Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2016-08-02 11:14:05

  omiot - Użytkownik

omiot
Użytkownik
Zarejestrowany: 2014-03-31

Postfix uwierzytelnianie w obrębie własnej domeny

Witam

Może ktoś z was ma pomysł jak włączyć autoryzację przy wysłaniu maili w takiej konfiguracji:
user1@mojadomena.pl --> user2@mojadomena.pl

W przypadku gdy wysyłam maila na zewnątrz użytkownik musi się uwierzytelnić, ale gdy wysyłam maile w takiej konfiguracji mogę wykonać dowolną kombinację (w obrębie mojejdomy) bez podawania loginu i hasła. Chciałbym uniknąć statycznego mapowania użytkowników.

Konfiguracja:
3.16.0-4-amd64 #1 SMP Debian 3.16.7-ckt25-2+deb8u3 (2016-07-02) x86_64 GNU/Linux
Postfix + amavis + sasl + spamassasin + clamav + postgrey - najnowsze wersje z repo.

Sasl jest spięty z AD za pomocą LDAP,

Serwer pełni rolę smarthosta przed MS Exchange.

Pozdrawiam
Paweł

Ostatnio edytowany przez omiot (2016-08-02 11:14:26)

Offline

 

#2  2016-08-02 14:38:23

SamozwańczyKrólBasha
Lemur
Skąd: Wrocław
Zarejestrowany: 2016-02-24

Re: Postfix uwierzytelnianie w obrębie własnej domeny

Nie wiem czy dobrze zakumałem co chcesz zrobić.
Wydaje mi się, że potrzebujesz sasl-a spiętego za pomocą Kerberos GSS-API (np. MIT Kerberos). I chcesz mieć jakieś SSO.

Tutaj więcej:
http://www.padl.com/Products/KerberosAuthenticationPlu.html

https://access.redhat.com/documentation/en-US/Red_H … Kerberos.html

Nie wiem jak jest w Twoim przypadku ale zwykle w takiej architekturze heterogenicznej potrzebował będziesz jeszcze usera na kontrolerze domeny stworzenie SPN-ów czyli "service principial name" oraz wygenerowanie keytabów dla aplikacji która z kerberosem ma być zintegrowana. Oczywiście kerberos pod spodem gada z ldapem więc zaszycie gdzieś w configu connection string-ów dzięki którym kerberos znajdzie w lesie odpowiednie OU z userami też będzie konieczne.

Nie wiem czy właśnie tego chcesz jeśli tak to mam nadzieję, że choć przetarłem szlak :) Generalnie to nie są aż tak proste sprawy do zrobienia by userzy sami z siebie się poświadczali w domenie windowso-linuksowej. Jeśli o to chodzi to pisz na PW to postaram się ci pomoc to rozkminić. Jeśli nie, to wiedź, że cieszę się, że nie mogłem pomóc :)

Ostatnio edytowany przez SamozwańczyKrólBasha (2016-08-02 14:40:36)


A teraz wzbudzę w was poczucie niższości. Zresztą uzasadnione :)

Offline

 

#3  2016-08-02 15:01:53

  omiot - Użytkownik

omiot
Użytkownik
Zarejestrowany: 2014-03-31

Re: Postfix uwierzytelnianie w obrębie własnej domeny

Cześć dzięki za odpowiedź.

Trochę ciężko jest mi to wytłumaczyć.

SASL działa mi prawidłowo, tzn. gdy użytkownik chce wysłać do innej domeny może zrobić to dopiero po uwierzytelnieniu. Chodzi mi o sytuację, w której użytkownik wysyła do swojej domeny czyli np: prezes@mojadomena.pl do pracownik@mojadomena.pl. W tym momencie nie potrzebuje uwierzytelnienia i dodatkowo każdy może się podszyć pod prezesa.

Kolega podpiwiedział mi żeby wykorzystać check_sender_access  tylko wymaga to zastosowania mysql i w sumie statycznego mapowania. Chciałbym aby wymagane dane pobierane były z Active Directory.

Pozdrawiam.

Offline

 

#4  2016-08-02 16:39:37

  jurgensen - Użytkownik

jurgensen
Użytkownik
Skąd: Wrocław
Zarejestrowany: 2010-01-26

Re: Postfix uwierzytelnianie w obrębie własnej domeny

W check_sender_access możesz użyć dowolnej mapy, więc ja dałbym tu mapę LDAP

Offline

 

#5  2016-08-02 18:46:03

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Postfix uwierzytelnianie w obrębie własnej domeny

W ogóle nie trzeba LDAPa do tego angażować, wystarczy odpowiednia kolejność filtrów:

Kod:

smtpd_recipient_restrictions =  permit_sasl_authenticated,
                                reject_unlisted_recipient,
                                check_recipient_access hash:/etc/postfix/recipient_acces
                              # check_helo_mx_access cidr:/etc/postfix/mx_access.cidr,
                              # check_sender_mx_access cidr:/etc/postfix/mx_access.cidr,
                    reject_non_fqdn_recipient,
                    reject_unknown_client_hostname,
                    reject_unknown_reverse_client_hostname,
                reject_unknown_sender_domain,
                                reject_unknown_recipient_domain,
                              # reject_unverified_sender,
                                reject_invalid_helo_hostname,
                reject_unauth_pipelining,
                                check_recipient_access hash:/etc/postfix/recipient_acces
                        reject_unauth_destination,
                                check_sender_access hash:/etc/postfix/sender_checks_my,
                                check_policy_service unix:private/spfperl,
                                check_policy_service unix:filtry/postgrey.sock, 
                              # check_policy_service inet:127.0.0.1:10030,
                              #  check_client_access regexp:/etc/postfix/check_client_fqdn,
                                permit,

Pozdro

Ostatnio edytowany przez Jacekalex (2016-08-02 18:46:29)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#6  2016-08-02 19:31:38

  omiot - Użytkownik

omiot
Użytkownik
Zarejestrowany: 2014-03-31

Re: Postfix uwierzytelnianie w obrębie własnej domeny

Stosujesz dwie mapy
check_recipient_access hash:/etc/postfix/recipient_acces
check_sender_access hash:/etc/postfix/sender_checks_my

Możesz przesłać składnie. Według mnie to one będą ograniczały kto może wysyłać i z jakiego adresu. Chyba, że się mylę.

Pozdrawiam.

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)