Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédenteDernière révisionLes deux révisions suivantes | ||
mails:sasl:mta-serveur [2018/11/18 20:29] – cdrom1 | mails:sasl:mta-serveur [2018/11/26 14:58] – [Les binds LDAP] cdrom1 | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
====== SASL pour l' | ====== SASL pour l' | ||
- | Nous utilisons Postfix installé sous debian avec saslauthd (Cyrus). | + | Le MTA est postfix, ce service est accessible via le protocole SMTP. |
- | On n'utilise | + | Certaines de ses fonctions comme la transmission de mails de l'extérieur vers un destinataire@picasoft.net sont publiquement accessibles. |
+ | Cependant, d' | ||
+ | Il faut remarquer que la couche | ||
+ | * On peut mettre en place des logs permettant de voir qui a utilisé quelle adresse | ||
+ | * Picasoft est une petite association donc on peut se faire confiance. | ||
+ | A titre indicatif, la même politique est en vigueur à l' | ||
- | ===== Les fichiers | + | Cette couche |
- | Le remplissage des fichiers de config est automatisé avec les dockerfiles, mais il peut être intéressant | + | |
- | Sous debian, le fichier de config | + | Nous utilisons Postfix installé sous debian avec la bibliothèque saslauthd (Cyrus). A chaque fois qu'un démon postfix (smtp pour nous) a besoin de vérifier un couple (login;mot de passe), il utilise un socket pour les cpmmuniquer à un démon saslauthd. Ce démon effectue un certain nombre d' |
+ | |||
+ | Dans notre cas, on a connecté saslauthd au serveur LDAP de Picasoft. A la place de saslauthd, on aurait pu utiliser ldapdb, mais cette bibliothèque garde un cache des hashs de mot de passe, ce qui est contraire à la politique de sécurité en vigueur. D' | ||
+ | |||
+ | Ils ont tous des avantages respectifs: | ||
+ | * Une auth PAM permet de contrôler localement des utilisateurs, | ||
+ | * Une auth IMAP permet de rendre l' | ||
+ | * Une auth LDAP permet de contrôler finement qui a accès à quoi, cependant l' | ||
+ | |||
+ | Pour le moment, nous avons opté pour une auth LDAP, mais pour ne pas se fermer des portes ou faciliter le debug, nous avons également mis en place des auth PAM et IMAP qu'on peut tester avec sasl-test en spécifiant en argument le paramètre ldap, pam ou imap. | ||
+ | |||
+ | ===== Les fichiers de config de saslauthd ===== | ||
+ | Le remplissage des fichiers de config est automatisé avec les dockerfiles, | ||
+ | |||
+ | Sous debian, le fichier de config | ||
On indique dans le main de Postfix un lien vers ce fichier de config de Cyrus: | On indique dans le main de Postfix un lien vers ce fichier de config de Cyrus: | ||
Ligne 59: | Ligne 77: | ||
=== IMAP === | === IMAP === | ||
< | < | ||
- | MECHANISMS=" | + | MECHANISMS=" |
MECH_OPTIONS=" | MECH_OPTIONS=" | ||
</ | </ | ||
Ligne 65: | Ligne 83: | ||
saslauthd tentera de faire un AUTH IMAP standard, et dès qu'il a une réponse il se déconnecte. | saslauthd tentera de faire un AUTH IMAP standard, et dès qu'il a une réponse il se déconnecte. | ||
===== Les binds LDAP ===== | ===== Les binds LDAP ===== | ||
- | Si on choisit la solution LDAP, il faut configurer des binds au niveau du SASL serveur. | + | Si on choisit la solution LDAP, il faut configurer des binds au niveau du serveur. Ces binds sont préalables au challenge SASL: d' |
Cette configuration se fait dans / | Cette configuration se fait dans / | ||
< | < |