SASL pour l'accès au serveur MTA

Nous utilisons Postfix installé sous debian avec saslauthd (Cyrus). On n’utilise pas ldapdb parce que cette lib garde un cache des hashs de mot de passe, alors que Cyrus sait aussi valider l’authentification par un bind ldap, une auth pam, ou encore une auth IMAP sur le MDA. C’est cette dernière solution que nous allons adopter.

Le remplissage des fichiers de config est automatisé avec les dockerfiles, mais il peut être intéressant de les inspecter à la main. On détaille ici les paramètres importants pour Cyrus.

Sous debian, le fichier de config Cyrus pour postfix est dans

/etc/postfix/sasl/smtpd.conf

On indique dans le main de Postfix un lien vers ce fichier de config de Cyrus:

#/etc/postfix/main.cf:
smtpd_sasl_path = smtpd

Il est important que smtpd porte le même nom que le fichier de config Cyrus (sans le .conf).

Ce démon crée un socket UNIX et attend qu’on lui demande de valider des authentifications. La config par défaut de saslauthd veut que ce démon soit dans :

/var/run/saslauthd

Cependant, Postfix est chrooted pour des raisons de sécurité (il n’a accès qu’à une partie de l’arborescence du système de fichiers). Par conséquent, il ne peut accéder à /var/run. Debian recommande de créer des processus saslauthd séparés et spécifiques (nous en créons donc un pour postfix). Pour plus de détails, voir cette page du wiki Debian. Il y a certaines manips à réaliser pour que Postfix puisse accéder au socket de saslauthd, notamment mettre l’utilisateur postfix dans le groupe sasl. Le socket de saslauthd-post sera finalement dans

/var/spool/postfix/var/run/saslauthd

, à l’intérieur du répertoire de travail de Postfix.

Pour donner à Postfix l’ordre de contacter saslauthd en tant que démon de vérification de mot de passe, on modifie smtpd.conf (sous debian, dans /etc/postfix/sasl/smtpd.conf, à créer sur une install fraîche):

pwcheck_method: saslauthd
mech_list: PLAIN LOGIN

. On voit que le login est transmis en PLAIN, c’est dû au protocole SMTP. Il faut rajouter une couche de chiffrement pour que ce soit sécurisé. Sur une prod, il faut interdire l’auth PLAIN sur du SMTP non sécurisé. (En revanche, une connexion sans authentification peut se faire en SMTP non sécurisé (typiquement pour de la réception de mails du reste du monde)).

On crée un processus saslauthd spécifique qui ne sera accessible qu’à Postfix. Pour cela, on copie le processus par défaut et on l’édite:

~# cp /etc/default/saslauthd /etc/default/saslauthd-postfix

START=yes
DESC="SASL Auth. Daemon for Postfix"
NAME="saslauthd-postf"      # max. 15 char.
# Option -m sets working dir for saslauthd (contains socket)
OPTIONS="-c -m /var/spool/postfix/var/run/saslauthd"        # postfix/smtp in chroot()

(repris du Wiki debian). Il faut faire d’autres modifications en fonction de la source d’information qui permettra de valider les logins entrés. On va couvrir 3 cas: PAM (framework d’authentification sous UNIX), LDAP (service d’annuaire en TCP), IMAP (service de boîte mail en TCP).

Rien de plus simple, la config par défaut de saslauthd sous debian le fait. Il suffit d’un:

MECHANISMS="pam"

Éventuellement, on peut créer un fragment PAM, qui portera le nom de smtp. Ceci est hors sujet, voir la doc de PAM.

MECHANISMS="ldap"

Il faut également modifier /etc/saslauthd.conf (à créer sur une install fraîche):

ldap_servers: <ldap uri>
ldap_search_base: <search base>
ldap_filter: <filter>
etc...

Pour la configuration du bind LDAP, voir plus bas.

(Cette section est actuellement incomplète) Si on choisit la solution LDAP, il faut configurer des binds au niveau du SASL serveur. Cette configuration se fait dans /etc/saslauthd.conf:

ldap_servers: ldap://hôte:port, ldap://hôte:port
ldap_search_base: <search base>
ldap_filter: <filter>
ldap_use_sasl: yes

La doc de ce fichier de config se trouve dans /usr/share/doc/cyrus-sasl2-doc/LDAPSASLAUTHD.gz (sous debian, installer le paquet cyrus-sasl2-doc). Il est important de préciser ldapuse_sasl, cela précise que le programme qui valide les hash se trouve sur le serveur LDAP et non sur la machine locale.