Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2016-08-02 11:14:05

  omiot - Użytkownik

omiot
Użytkownik
Zarejestrowany: 2014-03-31

Postfix uwierzytelnianie w obrębie własnej domeny

Witam

Może ktoś z was ma pomysł jak włączyć autoryzację przy wysłaniu maili w takiej konfiguracji:
user1@mojadomena.pl --> user2@mojadomena.pl

W przypadku gdy wysyłam maila na zewnątrz użytkownik musi się uwierzytelnić, ale gdy wysyłam maile w takiej konfiguracji mogę wykonać dowolną kombinację (w obrębie mojejdomy) bez podawania loginu i hasła. Chciałbym uniknąć statycznego mapowania użytkowników.

Konfiguracja:
3.16.0-4-amd64 #1 SMP Debian 3.16.7-ckt25-2+deb8u3 (2016-07-02) x86_64 GNU/Linux
Postfix + amavis + sasl + spamassasin + clamav + postgrey - najnowsze wersje z repo.

Sasl jest spięty z AD za pomocą LDAP,

Serwer pełni rolę smarthosta przed MS Exchange.

Pozdrawiam
Paweł

Ostatnio edytowany przez omiot (2016-08-02 11:14:26)

Offline

 

#2  2016-08-02 14:38:23

SamozwańczyKrólBasha
Lemur
Skąd: Wrocław
Zarejestrowany: 2016-02-24

Re: Postfix uwierzytelnianie w obrębie własnej domeny

Nie wiem czy dobrze zakumałem co chcesz zrobić.
Wydaje mi się, że potrzebujesz sasl-a spiętego za pomocą Kerberos GSS-API (np. MIT Kerberos). I chcesz mieć jakieś SSO.

Tutaj więcej:
[url]http://www.padl.com/Products/KerberosAuthenticationPlu.html[/url]

[url]https://access.redhat.com/documentation/en-US/Red_Hat_Directory_Server/9.0/html/Administration_Guide/Configuring_Kerberos.html[/url]

Nie wiem jak jest w Twoim przypadku ale zwykle w takiej architekturze heterogenicznej potrzebował będziesz jeszcze usera na kontrolerze domeny stworzenie SPN-ów czyli "service principial name" oraz wygenerowanie keytabów dla aplikacji która z kerberosem ma być zintegrowana. Oczywiście kerberos pod spodem gada z ldapem więc zaszycie gdzieś w configu connection string-ów dzięki którym kerberos znajdzie w lesie odpowiednie OU z userami też będzie konieczne.

Nie wiem czy właśnie tego chcesz jeśli tak to mam nadzieję, że choć przetarłem szlak :) Generalnie to nie są aż tak proste sprawy do zrobienia by userzy sami z siebie się poświadczali w domenie windowso-linuksowej. Jeśli o to chodzi to pisz na PW to postaram się ci pomoc to rozkminić. Jeśli nie, to wiedź, że cieszę się, że nie mogłem pomóc :)

Ostatnio edytowany przez SamozwańczyKrólBasha (2016-08-02 14:40:36)


A teraz wzbudzę w was poczucie niższości. Zresztą uzasadnione :)

Offline

 

#3  2016-08-02 15:01:53

  omiot - Użytkownik

omiot
Użytkownik
Zarejestrowany: 2014-03-31

Re: Postfix uwierzytelnianie w obrębie własnej domeny

Cześć dzięki za odpowiedź.

Trochę ciężko jest mi to wytłumaczyć.

SASL działa mi prawidłowo, tzn. gdy użytkownik chce wysłać do innej domeny może zrobić to dopiero po uwierzytelnieniu. Chodzi mi o sytuację, w której użytkownik wysyła do swojej domeny czyli np: prezes@mojadomena.pl do pracownik@mojadomena.pl. W tym momencie nie potrzebuje uwierzytelnienia i dodatkowo każdy może się podszyć pod prezesa.

Kolega podpiwiedział mi żeby wykorzystać check_sender_access  tylko wymaga to zastosowania mysql i w sumie statycznego mapowania. Chciałbym aby wymagane dane pobierane były z Active Directory.

Pozdrawiam.

Offline

 

#4  2016-08-02 16:39:37

  jurgensen - Użytkownik

jurgensen
Użytkownik
Skąd: Wrocław
Zarejestrowany: 2010-01-26

Re: Postfix uwierzytelnianie w obrębie własnej domeny

W check_sender_access możesz użyć dowolnej mapy, więc ja dałbym tu mapę LDAP

Offline

 

#5  2016-08-02 18:46:03

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Postfix uwierzytelnianie w obrębie własnej domeny

W ogóle nie trzeba LDAPa do tego angażować, wystarczy odpowiednia kolejność filtrów:

Kod:

smtpd_recipient_restrictions =  permit_sasl_authenticated,
                                reject_unlisted_recipient,
                                check_recipient_access hash:/etc/postfix/recipient_acces
                              # check_helo_mx_access cidr:/etc/postfix/mx_access.cidr,
                              # check_sender_mx_access cidr:/etc/postfix/mx_access.cidr,
                    reject_non_fqdn_recipient,
                    reject_unknown_client_hostname,
                    reject_unknown_reverse_client_hostname,
                reject_unknown_sender_domain,
                                reject_unknown_recipient_domain,
                              # reject_unverified_sender,
                                reject_invalid_helo_hostname,
                reject_unauth_pipelining,
                                check_recipient_access hash:/etc/postfix/recipient_acces
                        reject_unauth_destination,
                                check_sender_access hash:/etc/postfix/sender_checks_my,
                                check_policy_service unix:private/spfperl,
                                check_policy_service unix:filtry/postgrey.sock, 
                              # check_policy_service inet:127.0.0.1:10030,
                              #  check_client_access regexp:/etc/postfix/check_client_fqdn,
                                permit,

Pozdro

Ostatnio edytowany przez Jacekalex (2016-08-02 18:46:29)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#6  2016-08-02 19:31:38

  omiot - Użytkownik

omiot
Użytkownik
Zarejestrowany: 2014-03-31

Re: Postfix uwierzytelnianie w obrębie własnej domeny

Stosujesz dwie mapy
check_recipient_access hash:/etc/postfix/recipient_acces
check_sender_access hash:/etc/postfix/sender_checks_my

Możesz przesłać składnie. Według mnie to one będą ograniczały kto może wysyłać i z jakiego adresu. Chyba, że się mylę.

Pozdrawiam.

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)

[ Generated in 0.011 seconds, 14 queries executed ]

Informacje debugowania

Time (s) Query
0.00011 SET CHARSET latin2
0.00005 SET NAMES latin2
0.00108 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.144.123.24' WHERE u.id=1
0.00072 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.144.123.24', 1732746768)
0.00053 SELECT * FROM punbb_online WHERE logged<1732746468
0.00073 DELETE FROM punbb_online WHERE ident='18.222.166.127'
0.00071 DELETE FROM punbb_online WHERE ident='3.147.47.177'
0.00078 DELETE FROM punbb_online WHERE ident='3.21.46.24'
0.00068 SELECT topic_id FROM punbb_posts WHERE id=303728
0.00059 SELECT id FROM punbb_posts WHERE topic_id=28828 ORDER BY posted
0.00055 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=28828 AND t.moved_to IS NULL
0.00005 SELECT search_for, replace_with FROM punbb_censoring
0.00108 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=28828 ORDER BY p.id LIMIT 0,25
0.00082 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=28828
Total query time: 0.00848 s