Cyrus SASL umożliwa autoryzację użytkowników.
Konfiguracja Cyrus SASL
Plik konfiguracyjny
Cyrus SASL pozwala autoryzować jedynie przychodzące połączenia pocztowe.
Pierwszą sprawą w konfiguracji SASLa jest poinformowanie go skąd ma
pobierać dane do autoryzacji. Robimy to edytując plik
/etc/sasl2/smptd (w starszych wersjach /usr/lib/sasl/smtpd.conf).
Do wyboru mamy kilka technik:
- pam – integruje SASL z mechanizmem PAM. Problem w tym iż może wymagać
ustawienia dostępu do pliku /etc/shadow na 644 co jest nie do przyjęcia. - shadow – każe SASLowi korzystać bezpośrednio z pliku /etc/shadow.
Ponownie występuje problem z prawami dostępu do tego pliku. SASL wymaga
ustawienia tego ich na 644. - sasldb – nakazuje SASLowu na korzystanie z bazy /var/lib/sasl/sasl.db.
Sposób ten musi być użyty dla metod autoryzacji DIGEST-MD5 lub CRAM-MD5.
Użytkownik musi być dodany do bazy przez narzędzie saslpaswd. Dla poprawnego
uruchomienia bazy musi być dodany co najmniej jeden użytkownik.
Uwaga: Dystrybucja Mandrake ustawia prawa dostępu do tego
pliku na 0644. Jednak zwykły użytkownik nie może odczytać haseł z bazy
bez skorzystania z narzędzia sasldblistusers, więc wydaje się to bezpieczne. - pwcheck – metoda ta jest podobna do shadow ale Postfix nie musi
posiadać prawa czytania do pliku /etc/shadow. W tej metodzie uruchamiany
jest demon pwcheck z prawami roota, który pośredniczy w dostępie do pliku
shadow.
Dla łatwości użycia można zalecić korzystania metody saslauthd:
[root@ziutusLinux1 postfix]# cat /etc/sasl2/smtpd.conf pwcheck_method: saslauthd mech_list: plain login
Własna baza SASL
Zajmijmy się dodaniem użytkownika do bazy danych SASL. Korzystamy tutaj z komendy
saslpasswd w następującej formie: saslpasswd -a smtpd -c username doda to użytkownika „username”
do aplikacji smtpd. Parametr -c nakazuje utworzenie
użytkownika, jeżeli nie go jeszcze w bazie. Opcja -d usuwa użytkownika. Możesz dodatkowo
użyć opcji „-u [domain]” do określenia domeny, które współgra z smtpd_sasl_local_domain.
Polcenie sasldblistusers pozwoli Ci przejrzeć użytkowników oraz dostępne dla nich
metody autoryzacji.