Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédenteDernière révisionLes deux révisions suivantes | ||
mails:sasl:mta-serveur [2018/11/18 20:36] – [SASL pour l'accès au serveur MTA] cdrom1 | mails:sasl:mta-serveur [2018/11/26 14:58] – [Les binds LDAP] cdrom1 | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
====== SASL pour l' | ====== SASL pour l' | ||
- | Nous utilisons Postfix installé sous debian avec saslauthd (Cyrus). | + | Le MTA est postfix, ce service est accessible via le protocole SMTP. |
- | On n' | + | Certaines de ses fonctions comme la transmission de mails de l' |
+ | Cependant, d' | ||
+ | Il faut remarquer que la couche de sécurité qu'on va décrire dans cette page ne fait qu' | ||
+ | * On peut mettre en place des logs permettant de voir qui a utilisé quelle adresse | ||
+ | * Picasoft est une petite association donc on peut se faire confiance. | ||
+ | A titre indicatif, la même politique est en vigueur à l'UTC: une fois qu'on a utilisé son login pour se connecter au serveur SMTP, on peut demander à ce dernier d' | ||
+ | |||
+ | Cette couche de sécurité sera appelée SASL serveur, puisqu' | ||
+ | |||
+ | Nous utilisons Postfix installé sous debian avec la bibliothèque | ||
+ | |||
+ | Dans notre cas, on a connecté saslauthd au serveur LDAP de Picasoft. A la place de saslauthd, on aurait pu utiliser | ||
Ils ont tous des avantages respectifs: | Ils ont tous des avantages respectifs: | ||
* Une auth PAM permet de contrôler localement des utilisateurs, | * Une auth PAM permet de contrôler localement des utilisateurs, | ||
- | * Une auth IMAP permet de rendre l' | + | * Une auth IMAP permet de rendre l' |
* Une auth LDAP permet de contrôler finement qui a accès à quoi, cependant l' | * Une auth LDAP permet de contrôler finement qui a accès à quoi, cependant l' | ||
- | L' | ||
- | ===== Les fichiers de config ===== | ||
- | Le remplissage des fichiers de config est automatisé avec les dockerfiles, | ||
- | Sous debian, le fichier de config | + | Pour le moment, nous avons opté pour une auth LDAP, mais pour ne pas se fermer des portes ou faciliter le debug, nous avons également mis en place des auth PAM et IMAP qu'on peut tester avec sasl-test en spécifiant en argument le paramètre ldap, pam ou imap. |
+ | |||
+ | ===== Les fichiers de config de saslauthd ===== | ||
+ | Le remplissage des fichiers de config est automatisé avec les dockerfiles, | ||
+ | |||
+ | Sous debian, le fichier de config | ||
On indique dans le main de Postfix un lien vers ce fichier de config de Cyrus: | On indique dans le main de Postfix un lien vers ce fichier de config de Cyrus: | ||
Ligne 64: | Ligne 77: | ||
=== IMAP === | === IMAP === | ||
< | < | ||
- | MECHANISMS=" | + | MECHANISMS=" |
MECH_OPTIONS=" | MECH_OPTIONS=" | ||
</ | </ | ||
Ligne 70: | Ligne 83: | ||
saslauthd tentera de faire un AUTH IMAP standard, et dès qu'il a une réponse il se déconnecte. | saslauthd tentera de faire un AUTH IMAP standard, et dès qu'il a une réponse il se déconnecte. | ||
===== Les binds LDAP ===== | ===== Les binds LDAP ===== | ||
- | Si on choisit la solution LDAP, il faut configurer des binds au niveau du SASL serveur. | + | Si on choisit la solution LDAP, il faut configurer des binds au niveau du serveur. Ces binds sont préalables au challenge SASL: d' |
Cette configuration se fait dans / | Cette configuration se fait dans / | ||
< | < |