| Новые программы oszone.net |  |
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
Втупление:
Управляем пользователями посредством AD.
Имеем Postfix настроенный в качестве front-end для Exchange (хотя он здесь
вовсе ни причем, но так многим понятней).
Хотим для мобильных пользователей настроить smtp аутентификацию, но нехотим
или неможем вести дополнительную базу пользователей.
Решение:
В данном случае будем использовать возможности PAM. Суть решения такова:
Postfix для smtp аутентификации использует sasl который в свою очередь
использует методsaslauthd запущенный с опцией -a pam. Система, зная о сервисе
smtp, в данном случае FreeBSD 4.x для аутентификации пользователя из AD
использует pam_ldap.
Данная статья предполагает, что у вас Postfix 2.х собран с поддержкой
cyrus-sasl2и установлен cyrus-sasl2-saslauthd. Также надо установить pam_ldap.
1. cyrus-sasl надо указать метод аутентификации:
cat /usr/local/lib/sasl2/smtpd.conf
pwcheck_method: saslauthd
Этот метод работает только с паролями plain и login. Saslauthd запускаем
с опцией "-a pam"
2. postfix надо сообщить о smtp аутентификации через sasl:
smtpd_sasl_auth_enable = yes
smtpd_sasl_application_name = smtpd
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain = $myhostname
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated,
reject_unauth_destination
3. PAM надо знать о сервисе smtp и и какой модуль применять:
cat /etc/pam.conf
# Mail services
smtp auth sufficient /usr/local/lib/pam_ldap.so
4. pam_ldap для взаимодействия с AD использует ldap.conf следующего вида:
base dc=domain,dc=org
scope sub
uri ldap://server.domain.org
port 389
ldap_version 3
binddn cn=ldap,cn=Users,dc=domain,dc=org
bindpw qwerty
pam_filter objectclass=User
pam_login_attribute sAMAccountName
pam_password ad
В этом примере в контейнере Users в Active Directory Users and Copmputers был
создан пользователь ldap с паролем qwerty. Он нужен для подключения к AD и
поиска атрибутов логин/пароль. Соответственно значения server, domain, org а
также имя пользователя поменяйте на свои. На файл ldap.conf можно поставить
права 600.
В случае если всё прошло удачно в maillog видим:
postfix/smtpd[28892]: 4ACBCEDE11: client=my-host[192.168.12.6],
sasl_method=PLAIN, sasl_username=my-user@mx.domain.org
Вывод:
Одна учетная запись - это удобно. Идею можно применить и для других служб (ftp,
pop, imap и т.д.).
Теги:
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.
|
|
