Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
Witam
Może ktoś z was ma pomysł jak włączyć autoryzację przy wysłaniu maili w takiej konfiguracji:
user1@mojadomena.pl --> user2@mojadomena.pl
W przypadku gdy wysyłam maila na zewnątrz użytkownik musi się uwierzytelnić, ale gdy wysyłam maile w takiej konfiguracji mogę wykonać dowolną kombinację (w obrębie mojejdomy) bez podawania loginu i hasła. Chciałbym uniknąć statycznego mapowania użytkowników.
Konfiguracja:
3.16.0-4-amd64 #1 SMP Debian 3.16.7-ckt25-2+deb8u3 (2016-07-02) x86_64 GNU/Linux
Postfix + amavis + sasl + spamassasin + clamav + postgrey - najnowsze wersje z repo.
Sasl jest spięty z AD za pomocą LDAP,
Serwer pełni rolę smarthosta przed MS Exchange.
Pozdrawiam
Paweł
Ostatnio edytowany przez omiot (2016-08-02 11:14:26)
Offline
Nie wiem czy dobrze zakumałem co chcesz zrobić.
Wydaje mi się, że potrzebujesz sasl-a spiętego za pomocą Kerberos GSS-API (np. MIT Kerberos). I chcesz mieć jakieś SSO.
Tutaj więcej:
[url]http://www.padl.com/Products/KerberosAuthenticationPlu.html[/url]
[url]https://access.redhat.com/documentation/en-US/Red_Hat_Directory_Server/9.0/html/Administration_Guide/Configuring_Kerberos.html[/url]
Nie wiem jak jest w Twoim przypadku ale zwykle w takiej architekturze heterogenicznej potrzebował będziesz jeszcze usera na kontrolerze domeny stworzenie SPN-ów czyli "service principial name" oraz wygenerowanie keytabów dla aplikacji która z kerberosem ma być zintegrowana. Oczywiście kerberos pod spodem gada z ldapem więc zaszycie gdzieś w configu connection string-ów dzięki którym kerberos znajdzie w lesie odpowiednie OU z userami też będzie konieczne.
Nie wiem czy właśnie tego chcesz jeśli tak to mam nadzieję, że choć przetarłem szlak :) Generalnie to nie są aż tak proste sprawy do zrobienia by userzy sami z siebie się poświadczali w domenie windowso-linuksowej. Jeśli o to chodzi to pisz na PW to postaram się ci pomoc to rozkminić. Jeśli nie, to wiedź, że cieszę się, że nie mogłem pomóc :)
Ostatnio edytowany przez SamozwańczyKrólBasha (2016-08-02 14:40:36)
Offline
Cześć dzięki za odpowiedź.
Trochę ciężko jest mi to wytłumaczyć.
SASL działa mi prawidłowo, tzn. gdy użytkownik chce wysłać do innej domeny może zrobić to dopiero po uwierzytelnieniu. Chodzi mi o sytuację, w której użytkownik wysyła do swojej domeny czyli np: prezes@mojadomena.pl do pracownik@mojadomena.pl. W tym momencie nie potrzebuje uwierzytelnienia i dodatkowo każdy może się podszyć pod prezesa.
Kolega podpiwiedział mi żeby wykorzystać check_sender_access tylko wymaga to zastosowania mysql i w sumie statycznego mapowania. Chciałbym aby wymagane dane pobierane były z Active Directory.
Pozdrawiam.
Offline
W check_sender_access możesz użyć dowolnej mapy, więc ja dałbym tu mapę LDAP
Offline
W ogóle nie trzeba LDAPa do tego angażować, wystarczy odpowiednia kolejność filtrów:
smtpd_recipient_restrictions = permit_sasl_authenticated, reject_unlisted_recipient, check_recipient_access hash:/etc/postfix/recipient_acces # check_helo_mx_access cidr:/etc/postfix/mx_access.cidr, # check_sender_mx_access cidr:/etc/postfix/mx_access.cidr, reject_non_fqdn_recipient, reject_unknown_client_hostname, reject_unknown_reverse_client_hostname, reject_unknown_sender_domain, reject_unknown_recipient_domain, # reject_unverified_sender, reject_invalid_helo_hostname, reject_unauth_pipelining, check_recipient_access hash:/etc/postfix/recipient_acces reject_unauth_destination, check_sender_access hash:/etc/postfix/sender_checks_my, check_policy_service unix:private/spfperl, check_policy_service unix:filtry/postgrey.sock, # check_policy_service inet:127.0.0.1:10030, # check_client_access regexp:/etc/postfix/check_client_fqdn, permit,
Pozdro
Ostatnio edytowany przez Jacekalex (2016-08-02 18:46:29)
Offline
Stosujesz dwie mapy
check_recipient_access hash:/etc/postfix/recipient_acces
check_sender_access hash:/etc/postfix/sender_checks_my
Możesz przesłać składnie. Według mnie to one będą ograniczały kto może wysyłać i z jakiego adresu. Chyba, że się mylę.
Pozdrawiam.
Offline
Strony: 1
Time (s) | Query |
---|---|
0.00013 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00139 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.22.42.189' WHERE u.id=1 |
0.00106 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.22.42.189', 1732747033) |
0.00047 | SELECT * FROM punbb_online WHERE logged<1732746733 |
0.00091 | DELETE FROM punbb_online WHERE ident='85.208.96.209' |
0.00072 | SELECT topic_id FROM punbb_posts WHERE id=303727 |
0.00008 | SELECT id FROM punbb_posts WHERE topic_id=28828 ORDER BY posted |
0.00068 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=28828 AND t.moved_to IS NULL |
0.00006 | SELECT search_for, replace_with FROM punbb_censoring |
0.00110 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=28828 ORDER BY p.id LIMIT 0,25 |
0.00095 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=28828 |
Total query time: 0.00759 s |