mails:sasl:mta-serveur

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision		 Révision précédente
mails:sasl:mta-serveur [2018/11/18 16:03] – [Le démon saslauthd] cdrom1mails:sasl:mta-serveur [2018/12/17 09:55] (Version actuelle) – supprimée cdrom1
Ligne 1: Ligne 1:
-l====== SASL pour l'accès au serveur MTA ====== 
-Nous utilisons Postfix installé sous debian avec saslauthd (Cyrus). 
-On n'utilise pas ldapdb parce que cette lib garde un cache des hashs de mot de passe, alors que Cyrus sait aussi valider l'authentification par un bind ldap, une auth pam, ou encore une auth IMAP sur le MDA. C'est cette dernière solution que nous allons adopter. 
  
-===== Les fichiers de config ===== 
-Le remplissage des fichiers de config est automatisé avec les dockerfiles, mais il peut être intéressant de les inspecter à la main. On détaille ici les paramètres importants pour Cyrus. 
- 
-Sous debian, le fichier de config Cyrus pour postfix est dans <code>/etc/postfix/sasl/smtpd.conf</code> 
- 
-On indique dans le main de Postfix un lien vers ce fichier de config de Cyrus: 
-<code> 
-#/etc/postfix/main.cf: 
-smtpd_sasl_path = smtpd 
-</code> 
-Il est important que smtpd porte le même nom que le fichier de config Cyrus (sans le .conf). 
- 
-===== Le démon saslauthd ===== 
-Ce démon crée un socket UNIX et attend qu'on lui demande de valider des authentifications. La config par défaut de saslauthd veut que ce démon soit dans : 
-<code>/var/run/saslauthd</code> 
-Cependant, Postfix est //chrooted// pour des raisons de sécurité (il n'a accès qu'à une partie de l'arborescence du système de fichiers). Par conséquent, il ne peut accéder à /var/run. 
-Debian recommande de créer des processus saslauthd séparés et spécifiques (nous en créons donc un pour postfix). Pour plus de détails, [[https://wiki.debian.org/PostfixAndSASL|voir cette page du wiki Debian]]. Il y a certaines manips à réaliser pour que Postfix puisse accéder au socket de saslauthd, notamment mettre l'utilisateur //postfix// dans le groupe //sasl//. 
-Le socket de saslauthd-post sera finalement dans <code>/var/spool/postfix/var/run/saslauthd</code>, à l'intérieur du répertoire de travail de Postfix. 
  • mails/sasl/mta-serveur.1542553436.txt.gz
  • (modification externe)