[Postfixbuch-users] SASL/Radius-Server

Patrick Ben Koetter p at state-of-mind.de
Sa Jun 18 09:09:32 CEST 2005


Hallo Tanja,

* Tanja <tam at abat.de>:
> Hallo zusammen,
> 
> Szenario: Intern ein Exchange 2003, in der DMZ eine Suse-Kiste, die 
> Mails annimmt und verschickt.
> Innerhalb unseres LANs steht ein Radius-Server 
> (Internetauthentifizierungsdienst).
> Unsere Mitarbeitern sollen von aussen nun den Mailabruf über Outlook 
> realisieren können, mittels Authentifizierung.

Mail-Abruf oder Mail-Versand? Postfix würde nur versenden...

> Nun mein Problem: wie konfiguriere ich das auf der Linux-Kiste, dass er 
> bei eingehenden Anfragen auf den Radius-Server zugreift, um zu 
> überpfüfen, ob der User in unserem Active-Directory vorhanden ist?
> Ich habe über Yast die beiden Pakete "pam_radius" und "radiusclient" 
> installiert. Aber das Doc hilft mir dann nicht mehr weiter. Ich habe 
> keine Ahnung wie ich das ganze nun weiter realisieren soll. Welche 
> .conf-Dateien sind wie zu bearbeiten?

Du müßtest saslauthd (Cyrus SASL), die SASL libs PLAIN und LOGIN
installieren und saslauthd mit 

# saslauthd -a pam ...

als root starten.

Dann müßtest Du /etc/pam.d/smtp entsprechend konfigurieren, dass dort auf den
Radius verwiesen und zugegriffen wird.

Die Authentifizierung kannst Du dann SASL intern mit "testsaslauthd" testen.
Wenn das klappt, dann konfigurierst Du Postfix, SMTP AUTH anzubieten. In
main.cf dazu:

smtpd_sasl_auth_enable = yes
broken_sasl_auth_clients = yes
smtpd_sasl_security_options = noanonymous


In /usr/lib/sasl2/smtpd.conf folgendes:

pwcheck_method: saslauthd
mech_list: PLAIN LOGIN

> Ich habe im Netz nicht allzu viel gefunden. Es soll unter /etc/pam.d 
> eine Datei "smtp" geben, diese ist bei mir leider nicht vorhanden?! Muss 
> ich die selber anlegen? Im Postfix habe ich

Ja, die wirst Du selber anlegen müssen. Was Du genau eintragen mußt, mußt Du
der PAM_RADIUS Dokumentation oder PAM selber entnehmen.

> smtpd_sasl_auth_enable =  yes
> smtpd_sasl_security_options = noanonymous                                                                
>                                                                                
> broken_sasl_auth_clients = yes

Um diese Parameter kümmerst Du Dich erst, wenn Du mit testsaslauthd
erfolgreich authentifizieren konntest. Vorher macht es keinen Sinn.

> Vielleicht hat da jemand von Euch schon Erfahrung mit?
Mit PAM nein.

p at rick


-- 
The Book of Postfix
<http://www.postfix-book.com>
SMTP AUTH debug utility:
<http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>



Mehr Informationen über die Mailingliste Postfixbuch-users