Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
mails:sasl:mta-serveur [2018/11/18 21:01] – [Le processus saslauthd-postf] cdrom1 | mails:sasl:mta-serveur [2018/12/17 09:55] (Version actuelle) – supprimée cdrom1 | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | ====== SASL pour l' | ||
- | Nous utilisons Postfix installé sous debian avec saslauthd (Cyrus). | ||
- | On n' | ||
- | |||
- | Ils ont tous des avantages respectifs: | ||
- | * Une auth PAM permet de contrôler localement des utilisateurs, | ||
- | * Une auth IMAP permet de rendre l' | ||
- | * Une auth LDAP permet de contrôler finement qui a accès à quoi, cependant l' | ||
- | L' | ||
- | ===== Les fichiers de config ===== | ||
- | Le remplissage des fichiers de config est automatisé avec les dockerfiles, | ||
- | |||
- | Sous debian, le fichier de config Cyrus pour postfix est dans < | ||
- | |||
- | On indique dans le main de Postfix un lien vers ce fichier de config de Cyrus: | ||
- | < | ||
- | #/ | ||
- | smtpd_sasl_path = smtpd | ||
- | </ | ||
- | Il est important que smtpd porte le même nom que le fichier de config Cyrus (sans le .conf). | ||
- | |||
- | ===== Le démon saslauthd ===== | ||
- | Ce démon crée un socket UNIX et attend qu'on lui demande de valider des authentifications. La config par défaut de saslauthd veut que ce démon soit dans : | ||
- | < | ||
- | Cependant, Postfix est // | ||
- | Debian recommande de créer des processus saslauthd séparés et spécifiques (nous en créons donc un pour postfix). Pour plus de détails, [[https:// | ||
- | Le socket de saslauthd-post sera finalement dans < | ||
- | |||
- | Pour donner à Postfix l' | ||
- | < | ||
- | pwcheck_method: | ||
- | mech_list: PLAIN LOGIN | ||
- | </ | ||
- | On voit que le login est transmis en PLAIN, c'est dû au protocole SMTP. Il faut rajouter une couche de chiffrement pour que ce soit sécurisé. Sur une prod, il faut interdire l'auth PLAIN sur du SMTP non sécurisé. (En revanche, une connexion sans authentification peut se faire en SMTP non sécurisé (typiquement pour de la réception de mails du reste du monde)). | ||
- | ==== Le processus saslauthd-postf ==== | ||
- | On crée un processus saslauthd spécifique qui ne sera accessible qu'à Postfix. | ||
- | Pour cela, on copie le processus par défaut et on l' | ||
- | < | ||
- | < | ||
- | DESC=" | ||
- | NAME=" | ||
- | # Option -m sets working dir for saslauthd (contains socket) | ||
- | OPTIONS=" | ||
- | (repris du [[https:// | ||
- | Il faut faire d' | ||
- | === PAM === | ||
- | Rien de plus simple, la config par défaut de saslauthd sous debian le fait. Il suffit d'un: | ||
- | < | ||
- | MECHANISMS=" | ||
- | </ | ||
- | Éventuellement, | ||
- | === LDAP === | ||
- | < | ||
- | MECHANISMS=" | ||
- | </ | ||
- | Il faut également modifier / | ||
- | < | ||
- | ldap_servers: | ||
- | ldap_search_base: | ||
- | ldap_filter: | ||
- | etc... | ||
- | </ | ||
- | Pour la configuration du bind LDAP, voir plus bas. | ||
- | === IMAP === | ||
- | < | ||
- | MECHANISMS=" | ||
- | MECH_OPTIONS=" | ||
- | </ | ||
- | Le nom d' | ||
- | saslauthd tentera de faire un AUTH IMAP standard, et dès qu'il a une réponse il se déconnecte. | ||
- | ===== Les binds LDAP ===== | ||
- | Si on choisit la solution LDAP, il faut configurer des binds au niveau du SASL serveur. | ||
- | Cette configuration se fait dans / | ||
- | < | ||
- | ldap_servers: | ||
- | ldap_bind_dn: | ||
- | ldap_bind_pw: | ||
- | ldap_search_base: | ||
- | ldap_filter: | ||
- | </ | ||
- | * ldap_servers : On peut en mettre plusieurs, séparés par des virgules. Le SSL est supporté, il faut rajouter des paramètres pointant vers les certificats (voir la doc complète, la référence est ci-dessous). | ||
- | * ldap_bind_dn et ldap_bind_pw: | ||
- | * ldap_search_base: | ||
- | * ldap_filter: | ||
- | La doc de ce fichier de config se trouve dans / | ||