Hallo Sandy, Sandy Drobic schrieb:
Clientzertifikate:
Der Server akzeptiert nur die Zertifikate, die von der CA kommen, die beim Server als vertrauenswürdig eingetragen sind. Das ist der Unterschied, wenn der Server explizit nach einem Clientzertifikat fragt im Gegensatz zu einem verschlüsselten Tunnel. Der eingetragene Name (common name) im Zertifikat dient dann zur Authentifikation des Clients.
Yep, das ist, was ich benötige.
Verschlüsselter Tunnel:
Der Server einigt sich mit dem Client auf ein gemeinsames Verfahren zur Verschlüsselung, der common name des Client dient nicht nur Authentifikation, der Client bekommt eine Warnung, wenn die CA des Server-Zertifikats nicht in seiner Liste der vertrauenswürdigen Zertifikate besteht, kann dieses aber trotzdem akzeptieren.
So habe ich das auch verstanden.
Cyrus spezifisch:
Wie üblich ist die Dokumentation für Cyrus besch... eiden, höflich ausgedrückt.
Das ist das Problem. Und wenn man sich nur selten damit beschäftigt, ist man doch nicht so sehr mit den Konfigurationsparametern vertraut.
Aber hier ein Ausschnitt aus einer Releasenote:
Update of /afs/andrew/system/cvs/src/cyrus/man In directory unix3.andrew.cmu.edu:/usr/tmp/cvs-serv1931/man
Modified Files: imapd.conf.5 Log Message: added tls*_require_cert option [...] Die Man-Page kennt nur auf tls_require_cert. :-((
Traurig, dass die einzelnen Optionen nicht in der Man-Page erwähnt werden. Oder sind sie zwischenzeitlich wieder rausgeflogen? Das Changelog ist ja bereits von 2002 ...
Um für externe und interne Clients unterschiedliche Bedingungen zu präsentieren, musst du die Serverkonfig auf diesen Ports abändern. Auf den ersten Blick habe ich aber nicht feststellen können, ob sich der Konfigpfad für eine zweite Instanz ändern lässt (per -use-config-file oder ähnliches für eine zweite Instanz).
Daran habe ich auch schon gedacht, in cyrus.conf unterschiedliche imapd.conf-Dateien für imap und imaps anzugeben. Aber evt. geht es auch anders. Siehe unten.
Die einzige Option in der man page war ein tcp wrapper, der auf IP-Basis entscheidet, ob der Zugriff auf einen service in /etc/cyrus.conf erlaubt ist oder nicht. Für eine Unterscheidung internes Netz / Internet sollte es reichen.
Ohne Sourcecode-Analyse und Änderung wirst du wohl nicht ans Ziel kommen.
Die in den Emails von Ortwin und Dir erwähnte Option "tls_require_cert" kann wohl durch eine weitere Option "allowplainwithouttls" entschärft werden. Ich habe jetzt eine Testmaschine aufgesetzt mit den Optionen tls_require_cert: yes allowplainwithouttls: yes Ohne diese Optionen konnte ich den IMAP-Server mit und ohne TLS/SSL mit Klartext-Passwort erreichen. Mit diesen Optionen geht Klartext-Login nur noch über Port 143, über Port 993 kommt keine Verbindung mehr zustande. Der Fehler ist: "imaps TLS negotiation failed". Ich muß jetzt nur noch ein Client-Zertifikat erzeugen und dann sehen, ob es damit auch mit TLS wieder geht ... Danke für die Hilfe und viele Grüße, Martin -- Martin Burnicki Meinberg Funkuhren Bad Pyrmont Germany -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org