PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : LDAP Cyrus IMAP



CoolTux
15.05.08, 13:42
Und noch mal ich.

Eine weitere Anforderung an meinen Server soll sein, das die Authendifizierung für Cyrus IMAP über LDAP funktioniert. Das geht auch super mit pam ohne saslauthd.conf. Einfach saslauthd mit pam gestartet und er holt sich die uid aud dem LDAP.

Jetzt möchte ich aber das ganze anders haben. Bis jetzt darf jeder der ein uid Objekt in meinem LDAP besitzt auf Cyrus zugreifen. Ich möchte das aber jetzt so haben das nur die User sich an Cyrus IMAP anmelden dürfen welche sich in einer bestimmten Guppe befinden.
Ich habe nämlich Linux User die zwar einen Account haben in Linux aber z.B. nichts mit Mail zu tun haben dürfen.


Hat da einer mal eine Idee. Ich habe viele Umsetzungen gefunden die die Authendifizierung an sich beschreiben, aber nicht Gruppenspezifisch.




Vielen Dank
Gruß
Leon

CoolTux
18.05.08, 13:45
Jetzt sagt bloß das hat noch keiner gemacht :-)


Gruß Leon

mamue
05.07.08, 20:58
Etwas sehr spät, aber nun.
Das kann man über einen Filter in der /etc/saslauth.conf einstellen, indem man dort entsprechende Suchfilter angibt. Die Datei existiert standardmäßig nicht und manchmal wird sie auch nicht benötigt, sondern nur die imap.conf

HTH,
mamue

CoolTux
16.10.08, 08:21
So ich habe es nun, nach etwas Zeit hinbekommen. War eigentlich einfacher als ich dachte.
Wenn einer diesbezüglich Fragen hat, einfach PM an mich.


Gruß

cane
16.10.08, 09:21
Beschreibe deine Lösung doch hier - dann ist allen geholfen die deinen Topic finden.

mfg
cane

CoolTux
16.10.08, 19:43
Ok. Wenn aber dann richtig
Die Configfiles wurden auf das wesentlichste gekürzt.

Anforderungen an mein LDAP in Verbindung mit Cyrus Mail und Postfix
Unterscheidung der Berechtigungen für Mailverkehr auf Basis der Gruppenzugehörigkeit
Verwalten persönlicher Adressbücher und einsehen in ein globales Adressbuch


Meine slapd.conf


# Global ACL's
access to attrs=objectClass
by * search

access to attrs=userPassword
by self write
by * read

access to attrs=entry,cn,uid,uidNumber,homeDirectory,userPas sword,gidNumber,loginShell,memberuid
by * read

access to *
by self write
by users read
by anonymous auth



## Backend ACL's
# ACL 1 Jeder User darf in der Ebene des ou personal adress schreiben
access to dn.regex="^(.+,)?ou=personal address book,cn=([^,]+),ou=Users,ou=name,dc=domain,dc=toplevel$"
by dn.exact,expand="cn=$2,ou=Users,ou=name,dc=domain,dc=toplevel" write
by self read



Meine /etc/saslauthd.cong sieht so aus



ldap_servers: ldap://ip_des_servers/
ldap_search_base: ou=Users,dc=domain,dc=toplevel
ldap_filter: (uid=%U)
ldap_scope: one # Eine Ebene unter der search base wird durchsucht
ldap_time_limit: 13
ldap_timeout: 15
ldap_version: 3
ldap_deref: always # wie werden Aliase verfolgt
# Filterung auf Grund der Gruppe
# Nur wer in der Gruppe Mail ist darf auch Mail versenden
ldap_group_search_base: cn=mail,ou=Groups,dc=domain,dc=toplevel
ldap_group_attr: memberUid
ldap_group_match_method: filter
ldap_group_filter: (memberUid=%U)
ldap_group_scorpe: base
ldap_size_limit: 0
ldap_tls_check_peer: verschlüsseln yes / no



Die imapd.conf



allowanonymouslogin: no
allowplaintext: yes

sasl_pwcheck_method: saslauthd
sals_mech_list: PLAIN LOGIN


Und meine smtpd.conf



# Fuer LDAP Anmeldung
pwcheck_method: saslauthd
mech_list: plain login
sasl_minimum_layer: 0
sasl_auto_transition: no


Hoffe das hilft euch weiter



Gruß
Leon