Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
- Forum Debian Users Gang
- » Sieci i serwery
- » Postfix uwierzytelnianie w obrębie własnej domeny
#1 2016-08-02 11:14:05
omiot - Użytkownik
- omiot
- Użytkownik
- Zarejestrowany: 2014-03-31
Postfix uwierzytelnianie w obrębie własnej domeny
Witam
Może ktoś z was ma pomysł jak włączyć autoryzację przy wysłaniu maili w takiej konfiguracji:
user1@mojadomena.pl --> user2@mojadomena.pl
W przypadku gdy wysyłam maila na zewnątrz użytkownik musi się uwierzytelnić, ale gdy wysyłam maile w takiej konfiguracji mogę wykonać dowolną kombinację (w obrębie mojejdomy) bez podawania loginu i hasła. Chciałbym uniknąć statycznego mapowania użytkowników.
Konfiguracja:
3.16.0-4-amd64 #1 SMP Debian 3.16.7-ckt25-2+deb8u3 (2016-07-02) x86_64 GNU/Linux
Postfix + amavis + sasl + spamassasin + clamav + postgrey - najnowsze wersje z repo.
Sasl jest spięty z AD za pomocą LDAP,
Serwer pełni rolę smarthosta przed MS Exchange.
Pozdrawiam
Paweł
Ostatnio edytowany przez omiot (2016-08-02 11:14:26)
Offline
#2 2016-08-02 14:38:23
SamozwańczyKrólBasha - Lemur
- SamozwańczyKrólBasha
- Lemur
- Skąd: Wrocław
- Zarejestrowany: 2016-02-24
Re: Postfix uwierzytelnianie w obrębie własnej domeny
Nie wiem czy dobrze zakumałem co chcesz zrobić.
Wydaje mi się, że potrzebujesz sasl-a spiętego za pomocą Kerberos GSS-API (np. MIT Kerberos). I chcesz mieć jakieś SSO.
Tutaj więcej:
http://www.padl.com/Products/KerberosAuthenticationPlu.html
https://access.redhat.com/documentation/en-US/Red_H … Kerberos.html
Nie wiem jak jest w Twoim przypadku ale zwykle w takiej architekturze heterogenicznej potrzebował będziesz jeszcze usera na kontrolerze domeny stworzenie SPN-ów czyli "service principial name" oraz wygenerowanie keytabów dla aplikacji która z kerberosem ma być zintegrowana. Oczywiście kerberos pod spodem gada z ldapem więc zaszycie gdzieś w configu connection string-ów dzięki którym kerberos znajdzie w lesie odpowiednie OU z userami też będzie konieczne.
Nie wiem czy właśnie tego chcesz jeśli tak to mam nadzieję, że choć przetarłem szlak :) Generalnie to nie są aż tak proste sprawy do zrobienia by userzy sami z siebie się poświadczali w domenie windowso-linuksowej. Jeśli o to chodzi to pisz na PW to postaram się ci pomoc to rozkminić. Jeśli nie, to wiedź, że cieszę się, że nie mogłem pomóc :)
Ostatnio edytowany przez SamozwańczyKrólBasha (2016-08-02 14:40:36)
A teraz wzbudzę w was poczucie niższości. Zresztą uzasadnione :)
Offline
#3 2016-08-02 15:01:53
omiot - Użytkownik
- omiot
- Użytkownik
- Zarejestrowany: 2014-03-31
Re: Postfix uwierzytelnianie w obrębie własnej domeny
Cześć dzięki za odpowiedź.
Trochę ciężko jest mi to wytłumaczyć.
SASL działa mi prawidłowo, tzn. gdy użytkownik chce wysłać do innej domeny może zrobić to dopiero po uwierzytelnieniu. Chodzi mi o sytuację, w której użytkownik wysyła do swojej domeny czyli np: prezes@mojadomena.pl do pracownik@mojadomena.pl. W tym momencie nie potrzebuje uwierzytelnienia i dodatkowo każdy może się podszyć pod prezesa.
Kolega podpiwiedział mi żeby wykorzystać check_sender_access tylko wymaga to zastosowania mysql i w sumie statycznego mapowania. Chciałbym aby wymagane dane pobierane były z Active Directory.
Pozdrawiam.
Offline
#4 2016-08-02 16:39:37
jurgensen - 
Użytkownik
- jurgensen
- Użytkownik
- Skąd: Wrocław
- Zarejestrowany: 2010-01-26
Re: Postfix uwierzytelnianie w obrębie własnej domeny
W check_sender_access możesz użyć dowolnej mapy, więc ja dałbym tu mapę LDAP
Offline
#5 2016-08-02 18:46:03
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Postfix uwierzytelnianie w obrębie własnej domeny
W ogóle nie trzeba LDAPa do tego angażować, wystarczy odpowiednia kolejność filtrów:
Kod:
smtpd_recipient_restrictions = permit_sasl_authenticated,
reject_unlisted_recipient,
check_recipient_access hash:/etc/postfix/recipient_acces
# check_helo_mx_access cidr:/etc/postfix/mx_access.cidr,
# check_sender_mx_access cidr:/etc/postfix/mx_access.cidr,
reject_non_fqdn_recipient,
reject_unknown_client_hostname,
reject_unknown_reverse_client_hostname,
reject_unknown_sender_domain,
reject_unknown_recipient_domain,
# reject_unverified_sender,
reject_invalid_helo_hostname,
reject_unauth_pipelining,
check_recipient_access hash:/etc/postfix/recipient_acces
reject_unauth_destination,
check_sender_access hash:/etc/postfix/sender_checks_my,
check_policy_service unix:private/spfperl,
check_policy_service unix:filtry/postgrey.sock,
# check_policy_service inet:127.0.0.1:10030,
# check_client_access regexp:/etc/postfix/check_client_fqdn,
permit,Pozdro
Ostatnio edytowany przez Jacekalex (2016-08-02 18:46:29)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#6 2016-08-02 19:31:38
omiot - Użytkownik
- omiot
- Użytkownik
- Zarejestrowany: 2014-03-31
Re: Postfix uwierzytelnianie w obrębie własnej domeny
Stosujesz dwie mapy
check_recipient_access hash:/etc/postfix/recipient_acces
check_sender_access hash:/etc/postfix/sender_checks_my
Możesz przesłać składnie. Według mnie to one będą ograniczały kto może wysyłać i z jakiego adresu. Chyba, że się mylę.
Pozdrawiam.
Offline
Strony: 1
- Forum Debian Users Gang
- » Sieci i serwery
- » Postfix uwierzytelnianie w obrębie własnej domeny