Konfiguracja Cyrus SASL

Cyrus SASL umożliwa autoryzację użytkowników.

Konfiguracja Cyrus SASL

Plik konfiguracyjny

Cyrus SASL pozwala autoryzować jedynie przychodzące połączenia pocztowe.
Pierwszą sprawą w konfiguracji SASLa jest poinformowanie go skąd ma
pobierać dane do autoryzacji. Robimy to edytując plik
/etc/sasl2/smptd (w starszych wersjach /usr/lib/sasl/smtpd.conf).

Do wyboru mamy kilka technik:

  • pam – integruje SASL z mechanizmem PAM. Problem w tym iż może wymagać
    ustawienia dostępu do pliku /etc/shadow na 644 co jest nie do przyjęcia.
  • shadow – każe SASLowi korzystać bezpośrednio z pliku /etc/shadow.
    Ponownie występuje problem z prawami dostępu do tego pliku. SASL wymaga
    ustawienia tego ich na 644.
  • sasldb – nakazuje SASLowu na korzystanie z bazy /var/lib/sasl/sasl.db.
    Sposób ten musi być użyty dla metod autoryzacji DIGEST-MD5 lub CRAM-MD5.
    Użytkownik musi być dodany do bazy przez narzędzie saslpaswd. Dla poprawnego
    uruchomienia bazy musi być dodany co najmniej jeden użytkownik.
    Uwaga: Dystrybucja Mandrake ustawia prawa dostępu do tego
    pliku na 0644. Jednak zwykły użytkownik nie może odczytać haseł z bazy
    bez skorzystania z narzędzia sasldblistusers, więc wydaje się to bezpieczne.

  • pwcheck – metoda ta jest podobna do shadow ale Postfix nie musi
    posiadać prawa czytania do pliku /etc/shadow. W tej metodzie uruchamiany
    jest demon pwcheck z prawami roota, który pośredniczy w dostępie do pliku
    shadow.

Dla łatwości użycia można zalecić korzystania metody saslauthd:

[root@ziutusLinux1 postfix]# cat /etc/sasl2/smtpd.conf
pwcheck_method: saslauthd
mech_list: plain login

Własna baza SASL

Zajmijmy się dodaniem użytkownika do bazy danych SASL. Korzystamy tutaj z komendy
saslpasswd w następującej formie: saslpasswd -a smtpd -c username doda to użytkownika „username”
do aplikacji smtpd. Parametr -c nakazuje utworzenie
użytkownika, jeżeli nie go jeszcze w bazie. Opcja -d usuwa użytkownika. Możesz dodatkowo
użyć opcji „-u [domain]” do określenia domeny, które współgra z smtpd_sasl_local_domain.
Polcenie sasldblistusers pozwoli Ci przejrzeć użytkowników oraz dostępne dla nich
metody autoryzacji.

Dodaj komentarz