Hallo Zusammen, aktuell setzen wir eine statische Loesung ein um unsere relay_recipients Liste zu pflegen. Ein perl-Skript fragt die Daten aus einen AD ab und erstellt eine Map-Datei die der postfix benutzt um gueltige Benutzer zu verifizieren.
Ich wuerde dies gerne dynamisch konfigurieren - per ldap Abfrage im postfix. Konnte dies auch testen.
Dazu 3 Fragen: 1. Mehreree LDAP Server Kann man mehrere LDAP Server angeben? Meine Aktuelle Konfig Datei sieht so aus: <snip> server_host = ldap1.intern.abc.de:389 ldap2.intern.abc.de:389 search_base = DC=abc,DC=de version = 3 bind_dn = ldap@abc.com bind_pw = mypw query_filter = (proxyAddresses=smtp:%s) result_attribute = mail <snip> Wie teste ich, ob nun ldap1 oder ldap2 benutzt wurde? Wird automatisch (z.B. bei Ausfall von ldap1) geswitched?
2. Ausfall des LDAP Dienstes Was passiert beim Ausfall des LDAP Dienstes? Werden die Mails rejected (gebounced) oder kommt es zu einem temp. Fehler?
3. Adress Rueckgabe Test queries haben ergeben, das immer die primaere SMTP Adresse zurueckgegeben wird. Ist dies ein Problem bei LDAP Abfragen? Beispiel: User 123 besitzt die SMTP Adressen abc.de und xyz.de Sowohl beim Query nach 123@abc.de als auch bei 123@xyz.de kommt die primaere Adresse 123@abc.de aus dem AD zurueck. Mail kommt fuer 123@xyz.de an - befindet der postfix aufgrund der OK Antwort des LDAP-Queries (es kommt ja die 123@abc.de aus dem AD zurueck) die Mail fuer OK?
mfg. ku
Am 20.09.2010 10:03 schrieb spambehaelter@hdkutz.de:
- Ausfall des LDAP Dienstes
Was passiert beim Ausfall des LDAP Dienstes? Werden die Mails rejected (gebounced) oder kommt es zu einem temp. Fehler?
Hierzu kann ich etwas sagen. Bei $site wurde pam an ldap gebunden und der postfix hat local delivery gemacht, also die systemuser via pam und damit ldap verifiziert. Das funktioniert solange der ldap verfügbar ist, sonst gibt es rejects, weil pam nur user unknown liefern kann und keine temporären Fehler. Aber wenn Du den postfix direkt mit dem LDAP verheiratest sollte es immer nur temporäre geben - wenn du das nicht überschreibts in der Config.
- Adress Rueckgabe
Test queries haben ergeben, das immer die primaere SMTP Adresse zurueckgegeben wird. Ist dies ein Problem bei LDAP Abfragen? Beispiel: User 123 besitzt die SMTP Adressen abc.de und xyz.de Sowohl beim Query nach 123@abc.de als auch bei 123@xyz.de kommt die primaere Adresse 123@abc.de aus dem AD zurueck.
dann prüfst du nur den teil vor dem @, würde ich umbauen, weil es ja sein kann, dass Du role accounts haben willst, die nur auf einer domain vorhanden sind. Die würden dann angenommen und vom nachgelagerten mda evtl. abgewiesen, weil die mailbox doch nicht existiert? Oder verstehe ich dich da falsch? Mir ist das noch nicht so ganz klar was du hier versuchst.
/Florian
Hallo ku,
spambehaelter@hdkutz.de schrieb am 20.09.2010 10:03 Uhr:
query_filter = (proxyAddresses=smtp:%s) result_attribute = mail
Du fragst nach proxyAddresses und willst als Antwort den Inhalt von mail erhalten.
User 123 besitzt die SMTP Adressen abc.de und xyz.de Sowohl beim Query nach 123@abc.de als auch bei 123@xyz.de kommt die primaere Adresse 123@abc.de aus dem AD zurueck.
Mail kommt fuer 123@xyz.de an - befindet der postfix aufgrund der OK Antwort des LDAP-Queries (es kommt ja die 123@abc.de aus dem AD zurueck) die Mail fuer OK?
Wenn 123@xyz.de in proxyAddresses steht und in mail nur 123@abc.de, dann ist das so wie du das konfiguriert hast. Du könntest natürlich auch proxyAddresses als result_attribute wählen, dann bekommst du aber immer den kompletten Satz an result_attribute des Objektes zurück, nicht nur den, mit dem du gesucht hast.
Marc
Zitat von spambehaelter@hdkutz.de:
Hallo Zusammen, aktuell setzen wir eine statische Loesung ein um unsere relay_recipients Liste zu pflegen. Ein perl-Skript fragt die Daten aus einen AD ab und erstellt eine Map-Datei die der postfix benutzt um gueltige Benutzer zu verifizieren.
Ich wuerde dies gerne dynamisch konfigurieren - per ldap Abfrage im postfix. Konnte dies auch testen.
Dazu 3 Fragen:
- Mehreree LDAP Server
Kann man mehrere LDAP Server angeben? Meine Aktuelle Konfig Datei sieht so aus:
<snip> server_host = ldap1.intern.abc.de:389 ldap2.intern.abc.de:389 search_base = DC=abc,DC=de version = 3 bind_dn = ldap@abc.com bind_pw = mypw query_filter = (proxyAddresses=smtp:%s) result_attribute = mail <snip> Wie teste ich, ob nun ldap1 oder ldap2 benutzt wurde? Wird automatisch (z.B. bei Ausfall von ldap1) geswitched?
Lt. Dokumentation (man ldap_table) wird immer der erste benutzt und erst bei einem Ausfall auf den zweiten, dritten etc. umgeschaltet.
- Ausfall des LDAP Dienstes
Was passiert beim Ausfall des LDAP Dienstes? Werden die Mails rejected (gebounced) oder kommt es zu einem temp. Fehler?
Wenn der LDAP Server nicht oder mit einem Server-Fehler antwortet wird Postfix die Mails mit temporärem Fehler (4xx codes) abweisen.
- Adress Rueckgabe
Test queries haben ergeben, das immer die primaere SMTP Adresse zurueckgegeben wird. Ist dies ein Problem bei LDAP Abfragen? Beispiel: User 123 besitzt die SMTP Adressen abc.de und xyz.de Sowohl beim Query nach 123@abc.de als auch bei 123@xyz.de kommt die primaere Adresse 123@abc.de aus dem AD zurueck. Mail kommt fuer 123@xyz.de an - befindet der postfix aufgrund der OK Antwort des LDAP-Queries (es kommt ja die 123@abc.de aus dem AD zurueck) die Mail fuer OK?
Das kommt drauf an. Da Ihr mit "result_attribute = mail" das "mail" Attribut abfragt, was meines Wissens nur die primäre Benutzer Mailadresse enthält ist das Ergebnis korrekt. Da für relay_recipients_maps sowieso nur zählt ob die Adresse vorhanden ist oder nicht ist das Ergebnis aber eh egal (http://www.postfix.org/postconf.5.html#relay_recipient_maps).
Gruß
Andreas
participants (4)
-
Florian Streibelt -
lst_hoe02@kwsoft.de -
Marc Patermann -
spambehaelter@hdkutz.de