Postifx-SASL via shadow und Gruppenmitgliedschaft

[Muven]

Guten Abend verehrte Administratoren,

zurzeit sitze ich an einem kleinen Testserver. Das ausgereifte System soll später Mails von Authentifizierten Clients annehmen und weiterleiten. Mailboxen sollen nicht angeboten werden.
Die Authentifizierung über TLS und via /etc/shadow habe ich unter Postfix (Debian 7, Version 2.11) erfolgreich umgesetzt. Nun stört mich aber ein kleines Detail. Ich kann mich mit jeden Systembenutzer, sogar mit Root authentifizieren.
Das ist ein großes Sicherheitsrisiko.
Optimal wäre eine Bedingung, dass der Authentifizierte Benutzer in der Gruppe smtpusers sein muss. Leider habe ich bisher keine Möglichkeit gefunden, dies zu realisieren.
Eventuell ist es via PAM möglich, doch leider fehlt mir hier die Kenntnis.

Ich bedanke mich im Voraus vielmals für Hilfe,
mit freundlichen Grüßen
Muven

 

[GwenDragon]

Du kannst sehr wohl SASL verwenden, aber benutzt eine eigene Datenbank, die kann BerkeleyDB, MySQL oder LDAP sein.
beispiel für BerkeleyDB: http://postfix.state-of-mind.de/patrick.koetter/smtpauth/sasldb_configuration.html

Debian+Postfix+Auth einrichten: http://www.huschi.net/4_111_de-debian-postfix-smtp-auth-einrichten.html

 

[Muven]

Vielen Dank für die schnelle Antwort.
Dass ich alternative Auth-Methoden für SASL verwenden kann ist mir bekannt.
Ich bevorzuge Shadow. Die Ressourcen auf dem System sind stark beschränkt und ich würde das gerne so schlank wie möglich halten. Shadow ist derzeit meine zentrale Benutzerstelle. Per SSH dürfen sich nur Benutzer der Gruppe sshusers und per FTP nur Benutzer der Gruppe ftpusers anmelden. So hätte ich die gesamte Benutzerpflege an einer zentralen Stelle.
Lagere ich die Authentifizierung für smtp in beispielsweise eine MySQL-DB um, brauche ich zwangsläufig auch ein Frontend. Das würde ich gerne vermeiden.

SASL + PAM wurde auf huschi ebenso umgesetzt:
http://www.huschi.net/4_111_de-debian-postfix-smtp-auth-einrichten.html

Wen mich nicht alles täuscht, lässt sich PAM anweisen, seine Benutzerdaten von shadow, LDAP oder sonstiges beziehen. Das ist schön, aber eventuell nicht von Belang.

Genaugenommen suche ich die genaue Syntax des Eintrages MECH_OPTIONS in der /etc/default/saslauthd:
MECHANISMS="shadow"
MECH_OPTIONS="ingroup=smtpusers" (funktioniert nicht)

Irgendetwas in dieser Art muss doch möglich sein. Ich kann mich nicht vorstellen, dass die SASL-Entwickler bei der Implementierung das Shadow-Mechanismus Gruppen nicht berücksichtigt haben.

Mit freundlichen Grüßen
Muven

 

[Muven]

Lösung

Guten Abend.
Die Lösung habe ich soeben gefunden.
Man folgt den bereits geposteten Howto.

Diese Dateien müssen jedoch angepasst werden:
In /etc/pam.d/smtp darf nur folgendes stehen:

auth requisite pam_succeed_if.so debug user ingroup smtpusers
auth required pam_unix.so nullok_secure

In /etc/default/saslauthd sollte folgendes ergänzt werden:

OPTIONS="-c -m /var/spool/postfix/var/run/saslauthd"

Nun dürfen nur Benutzer der Gruppe smtpusers senden.

Mit freundlichen Grüßen
Muven