Ldap für Mailbenutzerverwaltung?

[debian-climber]

Hallo zusammen,

ich habe mittlerweile einen fertigen Ldap Server am laufen. (fehlt nur noch das es über SSL funktioniert, wenn jemand weis wie das geht, bitte posten).
Meine Frage jetzt bezüglich Sicherheit usw.

Macht es Sinn dass sich meine Mailuser über den Ldap Server authentifizieren müssen? Oder doch lieber über Cyrus SASL?
Wir haben hier ne feste IP Addresse 1 Router seperat sowie 1 Web mit Mailserver seperat und einen seperaten Ldap Server. Auf allen läuft Debian mit noch vielen anderen Diensten. Demächst kommt noch unsere Domain auf unseren eigenen Server sprich, ab dann sind wir von draussen richtig erreichbar.

Macht das Sinn? Ich meine Prinzipiell JA, für was habe ich sonst eine zentrale Benutzerverwaltung wenn sie nur für die Anmeldung + Addressbuch zu gebrauchen ist. Aber wie ist das mit der Sicherheit usw.

Habt ihr damit schon Erfahrungen gemacht?

Viele Grüsse

Matthias

[debian-climber]

Arbeitet hier keiner mit ldap????

[Sven_R]

hi

bei ldap hast du den vorteil das du über die anmeldung für das mail system auch gleich die anmeldung für etliche weitere services erledigen kannst, so was sie eine one-sign-in lösung.

also einmal anmelden und alles im griff haben.

mit ldap sind dir da keine grenzen gesetzt.

du solltest mal im LiMa söbern.


==> Workshop: LDAP, Teil 1/ richtig ankolpfen

==> OpenLDAP-Praxis

==> ipsman

Cu

[Sven_R]

nochmal ich

fur ssl hab ich das gefunden

Code:

# wiedermal die Wurzel für die Suchanfragen der Clients
base dc=labnet,dc=de

# der LDAP Server, SSL verschluesselt
uri ldaps://192.168.100.1/

# die ID, mit der sich die Clients beim Server anmelden
binddn ou=nss,dc=labnet,dc=de

# hier ist das Passwort in Klartext
bindpw Geheim

# wenn ein Client mit rootrechten läuft,
# wird diese ID zur Anmeldung beim Server
# verwendet. Das Passwort ist in der separaten
# Datei /etc/ldap.secret (mode 600)
rootbinddn cn=Admin,dc=labnet,dc=de

# Use the OpenLDAP password change
# extended operation to update the password.
pam_password exop

#nss_base_passwd	dc=labnet,dc=de?sub
#nss_base_shadow	ou=shadow,dc=labnet,dc=de?one
#nss_base_group		ou=group,dc=labnet,dc=de?one
#nss_base_hosts		ou=hosts,dc=labnet,dc=de?one
#nss_base_services	ou=services,dc=labnet,dc=de?one
#nss_base_networks	ou=networks,dc=labnet,dc=de?one
#nss_base_protocols	ou=protocols,dc=labnet,dc=de?one
#nss_base_rpc		ou=rpc,dc=labnet,dc=de?one
#nss_base_ethers	ou=ethers,dc=labnet,dc=de?one
#nss_base_netmasks	ou=networks,dc=labnet,dc=de?ne
#nss_base_bootparams	ou=ethers,dc=labnet,dc=de?one
#nss_base_aliases	ou=aliases,dc=labnet,dc=de?one
#nss_base_netgroup	ou=netgroup,dc=labnet,dc=de?one

# OpenLDAP SSL
ssl on

gefunden im LiMa 2002/04


cu

[debian-climber]

merci,

werd ich machen.

Lustig. den ispman hab ich gerade eben installiert. :-)

http://ma-c.homelinux.com :-)

Viele Grüsse

Matthias

[jangehring]

Hi, also ich würde die auth auch mit ldap machen, => weniger aufwand

mailserver dafür: courier da geht das recht einfach.

c/u
jan

[debian-climber]

Hi Jan,

musste leider um disponieren.
Die Mailverwaltung kann ich leider nicht über ldap machen. Zwecks Sicherheit.

Wir haben hier wenn die Server sind 4 Server.

1 x Router (P 100, 32 MB Ram MGA Grafikkarte ;-) mit 3 Netzwerkkarten, 1 feste IP, DNS Server, Debian Woody)
1 x Server2 ( AMD K6 500 512 MB Ram, Web Server, Mail Server(Postfix, Cyrus Imapd und Pop3d, Bugzilla, Mysql, Phprojekt
von aussen erreichbar, Debian Woody)
1 x Server3 ( AMD K6 500 256 MB Ram, Ldap Server, DHCP, NFS(wird von OpenAFS ersetzt), CVS.
1 x Server4 Ein Backup Server, läuft noch nicht, muss noch aufgesetzt werden.

Das System sollte zum Schluss so aussehen dass unsere domain www.aicas.com auf unserem webserver liegt und die Mailverwaltung komplett über uns läuft.
Sprich Anfrage von draussen: www.aicas.com -> router -> server2 (port forwarding)
Server 3 und 4 soll nur fürs interne Netz zuständig sein. Alle Übertragungen intern sollten verschlüsselt sein (Postfix SSL, Cyrus SSL, LDAP SSL)

Router: eth0 = Externees Interface mit fester IP Addresese
eth1 = internes Interface für webserver: 192.168.2.1
eth2 = internes Inteface für die ganzen Clients und Server 3 und 4
Server2: eth0 = 192.168.2.2
Server3: eth0 = 192.168.1.5
Server4: eth0 = 192.168.1.4
Clients : 192.168.1.2-100

Dementsprechend sollte die Firewall danach ausgerichtet sein.

So sollte zum Schluss unser internes Netz aussehen.

Ldap funktioniert noch nicht über SSL und auch der Mailserver funktioniert noch nicht über SSL und SASL (benötige ich noch hilfe)
OpenAFS Server aufsetzen hab ich gemerkt ist recht schwierig. (benötige ich ebenfals noch hilfe)

Wie bekomm ich das System hier sicher?? mit sicher mein ich RICHTIG SICHER??

Bitte postet wenn ihr ein ähnliches System haben solltet


Viele Grüsse

Matthias

[pr0gm4]

Original geschrieben von albert_aicas
Hi Jan,

musste leider um disponieren.
Die Mailverwaltung kann ich leider nicht über ldap machen. Zwecks Sicherheit.

Wir haben hier wenn die Server sind 4 Server.

1 x Router (P 100, 32 MB Ram MGA Grafikkarte ;-) mit 3 Netzwerkkarten, 1 feste IP, DNS Server, Debian Woody)
1 x Server2 ( AMD K6 500 512 MB Ram, Web Server, Mail Server(Postfix, Cyrus Imapd und Pop3d, Bugzilla, Mysql, Phprojekt
von aussen erreichbar, Debian Woody)
1 x Server3 ( AMD K6 500 256 MB Ram, Ldap Server, DHCP, NFS(wird von OpenAFS ersetzt), CVS.
1 x Server4 Ein Backup Server, läuft noch nicht, muss noch aufgesetzt werden.

hast das script bekommen was ich dir gemailt habe ?

Das System sollte zum Schluss so aussehen dass unsere domain www.aicas.com auf unserem webserver liegt und die Mailverwaltung komplett über uns läuft.
Sprich Anfrage von draussen: www.aicas.com -> router -> server2 (port forwarding)
Server 3 und 4 soll nur fürs interne Netz zuständig sein. Alle Übertragungen intern sollten verschlüsselt sein (Postfix SSL, Cyrus SSL, LDAP SSL)

Router: eth0 = Externees Interface mit fester IP Addresese
eth1 = internes Interface für webserver: 192.168.2.1
eth2 = internes Inteface für die ganzen Clients und Server 3 und 4
Server2: eth0 = 192.168.2.2
Server3: eth0 = 192.168.1.5
Server4: eth0 = 192.168.1.4
Clients : 192.168.1.2-100

Dementsprechend sollte die Firewall danach ausgerichtet sein.

Kann ich dir auch noch nen script schicken ...

So sollte zum Schluss unser internes Netz aussehen.

Ldap funktioniert noch nicht über SSL und auch der Mailserver funktioniert noch nicht über SSL und SASL (benötige ich noch hilfe)

Wie gesagt versuch mal courier, hab das heute innerhalb von 3 stunden eingerichtet und laeuft wunderbar ...

OpenAFS Server aufsetzen hab ich gemerkt ist recht schwierig. (benötige ich ebenfals noch hilfe)

Wie bekomm ich das System hier sicher?? mit sicher mein ich RICHTIG SICHER??

Neuer Kernel und patch grsecurity noch dazu sollte ausreichen vorerstmal

Bitte postet wenn ihr ein ähnliches System haben solltet


Viele Grüsse

Matthias

c/u
jan

[mamue]

Warum ist ldap nicht sicher?
Bei der Steuerungdes Mailservers bleiben die Anfragen doch lokal.
Passwörter werden verschlüsselt übertragen und es lässt sich einstellen, wer was lesen oder schreiben darf (die acls).
Ich habe den ldap als single-(source of)-sign on mit samba und die virtual-user über ldap mittels des laser.schema realisiert.

Würde mich daher interessieren, was daran unsicher ist.

mamue

[pr0gm4]

weil er ldap und noch nicht ldaps hat ...

[[WCM]Manx]

Hi!

@pr0gm4

Du scheinst ja einige gute Scripts auf Lager zu haben.
*auchhabenwill*

Bitte mailen, oder pm zwecks Adresse

Thx

Manx

[debian-climber]

@mamue
zum einen weil es noch nicht über SSL geht zum anderen hätten die Mail Benutzer die gleichen Benutzernamen und Passwörter wie auch die LDAP Benutzer von unserem System. Ist das so toll wenn man auf Sicherheit sehr achtet???

Ich denke nicht.

Selbst wenn alle Verbindungen sicher sind über SSL oder TLS, was bringt das alles wenn der E-Mail Client die Passwörter zum Schluss im Plain Text speichert?? Sind super leicht zu finden.
Darum ein getrenntes System mit verschiedenen usern und verschiedenen Passwörtern.

@pr0gm4
vielen dank Jan



Viele Grüsse

Matthias

[mamue]

Der Sinn von ldap ist es in der Tat, für verschiedene Dienste dei selben Konten zur Verfügung zu stellen.
Wenn die clients die Passwörter zwischenspeichern, hast Du generell ein Problem, ob nun ldap oder sonst was, es sei denn, es gibt für jede Session ein neues passwort ;-).
Wenn es wirklich sichherheitskritisch wird, würde ich vermutlich generell IPSec nehmen wollen. FreeSwan und W2k harmonieren da recht gut, meiner Erfahrung nach.
Du wirst gute Gründe haben.
Ich meine jedoch, dass der Wert der Informationen häufig geringer ist als der Aufwand diese zu hacken (ldap abfragen lokal, IMAP/s client).

Just my $0,02,
mamue