Postfix kliens oldali tls, sasl, pam-ldap Debian Woody-n mini-HOGYAN
A HupWiki-ből...
Tartalomjegyzék |
Postfix kliens oldali tls, sasl, pam-ldap Debian Woody-n mini-HOGYAN
Készítette: Gyuris Szabolcs J. <szimszon a freemail pont hu -nál>
2004.01.13. Copyright: http://www.gnu.org/copyleft/gpl.html
Garancia
Ha bárkinek bármi problémája adódna az itt leírtakból kifolyólag, azért felelõsséget nem vállalok, mindenki csak saját felelõsségére használja fel az írást!
Előfeltételek
A leírás feltételez egy mûködõ postfix rendszert, mint alapot.
Telepítés
1. Telepíteni kell a postfix-tls -t, libsasl-modules-plain és a
libsasl-digestmd5-plain csomagokat:
$apt-get install postfix-tls libsasl-modules-plain libsasl-digestmd5-plain
A Woody alap telepítéssel a /var/spool/postfix könyvtár alá zárja (jail) a levelezõ szervert.
2. Be kell másolni az smtp szerver által használt ssl tanusítványát kiállító Tanusítvány-hitelesítõ szervezet (CA) tanusítványát a /etc/postfix/certs könyvtárba és a /var/spool/postfix/etc/postfix/certs könyvtárba, például smtp_CA.pem néven.
A /var/spool... könyvtár alá a jail miatt kell betenni. Lehetséges, hogy a /etc... könyvtárba nem szükséges a meglétük.
Ezután le kell futtatni a
c_rehash /etc/postfix/certs
és a
c_rehash /var/spool/postfix/etc/postfix/certs
parancsot, hogy a postfix felismerje a tanusítványokat.
3. A /etc/postfix/main.cf file-ban a következõ soroknak kell szerepelnie:
#sasl
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
# tls
smtp_use_tls = yes
smtp_tls_CApath = /etc/postfix/certs/
smtp_tls_loglevel = 1
smtp_tls_per_site = hash:/etc/postfix/tls_per_site
A
smtp_tls_peer_match = no
alapbeállítás arra vonatkozólag, hogy a CommonName-nek az SSL tanusítványban
meg kell-e egyezni a server teljes domain nevevel. no - nem kell
yes - szükséges
A
smtp_tls_note_starttls_offer = yes
sorral összegyüjthetjük, azokat az smtp szervereket, amikkel tls
módban is tudunk kommunikálni.
4. Létre kell hozni egy /etc/postfix/sasl_passwd file-t az alábbi tartalommal:
szerver_nev felhasználó:jelszó
Több sor lehet, a szerver névnek meg kell egyezni a relay_host értékével és,vagy a transport_maps táblában szereplõ szerverével, ahol sasl-al szeretnénk magunkat hitelesíteni.
Majd egy
$postmap /etc/postfix/sasl_passwd
parancs következik.
5. A következõ file, a /etc/postfix/tls_per_site:
szerver_neve MUST
A MUST helyén állhat NONE - nincs TLS
MAY - próbálkozik a STARTTLS-sel, de ha nem
támogatott, akkor anélkül mûködik MUST - mindenképpen megköveteli a TLS-t MUST_NOPEERMATCH - megköveteli a TLS-t, de nem veszi figyelembe a CommonName atribútumot a tanusítványban, így eltérhet a szerver teljes domain nevétõl. Majd egy
$postmap /etc/postfix/sasl_passwd
parancs következik.
6. A /etc/postfix/master.cf file-ba irjuk be a következõ sort:
tlsmgr fifo - - y 300 1 tlsmgr
7. Újraindíthatjuk a postfix-et:
$/etc/init.d/postfix restart
Megjegyzés
További dokumentációk a témával kapcsolatban a postfix-tls csomagban és postfix-doc csomagban.
Ha valaki talál benne pontatlanságot, vagy kiegészíteni valót, szóljon és javítom.
Kapcsolódó oldalak
Postfix szerver oldali tls, sasl, pam-ldap Debian Woody-n mini-HOGYAN
