Hallo Admingemeinde,
ich habe ein (wie ich finde) etwas kniffliges Problem mit postfix + dovecot.
Ich benutze dovecot zur NTLM-Authentifizierung für SMTP-Auth auf Port 25 und 587. Soweit sogut, das funktioniert wunderbar. Benutzer kann sich über NTLM authentifizieren, wenn er im angebundenen AD bekannt ist, und Mails versenden. Als Anleitung diente mir diese Seite hier: http://www.tummy.com/software/vpostmaster/recipes/dovecotsasl.html
Habe wie dort beschrieben postfix, dovecot, den samba und Kerberos-Client erfolgreich konfiguriert:
Jetzt möchte ich aber den Kreis der erlaubten NTLM-Nutzer weiter einschränken auf eine bestimmte AD-Gruppe.
Beispiel:
user1@domain.de authentifiziert sich über NTLM und ist Mitglied der AD-Gruppe "mail", darf daher Mails versenden.
user2@domain.de authentifiziert sich zwar über NTLM, ist aber nicht Mitglied der Gruppe "mail", wird daher von dovecot bzw. von postfix abgewiesen.
Hat jemand eine Idee, wie man das hinbekommt ? Die Gruppenmitgliedschaft im AD kann man ja über eine LDAP-Abfrage ala (memberOf=cn=mail) machen, das ist nicht das Problem. Desweiteren könnte man hier ein Script verwenden, welches zyklisch die erlaubten User aus dem LDAP-AD liest und in eine .db schreibt zwecks besserer Performance.
Aber wie kombiniere ich die dovecot-Authentifizierung dann damit ?
Oder evtl. über eine zusätzliche ACL in postfix ?
Vielen Dank im voraus !
P.S.: Wenn Config-Schnipsel vonnöten sind, bitte bescheid sagen, ich bin wie erwähnt nach der verlinkten Anleitung vorgegangen. Auf der Seite steht eigentlich alles relevante.
ich habe ein (wie ich finde) etwas kniffliges Problem mit postfix + dovecot.
Ich benutze dovecot zur NTLM-Authentifizierung für SMTP-Auth auf Port 25 und 587. Soweit sogut, das funktioniert wunderbar. Benutzer kann sich über NTLM authentifizieren, wenn er im angebundenen AD bekannt ist, und Mails versenden. Als Anleitung diente mir diese Seite hier: http://www.tummy.com/software/vpostmaster/recipes/dovecotsasl.html
Habe wie dort beschrieben postfix, dovecot, den samba und Kerberos-Client erfolgreich konfiguriert:
Code:
Oct 14 12:14:49 postfix-test2 dovecot: auth(default): new auth connection: pid=28786
Oct 14 12:14:49 postfix-test2 dovecot: auth(default): client in: AUTH 1 NTLM service=smtp nologin lip=1.2.3.4 rip=1.2.3.4 resp=<hidden>
Oct 14 12:14:49 postfix-test2 dovecot: auth(default): client out: CONT 1 zAHQAMgAuAHMAbQBhAHMAbwAuAGQAYgAuAGQAZQAAAAAA
Oct 14 12:14:49 postfix-test2 dovecot: auth(default): client in: CONT<hidden>
Oct 14 12:14:49 postfix-test2 dovecot: auth(default): client out: OK 1 user=testuserJetzt möchte ich aber den Kreis der erlaubten NTLM-Nutzer weiter einschränken auf eine bestimmte AD-Gruppe.
Beispiel:
user1@domain.de authentifiziert sich über NTLM und ist Mitglied der AD-Gruppe "mail", darf daher Mails versenden.
user2@domain.de authentifiziert sich zwar über NTLM, ist aber nicht Mitglied der Gruppe "mail", wird daher von dovecot bzw. von postfix abgewiesen.
Hat jemand eine Idee, wie man das hinbekommt ? Die Gruppenmitgliedschaft im AD kann man ja über eine LDAP-Abfrage ala (memberOf=cn=mail) machen, das ist nicht das Problem. Desweiteren könnte man hier ein Script verwenden, welches zyklisch die erlaubten User aus dem LDAP-AD liest und in eine .db schreibt zwecks besserer Performance.
Aber wie kombiniere ich die dovecot-Authentifizierung dann damit ?
Oder evtl. über eine zusätzliche ACL in postfix ?
Vielen Dank im voraus !
P.S.: Wenn Config-Schnipsel vonnöten sind, bitte bescheid sagen, ich bin wie erwähnt nach der verlinkten Anleitung vorgegangen. Auf der Seite steht eigentlich alles relevante.
Last edited by a moderator: