postfix-tls csomagban és postfix-doc csomagban. Ha valaki talál benne pontatlanságot, vagy kiegészíteni valót, szóljon és javítom.

Kapcsolódó oldalak

Postfix

Postfix kliens oldali tls, sasl, pam-ldap Debian Woody-n mini-HOGYAN

Személyes eszközök