Ssl
通過 Sendmail 保護 LDAP 別名查找
我正在嘗試將 sendmail 配置為使用 LDAP 查找作為別名表。
我的配置中有這一行:
Kldapfullname ldap -k"uid=%s" -v"mail" -h"my-ldap-server"
我已經用了很長時間了。它有效,別名被查找,電子郵件最終進入正確的收件箱。
但是,它正在工作,因為 LDAP 目前允許匿名綁定。由於一些政策變化,這不能再做。
我得到了這個工作:
Kldapfullname ldap -k"uid=%s" -v"mail" -H"ldaps://my-ldap-server/" -Msimple -d"CN=LDAP_USER" -P /path/to/ldap.secret
這滿足了“不再匿名綁定”的要求。
但是仍然存在一些安全問題:LDAP 綁定不是通過安全通道完成的。使用者名和密碼都以明文形式發送。從長遠來看,這與讓它匿名綁定一樣有用。
在我四處搜尋時看到的幾個範例中,我看到該
-H
標誌允許您指定協議,例如ldap://
,或在我的情況下ldaps://
。但是當我去驗證時,我看到數據仍然通過非安全的 LDAP 埠(埠 389)而不是 LDAPS 埠(埠 636)。(我曾經
snoop
看到我的主機和 LDAP 伺服器之間的流量。)所以我的問題是:*為什麼
ldaps://
被忽略並被使用,就好像它只是ldap://
?*我必須改變什麼才能讓它工作?
根據“bat book”的第 4 版(第 3.4.56 節),當 sendmail 使用 LDAP 支持編譯但沒有 SM_CONF_LDAP_INITIALIZE 時,LDAP URL 的 scheme:// 部分將被省略。