通過 Sendmail 保護 LDAP 別名查找

我正在嘗試將 sendmail 配置為使用 LDAP 查找作為別名表。

我的配置中有這一行：

Kldapfullname ldap -k"uid=%s" -v"mail" -h"my-ldap-server"

我已經用了很長時間了。它有效，別名被查找，電子郵件最終進入正確的收件箱。

但是，它正在工作，因為 LDAP 目前允許匿名綁定。由於一些政策變化，這不能再做。

我得到了這個工作：

Kldapfullname ldap -k"uid=%s" -v"mail" -H"ldaps://my-ldap-server/" -Msimple -d"CN=LDAP_USER" -P /path/to/ldap.secret

這滿足了“不再匿名綁定”的要求。

但是仍然存在一些安全問題：LDAP 綁定不是通過安全通道完成的。使用者名和密碼都以明文形式發送。從長遠來看，這與讓它匿名綁定一樣有用。

在我四處搜尋時看到的幾個範例中，我看到該-H標誌允許您指定協議，例如ldap://，或在我的情況下ldaps://。

但是當我去驗證時，我看到數據仍然通過非安全的 LDAP 埠（埠 389）而不是 LDAPS 埠（埠 636）。（我曾經snoop看到我的主機和 LDAP 伺服器之間的流量。）

所以我的問題是：*為什麼ldaps://被忽略並被使用，就好像它只是ldap://？*我必須改變什麼才能讓它工作？

根據“bat book”的第 4 版（第 3.4.56 節），當 sendmail 使用 LDAP 支持編譯但沒有 SM_CONF_LDAP_INITIALIZE 時，LDAP URL 的 scheme:// 部分將被省略。

引用自：https://serverfault.com/questions/357256