[Postfixbuch-users] LDAP query_filter Problem

Ringen, Dieter (ZPD Dez. 42.5 - Zentrale Systeme) dieter.ringen at polizei.niedersachsen.de
Do Sep 19 06:14:44 CEST 2013 


Fischer, Marcel schrieb:
> Hallo,
> 
> das hört sich ja schon mal gut an. Damit hätte ich nur das Problem einen passenden ldap query zu schreiben.
> Im Grunde muss geprüft werden, ob der User Mitglied einer bestimmten Gruppe im AD ist. Wenn ja, soll ein REJECT folgen.
> 
> Aber das ist dann eher kein Postfix "Problem" mehr. Falls trotzdem jemand Ideen dazu hat, bitte melden :)
> 
> Vielen Dank für die schnelle Hilfe! :)
> 
> Mit freundlichen Grüßen
> 
> Marcel Fischer
> 
> NEW YORKER
> 
> DBA / IT-Systembetrieb
> Hansestraße 48 
> 38112 Braunschweig
> Germany
> 
> Phone                     +49 (0) 531 2135-5661
> Mobile                    +49 (0) 151 44018554    
> E-Mail                     mfischer at newyorker.de
> Internet                  http://www.newyorker.de 
> 
> NEW YORKER Information Services International GmbH 
> Amtsgericht Braunschweig, HRB 203280
> Geschäftsführung: Stefan Beyler, Holger Meißner
> 
> Diese E-Mail (inklusive aller Anhänge) enthält vertrauliche und/oder rechtlich geschützte Informationen und darf ausschließlich durch den vorgesehenen Empfänger und Adressaten gelesen, kopiert oder genutzt werden. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese E-Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe oder sonstige Nutzung dieser E-Mail ist nicht gestattet.
>  
> This e-mail (including any attachments) may contain confidential and/or privileged information and may be read, copied and used only by the intended recipient. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorised copying, disclosure, distribution or any other use of the material in this e-mail is strictly forbidden
> 
> 
> -----Ursprüngliche Nachricht-----
> Von: postfixbuch-users-bounces at listen.jpberlin.de [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Peer Heinlein
> Gesendet: Mittwoch, 18. September 2013 16:46
> An: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein.
> Betreff: Re: [Postfixbuch-users] LDAP query_filter Problem
> 
> Am 18.09.2013 15:57, schrieb Fischer, Marcel:
> 
> 
>> Die Herausforderung ist nun, dass bestimmte Benutzer im Active 
>> Directory von "extern" nicht per Mail erreichbar sein sollen. Es soll 
>> also eine "User unknown" Meldung generiert werden.
> 
> Ganz einfach. :-)
> 
> Die Lösung liegt in den smtpd_recipient_restrictions.
> 
> Setze UNTERHALB von permit_mynetworks und permit_sasl_authenticated ein "check_recipient_access". Das gilt dann folglich nur noch für Mails von außen.
> 
> Die access-Map nnen wir jetzt mal "access-notexternalusers.ldap" und darüber fragst Du nun per LDAP ab und setzt dort irgendeinen passenden LDAP-query-filter, über den DU diese Nutzer identifzierst.
> 
> Als Result fragst Du irgendein beliebiges LDAP-Attribut ab, zum Beispiel die Mailadresse oder sowas. Egal was, irgendeinen Result brauchst Du halt.
> 
> Dann aber setzt Du:
> 
> result_filter="REJECT user unknown"
> 
> oder was auch immer Dein Ergebnis sein soll, wenn jemand gelistet ist.
> Das ist hier eine access-Map, Du hast alle Möglichkeiten, die ein "man 5 access" auflistet.
> 
> Das ganze testest Du sauber mti "postmap -q <mailadresse> ldap:/etc/postfix/access-notexternalusers.ldap"
> 
> Peer
> 
> 
> 
> 
> --
> Heinlein Support GmbH
> Schwedter Str. 8/9b, 10119 Berlin
> 
> http://www.heinlein-support.de
> 
> Tel: 030 / 405051-42
> Fax: 030 / 405051-19
> 
> Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg,
> Geschäftsführer: Peer Heinlein -- Sitz: Berlin
> --
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Hallo.
Wir haben im LDAP ein zusätzliches Attribut gesetzt, dass entweder leer
ist oder als Ergebnis ein permit zurückgibt.
In der main.cf haben wir es folgendermaßen eingebunden

smtpd_recipient_restrictions = reject_unknown_client,
reject_non_fqdn_sender,                       check_sender_access
ldap:/etc/postfix/ldap-internet.cf,
reject_unknown_recipient_domain,              reject_unauth_destination

Die LDAP-Abfrage sieht dann so aus
version                 = 3
timeout                 = 30
expansion_limit         = 0
server_host             = ldaps://ldap-server:636/ ldaps://ldap-server1:636/
scope                   = sub
search_base             = ou=beispiel, o=Landesverwaltung Niedersachsen,
c=de
bind_dn                 = uid=postfix, ou=xxx, ou=yyy,
o=Landesverwaltung Niedersachsen, c=de
bind_pw                 = passwort
query_filter            =
(&(|(mail=%s)(mailforwardingaddress=%s)(mailalternateaddress=%s)(mailmessagestore=%s))(objectclass=policepersonni))
result_attribute        = polPersInetMailNI

Unter server_host haben wir 2 verschiedene LDAP's eingetragen, wenn der
erste nicht erreichbar ist, nimmt er den zweiten.
Klappt wunderbar


-- 
mit freundlichem Gruß

Dieter Ringen
Zentrale Polizeidirektion Niedersachsen ( ZPD NI )
Dezernat 42.5.3 - IT - Infrastruktur
Tel: 0511 9695 -7653
Fax: 0511 9695-7929
mailto:dieter.ringen at polizei.niedersachsen.de

Mehr Informationen über die Mailingliste Postfixbuch-users