Ssl

通過 Sendmail 保護 LDAP 別名查找

  • February 6, 2012

我正在嘗試將 sendmail 配置為使用 LDAP 查找作為別名表。

我的配置中有這一行:

Kldapfullname ldap -k"uid=%s" -v"mail" -h"my-ldap-server"

我已經用了很長時間了。它有效,別名被查找,電子郵件最終進入正確的收件箱。

但是,它正在工作,因為 LDAP 目前允許匿名綁定。由於一些政策變化,這不能再做。

我得到了這個工作:

Kldapfullname ldap -k"uid=%s" -v"mail" -H"ldaps://my-ldap-server/" -Msimple -d"CN=LDAP_USER" -P /path/to/ldap.secret

這滿足了“不再匿名綁定”的要求。

但是仍然存在一些安全問題:LDAP 綁定不是通過安全通道完成的。使用者名和密碼都以明文形式發送。從長遠來看,這與讓它匿名綁定一樣有用。

在我四處搜尋時看到的幾個範例中,我看到該-H標誌允許您指定協議,例如ldap://,或在我的情況下ldaps://

但是當我去驗證時,我看到數據仍然通過非安全的 LDAP 埠(埠 389)而不是 LDAPS 埠(埠 636)。(我曾經snoop看到我的主機和 LDAP 伺服器之間的流量。)

所以我的問題是:*為什麼ldaps://被忽略並被使用,就好像它只是ldap://?*我必須改變什麼才能讓它工作?

根據“bat book”的第 4 版(第 3.4.56 節),當 sendmail 使用 LDAP 支持編譯但沒有 SM_CONF_LDAP_INITIALIZE 時,LDAP URL 的 scheme:// 部分將被省略。

引用自:https://serverfault.com/questions/357256