Für ein Projekt muss ich eine Datenbank mit Benutzern verwenden, die auf einem Mac Server-basierten LDAP gespeichert ist, um einen Mailserver mit Postfix+Courier und Samba zu erstellen. Können Sie mir sagen, ob das schon jemand gemacht hat oder ob es möglich ist (theoretisch sollte es möglich sein). Wenn Sie mir einen Tipp geben können, werde ich Ihnen für den Rest meines Lebens dankbar sein :)
Dank im Voraus
Antwort1
AnscheinendPostfix,Kurier, UndSambaAlle unterstützen das Abrufen von Benutzerinformationen aus LDAP.
Sie müssen die LDAP-Suchbasis des OS X-Servers kennen (Sie finden sie unter „Serveradministrator“ -> Modul „Open Directory“ in der Seitenleiste -> „Übersicht“ in der Symbolleiste). Im Allgemeinen handelt es sich dabei um den vollständigen Domänennamen des Servers in LDAP-Sprache (z. B. wäre „macserver.example.com“ dc=macserver,dc=example,dc=com); Benutzerkonten befinden sich unter cn=users,searchbase (z. B. cn=users,dc=macserver,dc=example,dc=com).
Die Zuordnung von Benutzerattributen sollte relativ unkompliziert sein, da OS X dem Unix-Standard (RFC 2307) folgt. Wenn Sie sich die LDAP-Attribute des Benutzers ansehen müssen, um herauszufinden, wie die Dienste konfiguriert werden, verwenden Sie den Arbeitsgruppenmanager, aktivieren Sie dessen Registerkarte „Alle Datensätze“ und den Inspektor in den Anwendungseinstellungen (das sind die Einstellungen im Menü des Arbeitsgruppenmanagers, nicht die Registerkarte „Einstellungen“ in der Symbolleiste); wählen Sie, wenn dies aktiviert ist, einen Benutzer aus, wählen Sie dann die Registerkarte „Inspektor“ auf der rechten Seite und suchen Sie nach „nativen“ (auch bekannt als dsAttrTypeNative) Attributen, um zu sehen, wie die Benutzerdatensätze in LDAP gespeichert werden (Hinweis: Sie können die Ansicht etwas vereinfachen, indem Sie auf die Schaltfläche „Optionen“ klicken und alles außer „Native Attribute anzeigen“ deaktivieren).
Der größte Knackpunkt, auf den Sie wahrscheinlich stoßen werden, ist, dass OS X Open Directory Benutzerkennwörter standardmäßig nicht im „Standardformat“ (Unix-Crypt-Format im Benutzerdatensatz in LDAP) speichert. Sie könnten also Probleme haben, Courier und Samba so zu konfigurieren, dass Benutzerkennwörter validiert werden. OD authentifiziert Benutzer im Allgemeinen entweder über Kerberos oder einen SASL-basierten Kennwortserver. Wenn Sie herausfinden können, wie Kerberos konfiguriert wird (und die Client-Software/-Konfiguration dies unterstützt), sind Sie auf der sicheren Seite. Ich bezweifle, dass Courier oder Samba wissen, wie sie sich gegenüber dem Kennwortdienst authentifizieren, aber ich könnte mich irren (und wenn ja, würde ich es gerne wissen – hinterlassen Sie bitte einen Kommentar mit einem Hinweis auf weitere Informationen!).
Wenn keines davon möglich ist, besteht eine weitere Option darin, den Server so zu konfigurieren, dass er sich über LDAP-Bind authentifiziert (d. h. er prüft Benutzerkennwörter, indem er versucht, das Kennwort zur Authentifizierung einer LDAP-Verbindung mit dem OD-Server zu verwenden). Vermeiden Sie dies, wenn möglich, da Kennwörter in diesem Fall sowohl vom Client an den Linux-Server als auch vom Linux-Server an den OD-LDAP-Server im Klartext gesendet werden müssten (die Verwendung von SSL kann dieses Problem für IMAP und LDAP vermeiden, jedoch nicht für SMB; außerdem weigern sich neuere SMB-Clients, Kennwörter im Klartext zu senden). (Und ich weiß nicht, ob Courier oder Samba dies unterstützen.)
Schließlich können Sie die Passwörter der Benutzer in verschlüsselter Form speichern (eine Option hierfür gibt es im Arbeitsgruppenmanager unter der Registerkarte „Erweitert“ für Benutzer). Vermeiden Sie dies noch mehr, da die Passwörter dann zwischen Client und Linux-Server unverschlüsselt bleiben (es sei denn, Sie verwenden SSL).Auchanfällig für einen Wörterbuchangriff durch jeden mit Lesezugriff auf die LDAP-Domäne.