centos:mail_c7:dovecot_6

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
centos:mail_c7:dovecot_6 [28.07.2014 20:29. ] – [auth-sql.conf.ext] djangocentos:mail_c7:dovecot_6 [18.11.2024 07:08. ] (aktuell) – Externe Bearbeitung 127.0.0.1
Zeile 1: Zeile 1:
 ====== Dovecot, Authentifizierung(en) ====== ====== Dovecot, Authentifizierung(en) ======
 {{:centos:mail_c7:dovecot_logo.png?nolink&225 |Dovecot-Logo}} {{:centos:mail_c7:dovecot_logo.png?nolink&225 |Dovecot-Logo}}
 +===== Authentifizierungsdaten =====
 +Beim Betrieb unseres Dovecot-Mailservers sind wir auf folgende Daten angewiesen:
 +  - **Username** : Der Username ist der Name, mit dem sich der Nutzer an unserem Mailserver anmeldet. Dies ist mindestens ein Username oder besser noch die eMail-Adresse des Endkunden, die dem Nutzerkonto primär zugewiesen ist.
 +  - **Passwort** 
 +  - **UID** : User-ID, die beim Anlegen des Benutzerkontos, der Unterverzeichnisse für die eMails, SIEVE-Scripte und individuellen Benutzerdaten und der eMails verwendet wird.
 +  - **GID** : Gruppen-ID, die beim Anlegen des Benutzerkontos, der Unterverzeichnisse für die eMails, SIEVE-Scripte und individuellen Benutzerdaten und der eMails verwendet wird.
 +  - **Home-Verzeichnis**: Benutzerverzeichnis, in dem das Benutzerkonto, die Unterverzeichnisse für die eMails, SIEVE-Scripte und individuellen Benutzerdaten sowie der eMails verwendet wird.
 +
 ===== Authentifizierungsquellen ===== ===== Authentifizierungsquellen =====
 Bei der Authentifizierungsquellen kennt **[[http://wiki2.dovecot.org/AuthDatabase|Dovecot]]** mehrere Quellen: Bei der Authentifizierungsquellen kennt **[[http://wiki2.dovecot.org/AuthDatabase|Dovecot]]** mehrere Quellen:
Zeile 16: Zeile 24:
     - **Test**, zu Testzwecken.     - **Test**, zu Testzwecken.
  
 +===== Authentifizierungs-Anfragen =====
 +Authentifizierungs-Anfragen, oder Neudeutsch **//lookups//**, werden von unserem Dovecot-Mailserver an verschiedenen Stellen in abwechselnden Formen benötigt.
 +  * **passdb-lookup** : Der passdb-lookup wird von Dovecot immer dann ausgeführt, wenn die [[http://de.wikipedia.org/wiki/Autorisierung|Autorisierung]] des Benutzers gefordert wird. Im Genauen wird hierbei geprüft, ob das genannte Passwort dem Anmeldenamen/Benutzerkonto zugeordnet werden kann. Diese Autorisierungsüberprüfung ist immer dann notwendig, wenn sich ein Kunde am IMAP/POP3-Server bzw. am Managed-SIEVE-Server anmeldet. Passt Passwort und Anmeldenamen zusammen, wird dem Benutzer der Zugriff gestattet, passt das Passwort nicht, wird der Anmeldevorgang mit einer Fehlermeldung abgebrochen.
 +  * **userdb-lookup** : Bei einem userdb-lookup ermittelt unser Dovecot-Server die Umgebungsvariablen des genannten/benötigten Benutzerkontos. Im einfachsten Fall muss natürlich ein userdb-lookup nach einem erfolgreichen passdb-lookup erfolgen, da der Dovecotserver wissen muss, wo die Inhalte zu dem Benutzerkonto zu finden sind. \\ Ein userdb-lookup muss aber auch ausgeführt werden, wenn unser Dovecot-Server eine Nachricht, die er via **LMTP** empfängt, in das richtige Benutzerkonto mit der zugehörigen GID und UID abspeichern will. Ein weiterer Anwendungsfall ist das Thema [[centos:mail_c7:dovecot_7|Shared Folders und Shared Namespace]]. Hier muss der Dovecot-Server z.B. wo er die geteilten Mailkonto(teile) finden kann.
  
  
Zeile 59: Zeile 71:
   django:x:1000:1000:django:/home/django:/bin/bash   django:x:1000:1000:django:/home/django:/bin/bash
  
-Der Username **django** kann zwar benutzt werden, nicht aber django@nausch.org bzw. django@mailserver.guru.+Der Username **django** kann zwar benutzt werden, nicht aber django@nausch.org.
  
 Über die Konfigurationsdatei //**/etc/dovecot/conf.d/auth-system.conf.ext**// können bei Bedarf Einstellungen vorgenommen werden. Über die Konfigurationsdatei //**/etc/dovecot/conf.d/auth-system.conf.ext**// können bei Bedarf Einstellungen vorgenommen werden.
Zeile 234: Zeile 246:
 Als einfache Lösung bietet sich nun die Datenhaltung in einer **[[centos:mysql|MySQL-Datenbank]]** und zur Pflege der Daten **[[centos:mail_c6:pfadmin_1|postfixadmin]]** an. Als einfache Lösung bietet sich nun die Datenhaltung in einer **[[centos:mysql|MySQL-Datenbank]]** und zur Pflege der Daten **[[centos:mail_c6:pfadmin_1|postfixadmin]]** an.
  
-Die Definition des Mechanismus **SQL** wir über die Konfigurationsdatei //**/etc/dovecot/conf.d/auth-sql.conf.ext**// parametrisiert.  +Das für die Anbindung an unseren [[|MySQL-Datenbankserver]] benötigte Dovecot-Modul, ist in dem eigenen Paket **dovecot-mysql** enthalten. 
-   # vim /etc/dovecot/conf.d/auth-sql.conf.ext +Falls wir das Paket noch nicht installiert haben, holen wir dies nun noch nach
-<file bash vim /etc/dovecot/conf.d/auth-sql.conf.ext># Authentication for SQL users. Included from 10-auth.conf. +   # yum install dovecot-mysql
-+
-# <doc/wiki/AuthDatabase.SQL.txt>+
  
-passdb { +Was uns das Paket alles mitgebracht hat, können wir mit der Option //**-qil**// beim Befehl **rpm** abfragen. 
-  driver = sql+   # rpm -qil dovecot-mysql 
 +<code>Name        : dovecot-mysql 
 +Epoch       : 1 
 +Version     : 2.2.13 
 +Release     : 2.el7.centos 
 +Architecture: x86_64 
 +Install Date: Wed 30 Jul 2014 10:23:58 PM CEST 
 +Group       : System Environment/Daemons 
 +Size        : 19536 
 +License     : MIT and LGPLv2 
 +Signature   : RSA/SHA1, Wed 30 Jul 2014 06:03:25 PM CEST, Key ID 60ecfb9e8195aea0 
 +Source RPM  : dovecot-2.2.13-2.el7.centos.src.rpm 
 +Build Date  : Wed 30 Jul 2014 06:02:59 PM CEST 
 +Build Host  : vml000200.dmz.nausch.org 
 +Relocations : (not relocatable) 
 +Packager    : Django <django@nausch.org> 
 +Vendor      : django 
 +URL         : http://www.dovecot.org/ 
 +Summary     : MySQL back end for dovecot 
 +Description : 
 +This package provides the MySQL back end for dovecot-auth etc. 
 +/usr/lib64/dovecot/auth/libdriver_mysql.so 
 +/usr/lib64/dovecot/dict/libdriver_mysql.so 
 +/usr/lib64/dovecot/libdriver_mysql.so 
 +</code>
  
-  # Path for SQL configuration file, see example-config/dovecot-sql.conf.ext +=== dovecot-sql.conf.ext === 
-  args = /etc/dovecot/dovecot-sql.conf.ext +Bei der RPM-Installation unseres Dovecot-Servers, wurde im Verzeichnis //**/usr/share/doc/dovecot-2.2.13/example-config**// bereits eine Vorlagedatei für die nun folgende Konfiguration des SQL-Auth-Mechanismus angelegt. Diese Datei kopieren wir nun in das Dovecot-Konfigurationsverzeichnis //**/etc/dovecot**//. 
-}+   # cp /usr/share/doc/dovecot-2.2.*/example-config/dovecot-sql.conf.ext /etc/dovecot/
  
-# "prefetch" user database means that the passdb already provided the +Die wichtigsten Konfigurationsparameter in dieser Datei, die wir unseren Bedürfnissen nach anpassen müssen sind: 
-# needed information and there's no need to do a separate userdb lookup. +  * **driver** : Da wir eine mySQL-Datenbank verwenden, setzen wir den Parameter auf den Wert **mysql**. 
-# <doc/wiki/UserDatabase.Prefetch.txt> +  * **connect** : Hier wird der Datenbank-Connector beschrieben: 
-#userdb { +    * **//host//** Hostname oder IP-Adresse unsers mySQL-Datenbankservers 
- driver = prefetch +    * **//dbname//** Name der Datenbank 
-#} +    * **//user//** Name unseres Datenbank-Nutzers 
- +    * **//password//** Passwort des Dadenbannutzers 
-userdb { +  * **default_pass_scheme** :  
-  driver = sql +    * **//PLAIN//** Speicherung des Passwortes in Klartext, um z.B. CRAM((**C**hallenge**R**esponse**A**uthentication**M**ethod)) nutzen zu können. 
-  args = /etc/dovecot/dovecot-sql.conf.ext +    * **//MD5-CRYPT//** Als mittlerweisen recht unsicher eingestufte MD5-Hashfunktion. 
-} +    * **//SHA256-CRYPT//** Ein als sicher geltende  kryptologischen Hashfunktionen
- +    * **//SHA512-CRYPT//** Sehr sichere kryptologischen Hashfunktionen
-# If you don't have any user-specific settings, you can avoid the user_query +    * **//BLF-CRYPT//** Ein als sehr sicherer geltende Algorithmus Blowfish-Crypt
-# by using userdb static instead of userdb sql, for example: +  * **password_query** SQL-Statement für den **//passwd-lookup//** 
-# <doc/wiki/UserDatabase.Static.txt> +  * **user_query** SQL_Statement für den **//userdb-lookup//**Da wir für alle Postfächer die gleiche **UID** und **GID** verwenden wollen, geben wir diese beiden Werte **statisch** beim **//userdb-lookup//** vor!
-#userdb { +
-  #driver = static +
-  #args = uid=vmail gid=vmail home=/var/vmail/%u +
-#} +
-</file> +
- +
-Zur Aktivierung des Authentifizierungs-Mechanismus **SQL** müssen wir nun nur noch den richtigen **!include** in der Konfigurationsdatei //**/etc/dovecot/conf.d/10-auth.conf**// setzen+
-   # vim /etc/dovecot/conf.d/10-auth.conf +
-<file bash /etc/dovecot/conf.d/10-auth.conf>..+
- +
-#!include auth-deny.conf.ext +
-#!include auth-master.conf.ext +
- +
-# Django 2014-07-28 +
-# default!include auth-system.conf.ext +
-# Umstellung auf den Authentifizierungs-Mechanismus SQL +
-#!include auth-system.conf.ext +
-!include auth-sql.conf.ext +
-#!include auth-ldap.conf.ext +
-#!include auth-passwdfile.conf.ext +
-#!include auth-checkpassword.conf.ext +
-#!include auth-vpopmail.conf.ext +
-#!include auth-static.conf.ext +
-</file>+
  
-In der Konfigurationsdatei //**/etc/dovecot/dovecot-sql.conf.ext**// definieren wir nun die Zugangsdaten beim mySQL-Datenbankserver wie auch die für SQL-Statements für die Abfragen. +In der Konfigurationsdatei //**/etc/dovecot/dovecot-sql.conf.ext**// definieren wir nun also die oben genannten Parameter für den Zugang beim mySQL-Datenbankserver wie auch die für SQL-Statements für die Abfragen. 
    # vim /etc/dovecot/dovecot-sql.conf.ext    # vim /etc/dovecot/dovecot-sql.conf.ext
 <file bash /etc/dovecot/dovecot-sql.conf.ext># This file is opened as root, so it should be owned by root and mode 0600. <file bash /etc/dovecot/dovecot-sql.conf.ext># This file is opened as root, so it should be owned by root and mode 0600.
Zeile 367: Zeile 377:
 # Django : 2013-02-06 # Django : 2013-02-06
 # default: #default_pass_scheme = MD5 # default: #default_pass_scheme = MD5
-default_pass_scheme = MD5-CRYPT+default_pass_scheme = PLAIN
  
 # passdb query to retrieve the password. It can return fields: # passdb query to retrieve the password. It can return fields:
Zeile 401: Zeile 411:
 # Django : 2013-02-06 # Django : 2013-02-06
 # default: unset # default: unset
-password_query = SELECT username AS user, password FROM mailbox WHERE username = '%u' AND active = '1'+password_query = SELECT username AS user, password, 10000 AS userdb_uid, 10000 AS userdb_gid, \ 
 +  CONCAT('*:bytes=', quota) AS quota_rule FROM mailbox WHERE username = '%u' AND active = '1'
  
 # userdb query to retrieve the user information. It can return fields: # userdb query to retrieve the user information. It can return fields:
Zeile 424: Zeile 435:
 # Django : 2013-02-06 # Django : 2013-02-06
 # default: unset # default: unset
-user_query = SELECT CONCAT('/var/spool/mail/vmail/', maildir) AS home, 97 AS uid, 12 AS gid, \+user_query = SELECT CONCAT('/var/spool/mail/vmail/', maildir) AS home, 10000 AS uid, 10000 AS gid, \
   CONCAT('*:bytes=', quota) AS quota_rule FROM mailbox WHERE username = '%u' AND active='1'   CONCAT('*:bytes=', quota) AS quota_rule FROM mailbox WHERE username = '%u' AND active='1'
  
Zeile 441: Zeile 452:
  
 Den notwendigen Datenbank-Systemuser legen wir nun noch auf unserem mySQL-Datenbankserver an. Den notwendigen Datenbank-Systemuser legen wir nun noch auf unserem mySQL-Datenbankserver an.
-=== mySQL Datenbankuser anlegen === 
-Wie Eingangs erwähnt, nutzen wir für die Verwaltung unserer Maildomänen und deren Nutzerkonten sowie Aliasen eine [[centos:mysql|mySQL-Datenbank]]. Was nun noch fehlt ist der notwendige Datenbanknutzer, mit dem wir die SQL-Anfragen von unserem Dovecot-Server aus abfragen können. Diesen **Dovecot-Systemuser**, ein rein technische User, legen wir nun noch an, sofern dies nicht bereits bei der Installation von **[[https://dokuwiki.nausch.org/doku.php/centos:mail_c7:dovecot_6?&#auth-passwdfileconfext|postfixadmin]]** berücksichtigt wurde. 
  
 +=== mySQL Datenbankuser anlegen ===
 +Wie bereits erwähnt, nutzen wir für die Verwaltung unserer Maildomänen und deren Nutzerkonten sowie Aliasen eine [[centos:mysql|mySQL-Datenbank]]. Was nun noch fehlt ist der notwendige Datenbanknutzer, mit dem wir die SQL-Anfragen von unserem Dovecot-Server aus abfragen können. Diesen **Dovecot-Systemuser**, ein rein technische User, legen wir nun noch an, sofern dies nicht bereits bei der Installation von **[[https://dokuwiki.nausch.org/doku.php/centos:mail_c7:dovecot_6?&#auth-passwdfileconfext|postfixadmin]]** berücksichtigt wurde.
  
 Wir melden uns also als berechtigter Datenbankuser an der mySQL-Datenbank an. Wir melden uns also als berechtigter Datenbankuser an der mySQL-Datenbank an.
Zeile 491: Zeile 502:
    Bye    Bye
  
 +=== auth-sql.conf.ext ===
 +Die Definition des Mechanismus **SQL** wir über die Konfigurationsdatei //**/etc/dovecot/conf.d/auth-sql.conf.ext**// parametrisiert. 
 +   # vim /etc/dovecot/conf.d/auth-sql.conf.ext
 +<file bash vim /etc/dovecot/conf.d/auth-sql.conf.ext># Authentication for SQL users. Included from 10-auth.conf.
 +#
 +# <doc/wiki/AuthDatabase.SQL.txt>
  
 +passdb {
 +  driver = sql
  
 +  # Path for SQL configuration file, see example-config/dovecot-sql.conf.ext
 +  args = /etc/dovecot/dovecot-sql.conf.ext
 +}
  
 +# "prefetch" user database means that the passdb already provided the
 +# needed information and there's no need to do a separate userdb lookup.
 +# <doc/wiki/UserDatabase.Prefetch.txt>
 +#userdb {
 +#  driver = prefetch
 +#}
  
 +userdb {
 +  driver = sql
 +  args = /etc/dovecot/dovecot-sql.conf.ext
 +}
  
 +# If you don't have any user-specific settings, you can avoid the user_query
 +# by using userdb static instead of userdb sql, for example:
 +# <doc/wiki/UserDatabase.Static.txt>
 +#userdb {
 +  #driver = static
 +  #args = uid=vmail gid=vmail home=/var/vmail/%u
 +#}
 +</file>
  
 +=== Speicherung von Passwörtern ===
 +Bevor wir uns nun an die Konfiguration der SQL-Unterstützung an unserem Dovecot machen, wollen wir uns noch kurz überlegen, wie wir die Passworte in der Datenbank ablegen. Die vermutlich vordergründigste, oft geübte und gängige Praxis ist wohl die Passworte nicht direkt in der Datenbank abzulegen, sondern gehashte Speicherungen vorzunehmen. Die Passworte in der //**/etc/shadow**// ist eine gängige Variante dieses Vorgehends.
 +   # grep django /etc/shadow
  
 +   django:$6$h6QWOPz5$053ur$Ch1kiS731nV0lLD3pPYQf1p0vk72XgPinPXjn32ZQmlTR0HRfB4aPelNJ1CFYF9pT3qt97bbSVUnxrB1:15187:0:99999:7:::
 +
 +Will nun der Server bei der Anmeldung überprüfen benötigt er was? Genau das Passwort in Klartext! denn Nur so ist er in der Lage, den Passworthash des übermittelten Klartextpasswortes mit dem Hash in seiner Datenbank zu vergleichen. Ist nun jemand in der Lage die Übertragung zu kompromittieren, hält er unweigerlich die Anmeldedaten in Händen. Und wer will das? Keiner!
 +
 +Mit Hilfe von CRAM((**C**hallenge**R**esponse**A**uthentication**M**ethod)) haben wir nun ein Authentifizierungsverfahren an der Hand, mit der wir das Vorgenannte Problem mit der Übertragung eines Passwortes elegant umschiffen. Denn beim Anmeldevorgang erzeugt der Server bei der Clientanfrage einen individuellen Sitzungsschlüssel, das //Challenge//, welches der Server zum Client überträgt. Client __und__ Server führen nun eine mathematische Operation mit dem nur ihnen bekannten Passwort durch. Das Rechenergebnis übermittelt der Client an den Server, der den empfangenen Wert mit seinem errechneten Ergebnis der zuvor angestellten Operation vergleicht. Stimmen die Ergebnisse überein, so kann der Server mit davon ausgehen, dass hat der Client das richtige Passwort kennt und verwendet! Ein Abhören der Leitung bringt nichts, da sich bei jeder Sitzung der Challenge-Wert ändert - ein abgefangenens Challenge ist für künftige Loginversuche daher völlig wertlos!
 +
 +<WRAP round important>Damit unser Server auch wirklich **sichere** Authentifizierungsmethoden anbieten kann, ist es notwendig die Passworte der Nutzer in der Datenbank in Klartext abzulegen.
 +
 +Nur so ist sichergestellt, dass die Passworte nie über das Internet übertragen werden müssen. Denn dort liegt das größte Bedrohungspotential. Unser Postmaster und Netzwerkadministrator hat auch ohne Passwort jederzeit die Möglichkeit auf Daten der Nutzer zuzugreifen!</WRAP>
 +
 +=== 10-auth.conf ==
 +Zur Aktivierung des Authentifizierungs-Mechanismus **SQL** müssen wir nun nur noch den richtigen **!include** in der Konfigurationsdatei //**/etc/dovecot/conf.d/10-auth.conf**// setzen.
 +   # vim /etc/dovecot/conf.d/10-auth.conf
 +<code bash>...
 +
 +#!include auth-deny.conf.ext
 +#!include auth-master.conf.ext
 +
 +# Django : 2014-07-30
 +# default: !include auth-system.conf.ext
 +# Umstellung auf den Authentifizierungs-Mechanismus SQL
 +#!include auth-system.conf.ext
 +!include auth-sql.conf.ext
 +#!include auth-ldap.conf.ext
 +#!include auth-passwdfile.conf.ext
 +#!include auth-checkpassword.conf.ext
 +#!include auth-vpopmail.conf.ext
 +#!include auth-static.conf.ext
 +</code>
 +
 +Ferner definieren wir in der //**/etc/dovecot/conf.d/10-auth.conf**// noch welche Authentifizierungs-Mechanismen über die Option **auth_mechanisms** erlaubt sein sollen. Im Falle von **plain** **login** **digest-md5** **cram-md5** wäre das dann nachfolgender Code-Schnippsel
 +   # vim /etc/dovecot/conf.d/10-auth.conf
 +<code bash>...
 +
 +# Space separated list of wanted authentication mechanisms:
 +#   plain login digest-md5 cram-md5 ntlm rpa apop anonymous gssapi otp skey
 +#   gss-spnego
 +# NOTE: See also disable_plaintext_auth setting.
 +# Django : 2014-05-23
 +# default: auth_mechanisms = plain
 +auth_mechanisms = plain login digest-md5 cram-md5
 +
 +...
 +</code>
 +
 +Somit ergibt sich folgende komplette Konfigurationsdatei  //**/etc/dovecot/conf.d/10-auth.conf**//.
 +    # vim /etc/dovecot/conf.d/10-auth.conf
 +<file bash /etc/dovecot/conf.d/10-auth.conf>##
 +## Authentication processes
 +##
 +
 +# Disable LOGIN command and all other plaintext authentications unless
 +# SSL/TLS is used (LOGINDISABLED capability). Note that if the remote IP
 +# matches the local IP (ie. you're connecting from the same computer), the
 +# connection is considered secure and plaintext authentication is allowed.
 +# See also ssl=required setting.
 +#disable_plaintext_auth = yes
 +
 +# Authentication cache size (e.g. 10M). 0 means it's disabled. Note that
 +# bsdauth, PAM and vpopmail require cache_key to be set for caching to be used.
 +#auth_cache_size = 0
 +# Time to live for cached data. After TTL expires the cached record is no
 +# longer used, *except* if the main database lookup returns internal failure.
 +# We also try to handle password changes automatically: If user's previous
 +# authentication was successful, but this one wasn't, the cache isn't used.
 +# For now this works only with plaintext authentication.
 +#auth_cache_ttl = 1 hour
 +# TTL for negative hits (user not found, password mismatch).
 +# 0 disables caching them completely.
 +#auth_cache_negative_ttl = 1 hour
 +
 +# Space separated list of realms for SASL authentication mechanisms that need
 +# them. You can leave it empty if you don't want to support multiple realms.
 +# Many clients simply use the first one listed here, so keep the default realm
 +# first.
 +#auth_realms =
 +
 +# Default realm/domain to use if none was specified. This is used for both
 +# SASL realms and appending @domain to username in plaintext logins.
 +#auth_default_realm = 
 +
 +# List of allowed characters in username. If the user-given username contains
 +# a character not listed in here, the login automatically fails. This is just
 +# an extra check to make sure user can't exploit any potential quote escaping
 +# vulnerabilities with SQL/LDAP databases. If you want to allow all characters,
 +# set this value to empty.
 +#auth_username_chars = abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ01234567890.-_@
 +
 +# Username character translations before it's looked up from databases. The
 +# value contains series of from -> to characters. For example "#@/@" means
 +# that '#' and '/' characters are translated to '@'.
 +#auth_username_translation =
 +
 +# Username formatting before it's looked up from databases. You can use
 +# the standard variables here, eg. %Lu would lowercase the username, %n would
 +# drop away the domain if it was given, or "%n-AT-%d" would change the '@' into
 +# "-AT-". This translation is done after auth_username_translation changes.
 +#auth_username_format = %Lu
 +
 +# If you want to allow master users to log in by specifying the master
 +# username within the normal username string (ie. not using SASL mechanism's
 +# support for it), you can specify the separator character here. The format
 +# is then <username><separator><master username>. UW-IMAP uses "*" as the
 +# separator, so that could be a good choice.
 +#auth_master_user_separator =
 +
 +# Username to use for users logging in with ANONYMOUS SASL mechanism
 +#auth_anonymous_username = anonymous
 +
 +# Maximum number of dovecot-auth worker processes. They're used to execute
 +# blocking passdb and userdb queries (eg. MySQL and PAM). They're
 +# automatically created and destroyed as needed.
 +#auth_worker_max_count = 30
 +
 +# Host name to use in GSSAPI principal names. The default is to use the
 +# name returned by gethostname(). Use "$ALL" (with quotes) to allow all keytab
 +# entries.
 +#auth_gssapi_hostname =
 +
 +# Kerberos keytab to use for the GSSAPI mechanism. Will use the system
 +# default (usually /etc/krb5.keytab) if not specified. You may need to change
 +# the auth service to run as root to be able to read this file.
 +#auth_krb5_keytab = 
 +
 +# Do NTLM and GSS-SPNEGO authentication using Samba's winbind daemon and
 +# ntlm_auth helper. <doc/wiki/Authentication/Mechanisms/Winbind.txt>
 +#auth_use_winbind = no
 +
 +# Path for Samba's ntlm_auth helper binary.
 +#auth_winbind_helper_path = /usr/bin/ntlm_auth
 +
 +# Time to delay before replying to failed authentications.
 +#auth_failure_delay = 2 secs
 +
 +# Require a valid SSL client certificate or the authentication fails.
 +#auth_ssl_require_client_cert = no
 +
 +# Take the username from client's SSL certificate, using 
 +# X509_NAME_get_text_by_NID() which returns the subject's DN's
 +# CommonName. 
 +#auth_ssl_username_from_cert = no
 +
 +# Space separated list of wanted authentication mechanisms:
 +#   plain login digest-md5 cram-md5 ntlm rpa apop anonymous gssapi otp skey
 +#   gss-spnego
 +# NOTE: See also disable_plaintext_auth setting.
 +# Django : 2014-05-23
 +# default: auth_mechanisms = plain
 +auth_mechanisms = plain login digest-md5 cram-md5
 +
 +##
 +## Password and user databases
 +##
 +
 +#
 +# Password database is used to verify user's password (and nothing more).
 +# You can have multiple passdbs and userdbs. This is useful if you want to
 +# allow both system users (/etc/passwd) and virtual users to login without
 +# duplicating the system users into virtual database.
 +#
 +# <doc/wiki/PasswordDatabase.txt>
 +#
 +# User database specifies where mails are located and what user/group IDs
 +# own them. For single-UID configuration use "static" userdb.
 +#
 +# <doc/wiki/UserDatabase.txt>
 +
 +#!include auth-deny.conf.ext
 +#!include auth-master.conf.ext
 +
 +# Django : 2014-07-30
 +# default: !include auth-system.conf.ext
 +# Umstellung auf den Authentifizierungs-Mechanismus passwd-file
 +#!include auth-system.conf.ext
 +!include auth-sql.conf.ext
 +#!include auth-ldap.conf.ext
 +#!include auth-passwdfile.conf.ext
 +#!include auth-checkpassword.conf.ext
 +#!include auth-vpopmail.conf.ext
 +#!include auth-static.conf.ext
 +</file>
 +
 +
 +===== Testen der Authentifizierung =====
 +Mit Hilfe des Befehls **doveadm** können wir sowohl den **//passdb-lookup//** wie auch den **//userdb-lookup//** testen.
 +
 +Die Benutzereingaben sind in der Farbe <html><font style="color: rgb(0, 0, 255)">blau</font></html> und die Rückmeldungen in der Farbe <html><font style="color: rgb(0, 255, 0)">grün</font></html> gekennzeichnet. 
 +
 +Mit **//passdb-lookup//** können wir testen, ob unser Dovecot-Server das eingegebene Passwort beim genannten User erfolgreich überprüfen kann.
 +<html><pre class="code">
 +<font style="color: rgb(0, 0, 0)"># </font><font style="color: rgb(0, 0, 255)">doveadm auth test django@nausch.org</font>
 +</pre></html>
 +<html><pre class="code">
 +<font style="color: rgb(0, 255, 0)">Password:</font><font style="color: rgb(0, 0, 255)">Dj4n90_d3r_G33k!</font>
 +<font style="color: rgb(0, 255, 0)">passdb: django@nausch.org auth succeeded
 +extra fields:
 +  user=django@nausch.org</font></font>
 +</pre></html>
 +
 +Beim **//userdb-lookup//** ermittelt der Dovecot-Server die Umgebungsvariablen des genannten Benutzerkontos, also die die User-ID **$UID**, die Gruppen-ID **$GID** und **$HOME** als den Verzeichnispfad, an dem das Userkonto des Benutzers im Filespace unseres Servers zu finden ist.
 +<html><pre class="code">
 +<font style="color: rgb(0, 0, 0)"># </font><font style="color: rgb(0, 0, 255)">doveadm user django@nausch.org</font>
 +</pre></html>
 +<html><pre class="code">
 +<font style="color: rgb(0, 255, 0)">field   value
 +uid     10000
 +gid     10000
 +home    /srv/vmail/nausch.org/django
 +mail</font></pre></html>
 +
 +
 +
 +Haben wir die Benutzerauthentifizierung erfolgreich abgeschlossen, vervollständigen wir die Grundkonfiguration unseres Dovecot-Servers mit der Definition von **[[centos:mail_c7:dovecot_1?&#mailbox_location_vmail-directory|Mailbox Location und vmail-Directory]]**.
  
 ====== Links ====== ====== Links ======
Zeile 503: Zeile 759:
   * **[[wiki:start|Zurück zu >>Projekte und Themenkapitel<<]]**   * **[[wiki:start|Zurück zu >>Projekte und Themenkapitel<<]]**
   * **[[http://dokuwiki.nausch.org/doku.php/|Zurück zur Startseite]]**   * **[[http://dokuwiki.nausch.org/doku.php/|Zurück zur Startseite]]**
- 
-~~DISCUSSION~~ 
  
  
  • centos/mail_c7/dovecot_6.1406579395.txt.gz
  • Zuletzt geändert: 28.07.2014 20:29.
  • von django