Courierauth + LDAP

Courier to zestaw programów umożliwiający pracę serwera serwera pocztowego. Jednym z jego demonów umożliwiających autoryzacji z katalogu LDAP to …. Jego plik konfiguracyjny to /etc/courier/authldaprc

Konfiguracja demona autoryzacji

W pliku konfiguracji demona autoryzacji należy zmienić linię z wpisem authmoduleliest na poniższy wpis. Poinformuje ona demona iż autoryzacji należy dokonywać przy pomocy

authmodulelist="authldap"

Określenie zasad komunikacji z serwerem LDAP

Demon autoryzujący z serwera LDAP wymaga pobrania 6 danych: katalogu domowego, katalogu z pocztą (w formacie MailDir), UID oraz GID oraz oczywiście loginu i hasła. Hasło musi być zakodowane w formacie crypt. Elementy związane z połączeniem oraz autoryzacją na serwerze LDAP (np. OpenLDAP)

Wersja protokołu np. 3

Użytkownik, na którego należy się zalogować do serwera LDAP cn=admin,dc=linuxexpert,dc=pl

LDAP_SERVER Serwer, do którego demon ma się połączyć np. localhost
LDAP_PORT Port na którym działa serwer LDAP, 389
LDAP_PROTOCOL_VERSION
LDAP_BINDDN
LDAP_BINDPW Hasło użytkownika do logowania, podane jawnie (np. 123456)
####
#### polaczenie do servera LDAP
####
LDAP_SERVER             localhost
LDAP_PORT               389
LDAP_PROTOCOL_VERSION   3
LDAP_BINDDN             cn=admin,dc=linuxexpert,dc=pl
LDAP_BINDPW             123456
LDAP_TLS                0
LDAP_TIMEOUT            5

LDAP_DEREF              never

#####
##### przypisanie pol niezbednych demonowi do danych dostepnych w LDAPie ####
####
LDAP_CLEARPW            clearPassword
LDAP_CRYPTPW            userPassword

LDAP_BASEDN             dc=linuxexpert,dc=pl
LDAP_MAIL               cn
LDAP_HOMEDIR            homeDirectory
LDAP_MAILDIR            mailbox

## dane te sa nadpisywane przez przes ustawienia dla skrzynek virtualnych ##
#LDAP_UID                uidNumber
#LDAP_GID                gidNumber

####
#### Ustawienia dla skrzynek wirtualnych ####
####
LDAP_GLOB_GID           1005
LDAP_GLOB_UID           1005

Testowanie konfiguracji

Do testowania czy poprawnie się zalogujemy do serwera courier-imap albo courier-pop3 możemy użyć programu courerierauthtest . Przyjmuje on dwa argumenty login oraz hasło.

debian:/etc/postfix/ldap# courierauthtest ziutus 123456
Trying authdaemon...
Authenticated: module authdaemon
Home directory: /home/ziutus
UID/GID: 1001/1001
Maildir: /home/vmail/ziutus/
AUTHADDR=ziutus
AUTHFULLNAME=ziutus
OPTIONS=

Wirtualni użytkownicy

LDAP_GLOB_GID UID pobrany z bazy zastępowany jest podanym tutaj np. 1001
LDAP_GLOB_UID UID pobrany z bazy zastępowany jest podanym tutaj np. 1001
LDAP_MAILDIR Gdzie znajduje się katalog (plik) z pocztą użytkownika, courier-imap wymaga formatu skrzynki Maildir
LDAP_HOMEDIR Katalog domowy użytkownika
LDAP_CRYPTPW Pole z zakodowanym hasłem użytkownika userPassword
LDAP_MAIL Pole określające na kogo się logujemy, np. uid

Bezpieczeństwo

Użytkownik oraz hasło do serwera LDAP podawane są jawnie, należy więc sprawdzić kto ma dostęp do tego pliku.

Dodaj komentarz