cyrus: wie kann man das User-Passwort festlegen
Hallo allerseits, ich möchte meinen lokalen cyrus-imapd nach aussen "anbieten", d.h. dass man sich Mails auch von ausserhalb des lokalen Netzes abholen kann (bisher sitzt cyrus hinter einer Firewall). Daher möchte ich deutlich "stärkere" Passwörter als die lokalen User-Passwörter benutzen. Wo / wie kann man die Passwörter angeben, ohne die lokalen User-Passwörter zu ändern? Gibt es ein gutes HowTo, wie man die Verbindung zu cyrus verschlüsselt betreiben kann? Danke schon mal für alle Hinweise Jürgen -- Dr.rer.nat. Juergen Vollmer, Viktoriastrasse 15, D-76133 Karlsruhe Tel: +49(721) 92 04 87 1 Fax: +49(721) 92 04 87 2 Juergen.Vollmer@informatik-vollmer.de www.informatik-vollmer.de Internet-Telefonie: www.skype.com Benutzer: juergen.vollmer ------------------------------------------------------------------------------- Diese EMail ist elektronisch mittels GPG / PGP signiert. Diese elektronische Unterschrift ist in einem EMail-Anhang enthalten. Leider kann die Signatur ohne die Installation entsprechender Programme weder geprüft noch angezeigt werden. Mehr dazu unter: http://www.gnupg.org oder auch http://www.pgpi.org ------------------------------------------------------------------------------- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
"Dr. Jürgen Vollmer" schrieb:
Hallo allerseits,
ich möchte meinen lokalen cyrus-imapd nach aussen "anbieten", d.h. dass man sich Mails auch von ausserhalb des lokalen Netzes abholen kann (bisher sitzt cyrus hinter einer Firewall). Daher möchte ich deutlich "stärkere" Passwörter als die lokalen User-Passwörter benutzen. Wo / wie kann man die Passwörter angeben, ohne die lokalen User-Passwörter zu ändern? du kannst die Athentifikation einstellen (huch.. cyrus.conf oder imapd.conf ?)
Gibt es ein gutes HowTo, wie man die Verbindung zu cyrus verschlüsselt betreiben kann?
keine Ahnung aus dem Hut.. denke aber z.B. Peer Heinlein + Peer Hartleben: POP3 und IMAP (Buch) Da wird das Thema relativ gut behandelt (mein Problem: wenn läuft, dann läuft :) ..da bastle ich nicht jeden Tag dran rum) Verschlüsselt wird hier eher per openVPN abgehandelt.. aber im Buch geht es auch um ssh/tls
Danke schon mal für alle Hinweise
Jürgen
Fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
"Dr. Jürgen Vollmer"
Hallo allerseits,
ich möchte meinen lokalen cyrus-imapd nach aussen "anbieten", d.h. dass man sich Mails auch von ausserhalb des lokalen Netzes abholen kann (bisher sitzt cyrus hinter einer Firewall). Daher möchte ich deutlich "stärkere" Passwörter als die lokalen User-Passwörter benutzen. Wo / wie kann man die Passwörter angeben, ohne die lokalen User-Passwörter zu ändern?
Gibt es ein gutes HowTo, wie man die Verbindung zu cyrus verschlüsselt betreiben kann?
Es gibt mehrere Möglichkeiten eines Passwort-Repositories. Wenn es sich nur um wenige Anwender handelt, nimm sasldb als Repository und saslauthd als Auth-Daemon. Wenn es mehrere Sein sollen, nimm OpenLDAP als Repository und ldapdb als auxprop plugin. Ich persönlich benutze natürlich OpenLDAP und ldapdb. Wenn du als SASL-Mechanism DIGEST-MD5 verwendest, wird der Datentransport verschlüsselt durchgeführt, mit anderen Mechanisms solltest du StartTLS konfigurieren. Patrick Koetter hat dazu mehrere Verträge veröffentlicht: http://www.state-of-mind.de/assets/cyrus_sasl_vortrag_mailserver-konferenz.p... http://www.state-of-mind.de/assets/cyrus_sasl_vortrag.pdf Natürlich kannst du dich auch meinen Veröffentlichungen zu dem Thema, speziell zu LDAP und ldapdb, zuwenden. -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:8EF7B6C6 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Am 22.02.2010 13:58, schrieb Dieter Kluenter:
"Dr. Jürgen Vollmer"
writes: Hallo allerseits,
ich möchte meinen lokalen cyrus-imapd nach aussen "anbieten", d.h. dass man sich Mails auch von ausserhalb des lokalen Netzes abholen kann (bisher sitzt cyrus hinter einer Firewall). Daher möchte ich deutlich "stärkere" Passwörter als die lokalen User-Passwörter benutzen. Wo / wie kann man die Passwörter angeben, ohne die lokalen User-Passwörter zu ändern?
Gibt es ein gutes HowTo, wie man die Verbindung zu cyrus verschlüsselt betreiben kann?
Es gibt mehrere Möglichkeiten eines Passwort-Repositories. Wenn es sich nur um wenige Anwender handelt, nimm sasldb als Repository und saslauthd als Auth-Daemon. Wenn es mehrere Sein sollen, nimm OpenLDAP als Repository und ldapdb als auxprop plugin. Ich persönlich benutze natürlich OpenLDAP und ldapdb. Wenn du als SASL-Mechanism DIGEST-MD5 verwendest, wird der Datentransport verschlüsselt durchgeführt, mit anderen Mechanisms solltest du StartTLS konfigurieren. Patrick Koetter hat dazu mehrere Verträge veröffentlicht: http://www.state-of-mind.de/assets/cyrus_sasl_vortrag_mailserver-konferenz.p... http://www.state-of-mind.de/assets/cyrus_sasl_vortrag.pdf Natürlich kannst du dich auch meinen Veröffentlichungen zu dem Thema, speziell zu LDAP und ldapdb, zuwenden.
-Dieter
vielen Dank für die Tips: Ich habe nun folgendes gemacht: in /etc/imapd.conf die Zeile sasl_pwcheck_method: auxprop hinzugefügt und die Datei /etc/sasl2/imap.conf mit folgendem Inhalt angelegt: pwcheck_method: auxprop mech_list: DIGEST-MD5 CRAM-MD5 log_level: 3 auxprop_plugin: sasldb und mit saslpasswd2 die Benutzer und deren Passwörter angelegt. Nun möchte ich doch noch SSL oder TLS benutzen, aber wie macht man das? Bye Jürgen -- Dr.rer.nat. Juergen Vollmer, Viktoriastrasse 15, D-76133 Karlsruhe Tel: +49(721) 92 04 87 1 Fax: +49(721) 92 04 87 2 Juergen.Vollmer@informatik-vollmer.de www.informatik-vollmer.de Internet-Telefonie: www.skype.com Benutzer: juergen.vollmer ------------------------------------------------------------------------------- Diese EMail ist elektronisch mittels GPG / PGP signiert. Diese elektronische Unterschrift ist in einem EMail-Anhang enthalten. Leider kann die Signatur ohne die Installation entsprechender Programme weder geprüft noch angezeigt werden. Mehr dazu unter: http://www.gnupg.org oder auch http://www.pgpi.org ------------------------------------------------------------------------------- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
"Dr. Jürgen Vollmer"
Hallo Am 22.02.2010 13:58, schrieb Dieter Kluenter:
"Dr. Jürgen Vollmer"
writes: Hallo allerseits, [...] Wenn du als SASL-Mechanism DIGEST-MD5 verwendest, wird der Datentransport verschlüsselt durchgeführt, mit anderen Mechanisms solltest du StartTLS konfigurieren. Patrick Koetter hat dazu mehrere Verträge veröffentlicht: http://www.state-of-mind.de/assets/cyrus_sasl_vortrag_mailserver-konferenz.p... http://www.state-of-mind.de/assets/cyrus_sasl_vortrag.pdf Natürlich kannst du dich auch meinen Veröffentlichungen zu dem Thema, speziell zu LDAP und ldapdb, zuwenden.
-Dieter
vielen Dank für die Tips: Ich habe nun folgendes gemacht:
in /etc/imapd.conf die Zeile
sasl_pwcheck_method: auxprop
hinzugefügt und die Datei /etc/sasl2/imap.conf mit folgendem Inhalt angelegt:
pwcheck_method: auxprop mech_list: DIGEST-MD5 CRAM-MD5 log_level: 3 auxprop_plugin: sasldb
und mit saslpasswd2 die Benutzer und deren Passwörter angelegt.
Nun möchte ich doch noch SSL oder TLS benutzen, aber wie macht man das?
Eigentlich ganz simpel, eine Certificate Authority erstellen, ein Host Certificate erstellen, den private Key aus dem Host Certificate extrahieren, die Certificate Authority den Clients bekanntmachen, den Imap Server für starttls konfigurieren. Wie immer gibt es mehrere Möglichkeiten zur Erstellung der Certifikates: 1. Möglichkeit: in /usr/share/ssl/misc gibt es einige Tools. Kopiere CA.pl in ein Unterverzeichnis von $HOME, z.B. $HOME/certs, sieh dir /etc/ssl/openssl.cnf an und modifiziere gegebenenfalls. Dann: ./CA.pl -newca, damit erstellt du eine Certificate Authority ./CA.pl -newreq, das wird das Host Certificate erstellt, bei der Frage nach dem Common Name gibt du unbedingt den FQDN an, denn das wird bei einer Verbindung vom Client geprüft. ./CA.pl -sign, damit signiert die CA das Certficate openssl rsa -in newreq.pem -out myhostkey.pem, damit der der private Key für das Host Certificate erstellt mv newcert.pem myhostcert.pem, ./CA.pl -verify myhostcert.pem das ist es eigentlich schon. jetzt musst du nur noch alle Clients mit der CA ausstatten und dem imap-Server für starttls konfigurieren. 2. Möglichkeit: die ganze Prozedur mit tinyCA durchführen, das ist nichts anders als ich oben beschrieben habe, nur dass du dazu ein grafisches Tool benutzt, welches die die Schritte vorgibt. http://tinyca.sm-zone.net/index_ger.html 3. Möglichkeit: die ganze Prozedur mit Yast machen, also: CA erzeugen, Host Certificate erstellen, Host Certifcate signieren, privte Host Key extrahieren. -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:8EF7B6C6 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
"Dr. Jürgen Vollmer"
Hallo Am 22.02.2010 13:58, schrieb Dieter Kluenter:
"Dr. Jürgen Vollmer"
writes:
vielen Dank für die Tips: Ich habe nun folgendes gemacht:
in /etc/imapd.conf die Zeile
sasl_pwcheck_method: auxprop
hinzugefügt und die Datei /etc/sasl2/imap.conf mit folgendem Inhalt angelegt:
pwcheck_method: auxprop mech_list: DIGEST-MD5 CRAM-MD5 log_level: 3 auxprop_plugin: sasldb
und mit saslpasswd2 die Benutzer und deren Passwörter angelegt.
Ein paar Bemerkungen zum log_level. Es ist dir bewusst, dass sasl nach auth logged? In den Defaulteinstellungen von syslog-ng wird nicht nach auth gelogged. Du solltest daher /etc/syslog-ng/syslog-ng.conf anpassen, z.B. (sofern du syslog-ng benutzt): ... filter f_auth { facility(auth); }; ... destination auth { file("/var/log/auth"); }; -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:8EF7B6C6 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, Am 22.02.2010 21:41, schrieb Dieter Kluenter:
Ein paar Bemerkungen zum log_level. Es ist dir bewusst, dass sasl nach auth logged?
Nein.
In den Defaulteinstellungen von syslog-ng wird nicht nach auth gelogged. Du solltest daher /etc/syslog-ng/syslog-ng.conf anpassen, z.B. (sofern du syslog-ng benutzt): ... filter f_auth { facility(auth); }; ... destination auth { file("/var/log/auth"); };
hab' ich gemacht, und syslog-ng neu gestartet, aber es erscheint keine Ausgabe in /var/log/auth noch in /var/log/messages. Bye Jürgen -- Dr.rer.nat. Juergen Vollmer, Viktoriastrasse 15, D-76133 Karlsruhe Tel: +49(721) 92 04 87 1 Fax: +49(721) 92 04 87 2 Juergen.Vollmer@informatik-vollmer.de www.informatik-vollmer.de Internet-Telefonie: www.skype.com Benutzer: juergen.vollmer ------------------------------------------------------------------------------- Diese EMail ist elektronisch mittels GPG / PGP signiert. Diese elektronische Unterschrift ist in einem EMail-Anhang enthalten. Leider kann die Signatur ohne die Installation entsprechender Programme weder geprüft noch angezeigt werden. Mehr dazu unter: http://www.gnupg.org oder auch http://www.pgpi.org ------------------------------------------------------------------------------- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
"Dr. Jürgen Vollmer"
Hallo, Am 22.02.2010 21:41, schrieb Dieter Kluenter:
Ein paar Bemerkungen zum log_level. Es ist dir bewusst, dass sasl nach auth logged?
Nein.
In den Defaulteinstellungen von syslog-ng wird nicht nach auth gelogged. Du solltest daher /etc/syslog-ng/syslog-ng.conf anpassen, z.B. (sofern du syslog-ng benutzt): ... filter f_auth { facility(auth); }; ... destination auth { file("/var/log/auth"); };
hab' ich gemacht, und syslog-ng neu gestartet, aber es erscheint keine Ausgabe in /var/log/auth noch in /var/log/messages.
Wenn es funktioniert, wird nichts gelogged, wenn es nicht funktioniert, erhöhe den Loglevel auf 7. -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:8EF7B6C6 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Jürgen Vollmer wrote:
Hallo, Am 22.02.2010 21:41, schrieb Dieter Kluenter:
Ein paar Bemerkungen zum log_level. Es ist dir bewusst, dass sasl nach auth logged?
Nein.
In den Defaulteinstellungen von syslog-ng wird nicht nach auth gelogged. Du solltest daher /etc/syslog-ng/syslog-ng.conf anpassen, z.B. (sofern du syslog-ng benutzt): ... filter f_auth { facility(auth); }; ... destination auth { file("/var/log/auth"); };
hab' ich gemacht, und syslog-ng neu gestartet, aber es erscheint keine Ausgabe in /var/log/auth noch in /var/log/messages.
Du hast ja wohl auch dran gedacht, das du neben der Definition eines "filter" und einer "destination" auch noch das Schreiben selber konfigurieren musst? Also eine Zeile ähnlich log { source(src); filter(f_auth); destination(auth); flags(final); }; in der syslog-ng.conf? Ansonsten wird weder der filter noch die destination benutzt. Andreas PS: ggf. noch /var/log/auth von Hand anlegen und in /etc/logrotate.d aufnehmen. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 23.02.2010 09:46, schrieb Kyek, Andreas, VF-DE:
Jürgen Vollmer wrote:
Hallo, Am 22.02.2010 21:41, schrieb Dieter Kluenter:
Ein paar Bemerkungen zum log_level. Es ist dir bewusst, dass sasl nach auth logged?
Nein.
In den Defaulteinstellungen von syslog-ng wird nicht nach auth gelogged. Du solltest daher /etc/syslog-ng/syslog-ng.conf anpassen, z.B. (sofern du syslog-ng benutzt): ... filter f_auth { facility(auth); }; ... destination auth { file("/var/log/auth"); };
hab' ich gemacht, und syslog-ng neu gestartet, aber es erscheint keine Ausgabe in /var/log/auth noch in /var/log/messages.
Du hast ja wohl auch dran gedacht, das du neben der Definition eines "filter" und einer "destination" auch noch das Schreiben selber konfigurieren musst? Also eine Zeile ähnlich
log { source(src); filter(f_auth); destination(auth); flags(final); };
in der syslog-ng.conf?
Ansonsten wird weder der filter noch die destination benutzt.
Andreas
PS: ggf. noch /var/log/auth von Hand anlegen und in /etc/logrotate.d aufnehmen.
Hab' die Zeilen hinzugefügt und loglevel auf 7 gesetzt und /var/log/auth angelegt. Es wird gelogged, aber nach /var/log/messages..... Ich benutze SuSE 11.2. Nun ja, vielleicht muß man nicht alles verstehen :-) Danke für die Hinweise. Jürgen -- Dr.rer.nat. Juergen Vollmer, Viktoriastrasse 15, D-76133 Karlsruhe Tel: +49(721) 92 04 87 1 Fax: +49(721) 92 04 87 2 Juergen.Vollmer@informatik-vollmer.de www.informatik-vollmer.de Internet-Telefonie: www.skype.com Benutzer: juergen.vollmer ------------------------------------------------------------------------------- Diese EMail ist elektronisch mittels GPG / PGP signiert. Diese elektronische Unterschrift ist in einem EMail-Anhang enthalten. Leider kann die Signatur ohne die Installation entsprechender Programme weder geprüft noch angezeigt werden. Mehr dazu unter: http://www.gnupg.org oder auch http://www.pgpi.org ------------------------------------------------------------------------------- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
"Kyek, Andreas, VF-DE"
Jürgen Vollmer wrote:
Hallo, Am 22.02.2010 21:41, schrieb Dieter Kluenter:
Ein paar Bemerkungen zum log_level. Es ist dir bewusst, dass sasl nach auth logged?
Nein.
In den Defaulteinstellungen von syslog-ng wird nicht nach auth gelogged. Du solltest daher /etc/syslog-ng/syslog-ng.conf anpassen, z.B. (sofern du syslog-ng benutzt): ... filter f_auth { facility(auth); }; ... destination auth { file("/var/log/auth"); };
Du hast ja wohl auch dran gedacht, das du neben der Definition eines "filter" und einer "destination" auch noch das Schreiben selber konfigurieren musst? Also eine Zeile ähnlich
log { source(src); filter(f_auth); destination(auth); flags(final); };
Ja, mea culpa, das ist beim cut and paste hängengeblieben. -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:8EF7B6C6 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (4)
-
"Dr. Jürgen Vollmer"
-
Dieter Kluenter
-
Fred Ockert
-
Kyek, Andreas, VF-DE