[postfix-users] ldaps fuer Alias-Konfiguration

[Florian Streibelt]

Am 10.06.2011 08:58 schrieb Margrit Lottmann:
> Wir testen gerade den Umstieg von hash-Tabellen auf ab jetzt verfuegbare
> Adress/Alias-Daten auf einem LDAP-Server... Es klappt nicht.
> Wir wollen kein anonymous bind ...sondern ueber ein vergebenes Nutzerprofil
> zugeifen...die entsprechenden bind-Angaben stehen in der ldap.cf-Datei ,
> die in main.cf
> referenziert wurde...

Hier eine ldap-aliases.cf aus einer laufenden config eines gentoos:

ist eingebunden als ldap-aliases.cd wie folgt:

virtual_alias_maps = hash:/etc/postfix/virtual,
ldap:/etc/postfix/ldap-aliases.cf, ldap:/etc/postfix/ldap-forwards.cf

Wir benutzen allerdings TLS und nicht ldaps - hat den Vorteil dass nur ein
Port offen sein muss.

Der Inhalt:

bind = yes
bind_dn = uid=postfix,ou=services,dc=XXXX,dc=XX
bind_pw = XXXXXXXX
version = 3
debuglevel = 0
timeout = 30

size_limit = 0
expansion_limit = 0

# Use TLS
start_tls = yes
tls_require_cert = yes

server_host = ldap.XXXXXX.XX
search_base = ou=users,dc=XXXX,dc=XX

scope = sub
query_filter =    (& (|(mailAlternateAddress=%s)(mailGroupAddress=%s))
(|(mailAccountStatus=active)(mailAccountStatus=fwdonly)) )
result_attribute = mail



>
> Meine google-Suche fuehrte mich zur Uni Erlangen...da wurde das auch
> dokumentiert...
> (chroot-Umgebungen, Zugriffsprobleme auf Zertifikate???).

um zu testen ob das an den zertifikaten liegt kann man
  tls_require_cert = no
setzen. Die postfix binaries laufen aus einem automatisch erstellten chroot
- was auch schon bei der benutzung von libgnutls zu Problemen mit nicht
vorhandenen /dev/random /dev/urandom device nodes führt.

>
> Geht es nicht mit ldaps ???

schon, man muss dann nur dafür sorgen, dass man das ggf. selbsterzeugte
Zertifikat im system installiert hat. Bei linux nach /ets/ssl/certs
kopieren und c_rehash aufrufen.

Soweit ich das verstanden habe hat postfix genau für sowas den tlsmgr, der
an die zertifikate des systems herankommt.


Grüße,
  Florian