Postfix AUTH

[Jan Dušátko]

Ano, vim to. Pouzivani TAP se mi zda zbytecne krkolomne, ale vsechno ma
svoje. Vcetne podminek v teto spolecnosti. Mam konkretni pozadavek, ktery se
snazim vyresit. 

> OpenVPN sa dá štartovať ako service a klient nemusí riešiť nič tým pádom.
Zapne notebook naštartuje sa OpenVPN service aj keď neexistuje spojenie na
internet a keď sa pripojí tak sa spojí aj openvpn. 

Co se tyka VPN spojeni, duvod proc ho nerealizuji jsou prave mobilni
uzivatele. Bezny Franta Uzivatel nebude modifikovat nastaveni protoze se
toho boji a pokud se toho neboji, tak to zvore. Jsou mezi nimi vyjimky, to
nepopiram. Ale jakakoliv slozitost ve chvili kdy potrebuji zajistit pouze
overeni identity je nevyhodou.
Mym cilem bylo a je maximalni jednoduchost, jedno misto pro monitorovani a
spravu, uzivatele overovat pri odesilani posty pres SASL. Protoze POSTFIX
podporuje SASL bud pres DOVECOT, Cyrus nebo SASL knihovnu, hledal jsem
zpusob jak provest integraci s Exchange. Jednoduchy a ucinneho.
Soucasna konfigurace:

Internet  ->  ASSP 1.3->POSTFIX 2.4->ASSP  ->  EXCHANGE

Na firewallu je nakonfigurovano ASSP, POSTFIX, CLAMAV a LDAP klient v jednom
jailu, v dalsim je napriklad HAVP, DANSGUARDIAN, SQUID a CLAMAV.

1. Overeni indentity pomoci SASL vyzaduje zadat metodu a jednim ze zvolenych
zpusobu se "overit". Viz.
http://en.wikipedia.org/wiki/Simple_Authentication_and_Security_Layer Pro
overeni je potreba znat mimo uzivatelskeho jmena i heslo. 
2. Protoze uvnitr site bezi domena AD, v idealnim pripade je mozne pouzivat
overeni identity a hesla primo na strukturu AD. Zavadeni teto struktury na
firewall znamena zbytecne zvysovani rizika. Firewall ma slouzit pro oddeleni
site a kontrolni mechanismy, nikoliv pro integraci. Proto tu nechci databazi
uzivatelu, ale LDAP dotazy bych jeste akceptoval.
Problemy, na ktery jsem narazil je nasledujici: 
1) Windows 2003 ma ve strukture LDAP a tak nasledne i v definici email adres
znaky, ktere nejsou podle RFC pripustne
(http://tools.ietf.org/html/rfc2822). Takze prvni potrebna vec je upravit
perl script (nebo vysledek prohnat grepem na =/\ ...). Postmap pak sice
projde, ale POSTFIX bude hlasit chyby. Tento script jsem zkousel pri
testovani kombinace Postfix+Cyrrus+SASL, byl stazeny z
http://www.postfix.org. Protoze se ale jedna pouze o recipients mapu, chybi
tu moznost identifikace uzivatele heslem (viz moznosti AUTH=NTLM LOGIN PLAIN
GSSAPI DIGEST-MD5 CRAM-MD5). Neco mi tu chybi ....
2) Protoze hledam konfiguraci, kde postfix by se ptal primo exchange jako
POP3 serveru a AD jako zdroje uzivatelu a hesel, zkousim si hrat i s
nasledujici konfiguraci. Priznavam, ze s ni mam problemy a hledam pricinu
(nejsem si jisty, jestli je to vubec realne):
	/usr/local/etc/openldap/ldap.conf obsahuje
	#BASE    dc=firma, dc=local
	host    =       192.168.1.10
	base    =       o=spolecnost

	/usr/local/etc/postfix/master.cf obsahuje:
	relay_recipient_maps = ldap:/usr/local/etc/openldap/ldap.conf
	smtpd_sasl_auth_enable = yes
	smtpd_sasl_security_options = noanonymous
	smtpd_sasl_local_domain = $mydomain0 $mydomain1
	#smtpd_sasl_local_domain = firma.cz firma.local
	broken_sasl_auth_clients = yes
	smtpd_recipient_restrictions =
	   permit_sasl_authenticated,
	   permit_mynetworks,
	   check_relay_domains

Na tomto firewallu opravdu neresim otazku pripojeni po VPN, praci pres SSL a
certifikaty a podobne. Jedna se jednoduchy system, ktery nechrani soukromi
komunikace a resi pouze identifikaci uzivatelu. Kazdopadne, protoze jednou
uz tu databaze uzivatelu je a nemam chut ji nabizet i na firewallu, snazim
se tu o integraci Exchange a Postfix. Pokud mi s tim nekdo dokaze poradit,
budu rad.

Honza