Am 10.06.2011 08:58 schrieb Margrit Lottmann:
Wir testen gerade den Umstieg von hash-Tabellen auf ab jetzt verfuegbare Adress/Alias-Daten auf einem LDAP-Server... Es klappt nicht. Wir wollen kein anonymous bind ...sondern ueber ein vergebenes Nutzerprofil zugeifen...die entsprechenden bind-Angaben stehen in der ldap.cf-Datei , die in main.cf referenziert wurde...
Hier eine ldap-aliases.cf aus einer laufenden config eines gentoos:
ist eingebunden als ldap-aliases.cd wie folgt:
virtual_alias_maps = hash:/etc/postfix/virtual, ldap:/etc/postfix/ldap-aliases.cf, ldap:/etc/postfix/ldap-forwards.cf
Wir benutzen allerdings TLS und nicht ldaps - hat den Vorteil dass nur ein Port offen sein muss.
Der Inhalt:
bind = yes bind_dn = uid=postfix,ou=services,dc=XXXX,dc=XX bind_pw = XXXXXXXX version = 3 debuglevel = 0 timeout = 30
size_limit = 0 expansion_limit = 0
# Use TLS start_tls = yes tls_require_cert = yes
server_host = ldap.XXXXXX.XX search_base = ou=users,dc=XXXX,dc=XX
scope = sub query_filter = (& (|(mailAlternateAddress=%s)(mailGroupAddress=%s)) (|(mailAccountStatus=active)(mailAccountStatus=fwdonly)) ) result_attribute = mail
Meine google-Suche fuehrte mich zur Uni Erlangen...da wurde das auch dokumentiert... (chroot-Umgebungen, Zugriffsprobleme auf Zertifikate???).
um zu testen ob das an den zertifikaten liegt kann man tls_require_cert = no setzen. Die postfix binaries laufen aus einem automatisch erstellten chroot - was auch schon bei der benutzung von libgnutls zu Problemen mit nicht vorhandenen /dev/random /dev/urandom device nodes führt.
Geht es nicht mit ldaps ???
schon, man muss dann nur dafür sorgen, dass man das ggf. selbsterzeugte Zertifikat im system installiert hat. Bei linux nach /ets/ssl/certs kopieren und c_rehash aufrufen.
Soweit ich das verstanden habe hat postfix genau für sowas den tlsmgr, der an die zertifikate des systems herankommt.
Grüße, Florian