En un proyecto, necesito usar una base de datos de usuarios almacenada en un LDAP basado en un servidor Mac para crear un servidor de correo usando postfix+courier y samba. ¿Puede decirme si alguien hizo esto o si es posible (debería ser teórico)? Si puedes darme una pista te lo agradeceré por el resto de mis días :)
gracias de antemano
Respuesta1
Parece quesufijo,mensajero, ySambatodos admiten la extracción de información del usuario de LDAP.
Necesitará conocer la base de búsqueda LDAP del servidor OS X (puede encontrarla en Administrador del servidor -> módulo Open Directory en la barra lateral -> Descripción general en la barra de herramientas); generalmente será el nombre de dominio completo del servidor en LDAPspeak (por ejemplo, macserver.example.com sería dc=macserver,dc=example,dc=com); las cuentas de usuario estarán en cn=users,searchbase (por ejemplo, cn=users,dc=macserver,dc=example,dc=com).
El mapeo de atributos de usuario debería ser bastante sencillo, ya que OS X sigue el estándar Unix (RFC 2307). Si necesita mirar los atributos LDAP del usuario para descubrir cómo configurar los servicios, use el Administrador de grupo de trabajo, habilite la pestaña "Todos los registros" y el inspector en las preferencias de la aplicación (esas son las Preferencias en el menú del Administrador de grupo de trabajo, no el pestaña Preferencias en la barra de herramientas); Con eso habilitado, seleccione un usuario, luego seleccione la pestaña Inspector a la derecha y busque atributos "Nativo" (también conocido como dsAttrTypeNative) para ver cómo se almacenan los registros de usuario en LDAP (nota: puede simplificar un poco la vista haciendo clic el botón Opciones y desactivar todo excepto "Mostrar atributos nativos").
El mayor problema con el que probablemente se encontrará es que, de forma predeterminada, Open Directory de OS X no almacena las contraseñas de los usuarios en la forma "estándar" (forma de cripta Unix en el registro de usuario en LDAP), por lo que puede tener problemas para configurar Courier y Samba para validar las contraseñas de los usuarios. OD generalmente autentica a los usuarios a través de Kerberos o un servidor de contraseñas basado en SASL. Si puede descubrir cómo configurar Kerberos (y el software/configuración del cliente lo admite), está en buena forma. Dudo que Courier o Samba sepan cómo autenticarse con el servicio de contraseñas, pero podría estar equivocado (y si lo estoy, me encantaría saberlo; ¡deje un comentario con un indicador para obtener más información!).
Si ninguna de las dos es posible, otra opción sería configurar el servidor para que se autentique a través del enlace LDAP (es decir, verifican las contraseñas de los usuarios intentando usar la contraseña para autenticar una conexión LDAP al servidor OD). Evite esto si es posible porque requeriría que las contraseñas se envíen en texto plano tanto desde el cliente al servidor Linux como desde el servidor Linux al servidor OD LDAP (el uso de SSL puede evitar este problema para IMAP y LDAP, pero no para SMB; además, los clientes SMB recientes se negarán a enviar contraseñas en texto plano). (Y no sé si Courier o Samba admiten esto).
Finalmente, puede almacenar las contraseñas de los usuarios en forma cifrada (hay una opción para esto en Workgroup Manager, en la pestaña Avanzado para usuarios); evítelo aún más porque significa que las contraseñas no están cifradas entre el cliente y el servidor Linux (a menos que usted usar SSL), ytambiénvulnerable a un ataque de diccionario por parte de cualquier persona con acceso de lectura al dominio LDAP.