forum.lissyara.su

Добавлено: **2012-08-01 18:04:08**

Добрый день, всем

Помоги понять одну вещь, я чего то затупил.

Хочу собрать следующую связку: Postfix+Dovecot+ClamAV+SpamAssassin+LDAP+SSL/TLS

Авторизация будет проходить в LDAP, Там же будут алиасы и почтовая книга всего домена.

Я не могу понять, нужен ли мне SASL?
Он же для шифрования паролей нужен, скажем в MD5 хеше. Насколько я знаю, при использовании шифрования подключения необходимость в шифровании летящих к серваку паролей отпадает, или...?

Сейчас сижу на сендмыле. Использую стандартные порты - 25ый и 110ый, авторизуюсь через Digest-MD5 к SASL, который смотрит в LDAP. Т.е. все пароли и логины хранятся также в LDAP в открытом виде (plaintext). Когда надо авторизоваться - посылаю шифрованный пароль SASL, тот расшифровывает его, смотрит в LDAP и разрешает/запрещает авторизацию.

Захотелось переехать на 465 и 995ые порты соответственно (SSL). Вот тут я и вспомнил, что где то читал, что при использовании этих портов шифрование передаваемых паролей не будет работать, т.е. SASL НЕ нужен. Достаточно начать хранить пароли в LDAP в зашифрованном виде.

Хотелось бы подтверждения/опровержения услышать.

Спасибон!

Добавлено: **2012-08-01 21:31:58**

Разберись для начала, для чего SSL и SASL.

Добавлено: **2012-08-02 1:10:12**

ivan__ писал(а):Разберись для начала, для чего SSL и SASL.

А чего не понятно из моего поста?

SASL - для идентификации пользователей через логин/пароль при помощи различных механизмов хеширования, например md5.
TLS/SSL - протокол для шифрования соединения клиента с сервером или сервера с сервером.

Или этот пост должен был внести ЧСВ-нагрузку?)

а вот и ответ и инструкция по настройке.

Только у себя я все же Cyrus-SASL буду юзать

Добавлено: **2012-08-06 15:13:55**

mr. brightside писал(а): Или этот пост должен был внести ЧСВ-нагрузку?)

Без SASL аутентификации не будет.

mr. brightside писал(а): Только у себя я все же Cyrus-SASL буду юзать

Если собрался dovecot использовать, нафиг Cyrus.

Добавлено: **2012-08-06 15:20:02**

Если собрался dovecot использовать, нафиг Cyrus.

Я понимаю, что это бессмысленно, просто Cyrus как то ближе

Кстати, у меня проблемка с сертифкатами:

Никак не могу понять, что не так с моими сертификатами и почему они не хотят работать.

Сгенерировал сертификат и закрытый ключ:

Код: Выделить всё

openssl req -new -x509 -nodes -out smtpd.pem -keyout smtpd.pem -days 1095

Получил запрос на указание дополнительных данных. Common Name в конце сделал в виде HostName.MyDomain.ru.

Полученные файлы положил в /usr/local/etc/postfix/ssl. Дал права 600 пользователю postfix, от которого стартует МТА.

При подключении клиентом к серваку в логе вижу сообщение:

Код: Выделить всё

warning: cannot get RSA private key from file

Попробовал дать полные права на файл - 777. Не помогло.
Тогда:

Код: Выделить всё

openssl rsa -in smtpd.pem -out smtpd.new.pem
rm smtpd.key && mv smtpd.new.pem smtpd.pem

Стал в логе получать ошибку:

Код: Выделить всё

warning: cannot get RSA certificate from file

Т.е. сначала он не мог получить RSA из закрытого ключа, теперь не может получить из сертификата.

Попробовал еще сгенерировать ключ и сертификат таким образом:

Код: Выделить всё

openssl genrsa -out genrsa.key 1024
chmod 600 genrsa.key
openssl req -new -key genrsa.key -out csr.csr
openssl x509 -req -days 730 -in csr.csr -signkey regrsa.key -out sptmd.crt
cat genrsa.key smtpd.crt > smtpd.pem
chmod 600 smtpd.pem
chown postfix smtpd.pem

Но увы, также не помогло. В чем может быть проблема?

forum.lissyara.su

Почтовая система на основе Postfix

Почтовая система на основе Postfix

Re: Почтовая система на основе Postfix

Re: Почтовая система на основе Postfix

Re: Почтовая система на основе Postfix

Re: Почтовая система на основе Postfix