[Postfixbuch-users] postfix und Clientzertifikate
Patrick Ben Koetter
p at state-of-mind.de
So Nov 4 18:39:34 CET 2007
* Marco Estrada Martinez <marco at marcomartinez.de>:
> >Nein, die x509 Zertifikate die Postfix benutzt, sind an Hosts gebunden.
> >Personen/User etc. sind in diesem Zusammenhang irrelevant. Also: jeder
> >MTA hat sein Zertifikat. Mit seinem Hostnamen an CN.
>
> mh dass ist natürlich schade. das würde ja bedeuten das ein und die
> selbe Person zwei Clientzertifikate benötigt (Wenn er zwei PC nutzt).
> Ich bin aber der Meinung das mit dem ausstellen des Clientzertifikates
> "Ich" als CA "unterschreibe" das es sich um die Person handelt. Oder?
Die einzige, flächendeckend in den gebräuchlichen MUAs nutzbare Methode, um
User eindeutig zu identifizieren, ist SMTP Authentifizierung.
Die einzige Methode, um den Zugriff auf bestimmte Envelope-Sender
einzuschränken ist es mit smtpd_sasl_login_maps den SASL Loginnamen and einen
Envelope-Sender zu binden.
TLS Zertifikate sind zwar in wenigen MUAs an eine Person bindbar, aber deren
Verbreitung ist in Windows-Landschaften nicht der Regelfall.
p at rick
--
Postfix - Einrichtung, Betrieb und Wartung
<http://www.postfix-buch.com>
saslfinger (debugging SMTP AUTH):
<http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>
Mehr Informationen über die Mailingliste Postfixbuch-users