Exim + Exchange authentication

[Aust]

Настроил почтовый фильтр на основе Exim, который стоит перед Exchange. Осталась только одна проблема. Для того что бы послать письмо на адрес рассылки, пользователь должен аутентифицироватся. Можно было бы просто оставить принятие таких решений на exim, а в exchange вообще такую проверку отключить. Но во первых не вся почта идет через exim, а во вторых, уж очень хочется мне с этой темой разобраться. Отсюда сразу несколько вопросов. Я так и не понял как происходит аутентификация, если между пользователем и Exchange находится еще один MTA. Можно ли вообще это реализовать таким образом, как в моем варианте, т.е. что бы пользователь аутентифицировался у exim, а exim передавал эти данные exchange. Если можно, то как такое реализовать, если учетки хранятся в AD?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

скрипт перловый накидай чтоб коннектился к другому и скармливал ему данные по авторизаци

[Aust]

направление мыслей уловил, спасибо...

[princeps]

Если у тебя все данные хранятся в одном месте (а скорее всего это так, и место это - AD), то не проще ли сделать так, чтоб они аутентифицировали пользователя оба по очереди?

[Aust]

В том то и заключалась первая часть вопроса
Допустим я аутентифицировал пользователя на экзиме, но как эти данные потом предоставить эксчанге? Если есть опыт, подскажи, плз, как это работает.

[buryanov]

Я чтото несовсем понял схему, как я понял, у тебя Exchnage - офисный почтовик, но пользователи конектятся не к Exchnage, а к exim, так я понимаю, или у тебя есть почтовые групы на Exchange и именно к ним нужна авторизация, а exim у тебя пограничный сервер между Exchange и Internet?

[Aust]

Экзим - смотрит в инет, Эксчанга - нет. Локальные пользователи работают с Эксчангой, с мира приходит почта на Экзим, который пересылает ее на Эксчангу. Авторизация нужна только для групп рассылок. Итого: Удаленные пользователи не могут слать письма на адреса групп рассылок.

[princeps]

Допустим я аутентифицировал пользователя на экзиме, но как эти данные потом предоставить эксчанге? Если есть опыт, подскажи, плз, как это работает.

Нужно ли передавать эти данные exchange'у? Пускай каждый аутентифицирует, как умеет. Т.е., если правильный пользователь снаружи хочет отправить письмо, он коннектится к экзиму, аутентифицируется и отправляет. Если внутри сети - коннектится к эксу, тоже аутентифицируется и тоже отправляет. Поскольку у тебя данные хранятся в одном месте (AD), то результаты аутентификации будут одинаковые. Если я правильно понял задачу.

[buryanov]

Допустим я аутентифицировал пользователя на экзиме, но как эти данные потом предоставить эксчанге? Если есть опыт, подскажи, плз, как это работает.

Нужно ли передавать эти данные exchange'у? Пускай каждый аутентифицирует, как умеет. Т.е., если правильный пользователь снаружи хочет отправить письмо, он коннектится к экзиму, аутентифицируется и отправляет. Если внутри сети - коннектится к эксу, тоже аутентифицируется и тоже отправляет. Поскольку у тебя данные хранятся в одном месте (AD), то результаты аутентификации будут одинаковые. Если я правильно понял задачу.

Exchange после Exima заново запросит аудентификацию, ему нужно чтоб exim приконектился к Exchange и проидентифицировался, а пользователь идентифицируется только на exim

[princeps]

Тогда я чего-то не допонимаю, объясните подробнее, как должно выглядеть с точки зрения юзера

[Aust]

Exchange после Exima заново запросит аудентификацию, ему нужно чтоб exim приконектился к Exchange и проидентифицировался, а пользователь идентифицируется только на exim

Вот тут вопрос, при такой схеме, экзим должен аутентифицироватся своей учеткой или данными, которые предоставил пользователь? Если второй вариант, то как передать эти данные средствами экзима?

P.S.: сейчас пытаюсь вкурить http://www.lissyara.su/?id=1233#33.5, но не могу понять как этим правильно воспользоватся...
P.P.S.: пытался установить переменные client_name и client_secret, но экзим сказал что не знает он таких опций.
P.P.P.S получилось аутентифицировать экзим как клиента:
для plain

Код: Выделить всё

client_send = ^username^password

Проблема в том что я туда тупо прописал доменную учетку. Может кто знает как туда подставить данные от пользователя? Ведь прием и отправка письма происходит в разных процессах... Может в заголовках передавать? При приеме вставлять, а при отправке удалять?

[Aust]

Камрады. Неужели никто не аутентифицировал экзим как клиента?
Может кто-то хоть знает где можно отловить имя пользователя и пароль, которые отдает клиент экзиму когда аутентифицируется?

[princeps]

Аутентификационная информация, если правильно помню, в переменных $auth1, $auth2 и $auth3. Все-таки не могу уяснить, зачем нужно дважды проводить аутентификацию, объясни поподробней.

[Aust]

в этих переменных эта информация хранится только в процессе аутентификации, как ее оттуда выловить - не пойму. В процессе обработки письма - эти переменные - пустые...
Двойная аутентификация нужна потому что у некоторых групп рассылки - ограниченный круг пользователей - которые имеют право ими пользоваться, такую проверку может сделать только эксчанга. Да и просто хочется выполнить задачу без изменения эксчанги.

[princeps]

такую проверку может сделать только эксчанга.

Почему нельзя экзим заставить делать такую проверку?

как ее оттуда выловить - не пойму.

Наверное значение присвоить какой-нибудь левой переменной, которая не используется.

[Aust]

Список членов группы хранится в зашифрованом виде, по моему легче сделать честную аутентификацию, чем разбираться как эксчанга разруливает группы рассылок.
На счет присвоения значения переменным - я сегодня уже пол дня играюсь с этим, но никак не получается... Пойду дальше маны курить.

[princeps]

Может тех, кому нужны эти списки рассылок напрямую на exchange пускать?

[Aust]

Неужели аутентификация экзима, как клиента данными пользователя - это настолько редкая и не нужная операция, что ее необходимо делать через одно место?

[Aust]

Победил. Опция Server_set_id - рулит

[princeps]

опиши подробнее, вдруг еще кому понадобится