Andre Tann wrote:
Sandy Drobic, Freitag, 17. März 2006 10:12:
Grins! Gar nicht. Wenn du über sasldb authentifizieren willst, dann ist saslauthd außen vor. Er muss also nicht mehr laufen. Vorteil ist, dass du keine Systemuser mehr hast. Nachteil ist, dass die Datenbank für alle Dienste sichtbar sein muss, die darauf zugreifen sollen (Postfix, Cyrus...). Falls du irgendwas im chroot hast, bekommst du wahrscheinlich Probleme. saslauthd kann nur plain text Passwörter, sollte also immer nur über TLS laufen, sasldb kann auch shared secret Mechanismen wie crammd5 oder digestmd5 verwenden.
Hm, also langsam wird es mir zwar klarer, aber so richtig den Durchblick habe ich noch nicht. Weißt Du eine Quelle, wo man da kompakt nachlesen kann zu den Vor- und Nachteilen der einzelnen Mechanismen, und wie die Mechanismen zusammenhängen?
Sorry, das ist einfach Wissen, das ich mir im Laufe der Zeit so angeeignet habe. Teilweise durch Lesen der Doku/man pages, teilweise durch Fachliteratur, teils auch durch Lerning-by-doing mit entsprechend viel Fluchen... Einiges kannst du aber auch durch Zurücklehnen und etwas Logik schon erkennen. So zum Beispiel, dass man plain Kennwörter eben nicht über eine unverschlüsselte Verbindung verwendet.
Und von TLS weiß ich auch noch nichts - das muß ich mir auch erst noch anlesen...
Für den Anfang reicht es ja, wenn du weisst, dass für TLS ein Zertifikat die Grundlage ist und dieses von einer Certificate Authority (CA) unterschrieben ist. Für den Hausgebrauch reicht ein selbst signiertes Zertifikat. Du musst für den Anfang ein selbstsigniertes Zertifikat erstellen (Anleitungen dazu gibt es genügend), dieses für die entsprechenden Anwendungen einbinden und die TLS-Optionen aktivieren. Das ist für Postfix nicht sehr schwer. Wenn das alles läuft, dann kannst du festsetzen, dass Postfix/Cyrus nur noch über eine verschlüsselte Verbindung arbeitet. Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com