Postfix szerver oldali tls, sasl, pam-ldap Debian Woody-n mini-HOGYAN
A HupWiki-ből...
Tartalomjegyzék |
Postfix szerver oldali tls, sasl, pam-ldap Debian Woody-n mini-HOGYAN
Készítette: Gyuris Szabolcs J. <szimszon a freemail pont hu -nál>
2004.01.13. Copyright: http://www.gnu.org/copyleft/gpl.html
Garancia
Ha bárkinek bármi problémája adódna az itt leírtakból kifolyólag, azért felelõsséget nem vállalok, mindenki csak saját felelõsségére használja fel az írást!
Előfeltételek
A leírás feltételez egy mûködõ postfix rendszert, mint alapot.
Telepítés
1. Telepíteni kell a postfix-tls -t, libsasl-modules-plain csomagokat
$apt-get install postfix-tls libsasl-modules-plain
A Woody alap telepítéssel a /var/spool/postfix könyvtár alá
zárja (jail) a levelezõ szervert.
2. Át kell másolni a /lib/security könyvtár tartalmát a
/var/spool/postfix/lib/ könyvtár alá:
$cp -a /lib/security /var/spool/postfix/lib/
3. Létre kell hozni a /etc/postfix/sasl/smtpd.conf-ot a következõ tartalommal:
pwcheck_method: PAM
4. El kell készíteni egy mail.pem file-t amit a /etc/postfix könyvtárba
kell másolni. Ez ugyan olyan, mint amit az apache-ssl használ. Tartalmaz egy tanusítványt (certificate) és egy privát kulcsot (private key)
5. Át kell írni a /etc/postfix/master.cf:
# only used by postfix-tls
smtps inet n - n - - smtpd -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes
587 inet n - n - - smtpd -o smtpd_enforce_tls=yes -o smtpd_sasl_auth_enable=yes
A fenti két sor alapesetben megjegyzés, így csak a # jelet kell a sor elejérõl eltávolítani.
6, Hozzá kell írni a /etc/postfix/main.cf állományhoz az alábbi sorokat:
# ezzel engedjük meg a hitelesen azonosított ügyfeleknek a levél küldést
smtpd_recipient_restrictions = permit_sasl_authenticated,
permit_mynetworks, check_relay_domains
# sasl beléptetéshez szükséges
smtpd_tls_auth_only = yes
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain = $myhostname
# tls/ssl titkosított kapcsolathoz szükséges
smtpd_tls_cert_file = /etc/postfix/mail.pem
smtpd_tls_key_file = $smtp_tls_cert_file
smtpd_tls_loglevel = 1
smtpd_use_tls = yes
7. Készítsünk egy /var/spool/postfix/etc/pam.conf file-t (a jail miatt) a
következõ tartalommal:
smtp auth required pam_ldap.so
8. Valamint a /etc/pam.d/smtp file tartalmazza:
#%PAM-1.0
auth required pam_ldap.so config=/var/spool/postfix/etc/pam_ldap.conf
account required /lib/security/pam_ldap.so config=/var/spool/postfix/etc/pam_ldap.conf
password required /lib/security/pam_ldap.so config=/var/spool/postfix/etc/pam_ldap.conf
A config= -re a sorok végén akkor van szükség, ha más beállításokkal szeretném használni a pam-ot, pl. más adatbázisból szeretnék felhasználót azonosítani.
9. A /var/spool/postfix/etc/pam_ldap.conf fõbb sorai:
host ldap.adatbazis.host
base ldap base DN
ldap_version 3
scope sub
pam_login_attribute mail
pam_password crypt
A pam_login_attribute sor akkor kell, ha nem az alapértelmezett uid atribútumra keresek rá, a felhasználó azonosításakor, hanem jelen esetben a ,,mail atribútumra, így virtuális felhasználók az e-mail címüket használhatják felhasználói névként.
10. Újra kell indítani a postfix-et:
$/etc/init.d/postfix restart
Esetleg a tûzfalon a 25-ös port mellett, a 465-os portot is ki kell nyitni, az ssmtp szervíznek, ez nem minden kliens esetén kell.
Megjegyzés
További dokumentációk a témával kapcsolatban a postfix-tls csomagban és postfix-doc csomagban. Ha valaki talál benne pontatlanságot, vagy kiegészíteni valót, szóljon és javítom.
Kapcsolódó oldalak
Postfix kliens oldali tls, sasl, pam-ldap Debian Woody-n mini-HOGYAN
