В проекте мне нужно использовать базу данных пользователей, которая хранится на сервере Mac Server на основе LDAP, чтобы создать почтовый сервер с использованием postfix+courier и samba. Можете ли вы сказать мне, делал ли кто-нибудь это или это возможно (теоретически должно быть). Если вы можете дать мне подсказку, я буду благодарен вам до конца своих дней :)
заранее спасибо
решение1
Кажется, чтопостфикс,Курьер, иСамбавсе поддерживают извлечение информации о пользователе из LDAP.
Вам необходимо знать базу поиска LDAP сервера OS X (ее можно найти в Server Admin -> Модуль Open Directory на боковой панели -> Обзор на панели инструментов) — обычно это полное доменное имя сервера на языке LDAP (например, macserver.example.com будет выглядеть как dc=macserver,dc=example,dc=com); учетные записи пользователей будут находиться в cn=users,searchbase (например, cn=users,dc=macserver,dc=example,dc=com).
Сопоставление атрибутов пользователя должно быть довольно простым, поскольку OS X следует стандарту unix (RFC 2307). Если вам действительно нужно посмотреть на атрибуты LDAP пользователя, чтобы выяснить, как настроить службы, используйте Workgroup Manager, включите вкладку «Все записи» и инспектор в настройках приложения (это «Настройки» в меню Workgroup Manager, а не вкладка «Настройки» на панели инструментов); при включении выберите пользователя, затем выберите вкладку «Инспектор» справа и найдите атрибуты «Собственные» (т. е. dsAttrTypeNative), чтобы увидеть, как записи пользователя хранятся в LDAP (примечание: вы можете немного упростить просмотр, нажав кнопку «Параметры» и отключив все, кроме «Показать собственные атрибуты»).
Самая большая проблема, с которой вы, вероятно, столкнетесь, заключается в том, что по умолчанию Open Directory OS X не хранит пароли пользователей в «стандартной» форме (форма криптографии unix в записи пользователя в LDAP), поэтому у вас могут возникнуть проблемы с настройкой Courier и Samba для проверки паролей пользователей. OD обычно аутентифицирует пользователей либо через Kerberos, либо через сервер паролей на основе SASL. Если вы можете разобраться, как настроить Kerberos (и клиентское программное обеспечение/конфигурация поддерживают это), то у вас все хорошо. Я сомневаюсь, что Courier или Samba знают, как аутентифицироваться с помощью службы паролей, но я могу ошибаться (и если я ошибаюсь, я бы с удовольствием узнал об этом — пожалуйста, оставьте комментарий со ссылкой на дополнительную информацию!).
Если ни один из этих вариантов невозможен, другим вариантом будет настройка сервера на аутентификацию через привязку LDAP (т. е. проверка паролей пользователей путем попытки использовать пароль для аутентификации соединения LDAP с сервером OD) — по возможности избегайте этого, поскольку это потребует отправки паролей в открытом виде как с клиента на сервер Linux, так и с сервера Linux на сервер OD LDAP (использование SSL может избежать этой проблемы для IMAP и LDAP, но не для SMB; кроме того, последние клиенты SMB отказываются отправлять пароли в открытом виде). (И я не знаю, поддерживают ли это Courier или Samba.)
Наконец, вы можете хранить пароли пользователей в зашифрованном виде (для этого есть опция в Workgroup Manager, на вкладке Advanced для пользователей) — избегайте этого тем более, поскольку это означает, что пароли не будут зашифрованы между клиентом и сервером Linux (если вы не используете SSL), итакжеуязвим к атаке по словарю любым лицом, имеющим доступ на чтение к домену LDAP.