[postfix-users] Postfix: LDAP für Mailadressen-Anfragen?
Hallo Mailingliste,
ich bin mir nicht sicher, wo ich bei Postfix (aktuelles Paket unter Debian squeeze) den Hebel ansetzen muss, um das zu erreichen was ich möchte:
Ich habe User in einem LDAP-Verzeichnis stehen. Diese User sollen wahlweise auch E-Mails empfangen können.
Brauchen diese User eigentlich einen Account auf dem Rechner?
Bin für Tipps/Hinweise/etc. dankbar,
Jens
Hallo Jens,
* Jens Bürger jbuerger@arcor.de:
ich bin mir nicht sicher, wo ich bei Postfix (aktuelles Paket unter Debian squeeze) den Hebel ansetzen muss, um das zu erreichen was ich möchte:
Ich habe User in einem LDAP-Verzeichnis stehen. Diese User sollen wahlweise auch E-Mails empfangen können.
Brauchen diese User eigentlich einen Account auf dem Rechner?
Nicht zwingend. Meistens will man das ja gerade im Mailhosting gerade nicht, damit Mailuser nicht gleichzeitig lokalen Shell-Zugriff auf den Mailserver erhalten können.
Bin für Tipps/Hinweise/etc. dankbar,
Bevor ich jetzt alle Möglichkeiten durchspiele, die mir einfallen (und andere noch drei nennen, die mir nicht in den Sinn kamen) bitte ich Dich mal zusammenzuschreiben was Du gerne machen möchtest. In etwa so:
Ich will mit Postfix und Dovecot eine Mailserver bauen. Die User, Mail-Adressen, Passwörter etc. sollen aus einen LDAP-Server kommen und SMTP AUTH möchte ich mit Dovecot SASL machen.
p@rick
Am 31.03.2012 um 21:09 schrieb Patrick Ben Koetter:
Brauchen diese User eigentlich einen Account auf dem Rechner?
Nicht zwingend. Meistens will man das ja gerade im Mailhosting gerade nicht, damit Mailuser nicht gleichzeitig lokalen Shell-Zugriff auf den Mailserver erhalten können.
Das löst man ja idR über /usr/bin/nologin oder sowas als Login-Shell, aber irgendwie wäre mir lieber, wenn es für die ganzen User die Konten an sich erst garnicht gäbe.
Bin für Tipps/Hinweise/etc. dankbar,
[Beschreibung]
OK, dann mal los: Ich habe einen Server im Internet, auf dem diverse Webdienste laufen sollen, die sich alle über einen LDAP auf der Kiste authentifizieren sollen. Viele, aber ggf. nicht alle User im LDAP sollen eine E-Mail-Adresse bekommen. Postfix soll bei einer ankommenden Mail (neben den normalen lokalen Einstellungen) aufgrund des Ergebnisses einer LDAP-Anfrage entscheiden, ob es die Mail annimmt und verarbeitet oder zurückweist.
Die User mit Mailadresse sollen SMTP (mit SMTP Auth) und IMAP bekommen, jeweils verschlüsselt und jeweils über LDAP authentifiziert. Bei der SASL-Implementierung und dem IMAP-Server habe ich keine Präferenzen, ich nehme das was einfacher geht ;)
Vielen Dank schonmal,
Jens
Am 01.04.2012 10:17 schrieb Jens Bürger:
Am 31.03.2012 um 21:09 schrieb Patrick Ben Koetter:
Brauchen diese User eigentlich einen Account auf dem Rechner?
Nicht zwingend. Meistens will man das ja gerade im Mailhosting gerade nicht, damit Mailuser nicht gleichzeitig lokalen Shell-Zugriff auf den Mailserver erhalten können.
Das löst man ja idR über /usr/bin/nologin oder sowas als Login-Shell, aber irgendwie wäre mir lieber, wenn es für die ganzen User die Konten an sich erst garnicht gäbe.
Nö, indem im LDAP der User kein PosixAccount bekommt als "LDAP-Typ" - für mail braucht es das entsprechende Schema ja nicht. Dann hat das Blatt im LDAP, also der Eintrag, weder eine uid noch eine gid oder eine shell - aber eine Mailadresse und evtl. eine Liste von alternativen Adressen.
Bin für Tipps/Hinweise/etc. dankbar,
[Beschreibung]
OK, dann mal los: Ich habe einen Server im Internet, auf dem diverse Webdienste laufen sollen, die sich alle über einen LDAP auf der Kiste authentifizieren sollen. Viele, aber ggf. nicht alle User im LDAP sollen eine E-Mail-Adresse bekommen. Postfix soll bei einer ankommenden Mail (neben den normalen lokalen Einstellungen) aufgrund des Ergebnisses einer LDAP-Anfrage entscheiden, ob es die Mail annimmt und verarbeitet oder zurückweist.
Was sind für Dich 'normale lokale Einstellungen'? Wo soll der LDAP laufen? Bei dem Setup empfehle ich Dir eine lokale Kopie des LDAP vorzuhalten, die regelmässig synchronisiert wird, da zum Einen relativ viele Abfragen erfolgen beim Auflösen von mailaliasen und dergleichen und da Du vermutlich die Mails nicht abweisen willst, nur weil die Internetanbindung des LDAP kurz weg ist oder der gewartet wird. (LDAP kann so eine synchronisation durchaus (fast) automatisch.)
Die User mit Mailadresse sollen SMTP (mit SMTP Auth) und IMAP bekommen, jeweils verschlüsselt und jeweils über LDAP authentifiziert. Bei der SASL-Implementierung und dem IMAP-Server habe ich keine Präferenzen, ich nehme das was einfacher geht ;)
Das klingt eigentlich nach dem normalen postfix, dovecot und ldap setup - wenn man weiß wie, ist das 'trivial'
Einfach mal danach googlen gibt z.b. dieses Ergebnis:
http://www.howtoforge.com/postfix-virtual-hosting-with-ldap-and-dovecot-on-u...
Es sollten sich aber auch aktuellere Howtos finden. Ansonsten einfach weiter hier fragen.
Ansonsten finden sich auch garantiert Leute, die Dir sowas gegen Bezahlung aufsetzen ;)
Grüße, Florian
PS: Bist Du auf der Mailinliste subscribed? Dann kann man sich das CC an Dich sparen.
Am 01.04.2012 um 14:04 schrieb Florian Streibelt:
Am 01.04.2012 10:17 schrieb Jens Bürger:
Am 31.03.2012 um 21:09 schrieb Patrick Ben Koetter:
Brauchen diese User eigentlich einen Account auf dem Rechner?
Nicht zwingend. Meistens will man das ja gerade im Mailhosting gerade nicht, damit Mailuser nicht gleichzeitig lokalen Shell-Zugriff auf den Mailserver erhalten können.
Das löst man ja idR über /usr/bin/nologin
[…]
Nö, indem im LDAP der User kein PosixAccount bekommt als "LDAP-Typ" - für mail braucht es das entsprechende Schema ja nicht. Dann hat das Blatt im LDAP, also der Eintrag, weder eine uid noch eine gid oder eine shell - aber eine Mailadresse und evtl. eine Liste von alternativen Adressen.
Stimmt, so gehts natürlich auch. Meine Antwort mit dem nologin war mehr allgemein gemeint.
[…]
Was sind für Dich 'normale lokale Einstellungen'?
Damit war nur gemeint, dass ich bspw. die hash:/etc/aliases weiter nutzen möchte.
Wo soll der LDAP laufen?
Auf der gleichen Maschine.
Die User mit Mailadresse sollen SMTP (mit SMTP Auth) und IMAP bekommen, jeweils verschlüsselt und jeweils über LDAP authentifiziert. Bei der SASL-Implementierung und dem IMAP-Server habe ich keine Präferenzen, ich nehme das was einfacher geht ;)
Das klingt eigentlich nach dem normalen postfix, dovecot und ldap setup - wenn man weiß wie, ist das 'trivial'
Wenn man weiß, wie, ist praktisch alles trivial ;)
Einfach mal danach googlen gibt z.b. dieses Ergebnis:
http://www.howtoforge.com/postfix-virtual-hosting-with-ldap-and-dovecot-on-u...
Das tut ja schonmal ziemlich das, was ich brauche - ich schaue mal, dass ich das hinbekomme und ohne phamm und gnarwl aufgesetzt bekomme - die brauche ich ja nciht.
Es sollten sich aber auch aktuellere Howtos finden.
... zumindest keine, die annähernd das tut was ich will :)
Ansonsten einfach weiter hier fragen.
Danke.
PS: Bist Du auf der Mailinliste subscribed?
Ja.
Gruß, Jens
participants (3)
-
Florian Streibelt -
Jens Bürger -
Patrick Ben Koetter