Postfix: Verifica LDAP in real-time

superpaia — Mon, 01 Feb 2010 23:22:29 +0000

Nella ricezione della posta è opportuno che sia verificata prima di essere inoltrata al server di posta, ovvero che il destinatario esista. Già con questo “piccolo” controllo parte dello spam non viene consegnato e non va ad usare risorse utili sul nostro server.

Quindi è fondamentale, assieme ad altri controlli, aggiungere questo tipo di verifica, per ottenere un servizio di posta migliore!

Questa piccola guida è riferita all’uso di Postfix, con supporto ldap, in ambiente Gnu/Linux con server Exchange o Lotus Domino

Query LDAP verso Lotus Domino:

la sintassi per postfix da aggiungere in /etc/postfix/main.cf è :

[...]

ldap_timeout = 10

ldap_search_base =

ldap_server_host = ip_del_server_di_posta_Domino

ldap_server_port = 389

ldap_query_filter = (mail=%s)

ldap_result_filter = %s

ldap_result_attribute = mail

ldap_scope = sub

ldap_bind = no

relay_recipient_maps = ldap:ldap

[...]

Query Ldap verso M$crosoft Exchange:

mentre nel caso di server M$crosoft Exchange la sintassi da aggiungere in /etc/postfix/main.cf è:

[...]

ldap_server_host = ip_del_server_di_posta_Exchange

ldap_search_base = dc=dominio,dc=it

ldap_version = 3

ldap_bind_dn = CN=postfix,CN=Users,DC=dominio,DC=it <– utente, “base”, inserito in Active Directory per poter fare la query LDAP

ldap_bind_pw = utente_postfix_password

ldap_query_filter = (proxyAddresses=smtp:%s)

ldap_result_attribute = mail

relay_recipient_maps = ldap:ldap

smtpd_recipient_limit = 240

[...]

In entrambi i casi occorre salvare il file e riavviare il servizio Postfix.

Autenticazione Squid against LDAP Active Directory

superpaia — Tue, 15 Dec 2009 19:02:39 +0000

—– con squid fino 2.5.x e Active directory 2003 —–

** Autentificazione utenti: **

$/usr/sbin/squid_ldap_auth -p -R -b “cn=users,dc=infonetsolutions,dc=loc” -D “cn=Administrator,cn=users,dc=infonetsolutions,dc=loc” -w “PASSWORD” -f “(&(userPrincipalName=%s)(objectClass=person))” 10.13.17.204

TEST:

alessandro password

* quindi in squid.conf:

auth_param basic program /usr/sbin/squid_ldap_auth -p -R -b “cn=users,dc=infonetsolutions,dc=loc” -D “cn=Administrator,cn=users,dc=infonetsolutions,dc=loc” -w “PASSWORD” -f “(&(userPrincipalName=%s)(objectClass=person))” 10.13.17.204

acl password proxy_auth REQUIRED

http_access allow password

—– con squid >2.6 e Active directory 2003 (testato con squid di ubuntu 7.04 e AD 2003 infonet) —–

** Autentificazione utenti: **

$/usr/lib/squid/ldap_auth -p -R -b “cn=users,dc=infonetsolutions,dc=loc” -D “cn=Administrator,cn=users,dc=infonetsolutions,dc=loc” -w “PASSWORD” -f sAMAccountName=%s -h 10.13.17.204

TEST:

alessandro password

*quindi in squid.conf:

auth_param basic program /usr/lib/squid/ldap_auth -p -R -b “cn=users,dc=infonetsolutions,dc=loc” -D “cn=Administrator,cn=users,dc=infonetsolutions,dc=loc” -w “PASSWORD” -f sAMAccountName=%s -h 10.13.17.204

acl password proxy_auth REQUIRED

http_access allow password

** Autentificazione gruppi di Active directory: ***

prerequisito è che l’autentificazione utenti standard funzioni

(auth_param basic program /usr/lib/squid/ldap_auth -p -R -b “cn=users,dc=infonetsolutions,dc=loc” -D “cn=Administrator,cn=users,dc=infonetsolutions,dc=loc” -w “PASSWORD” -f sAMAccountName=%s -h 10.13.17.204)

external_acl_type GruppoDiRete %LOGIN /usr/lib/squid/squid_ldap_group -R -b “dc=infonetsolutions,dc=loc” -D “cn=Administrator,cn=Users,dc=infonetsolutions,dc=loc” -w “PASSWORD” -f “(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=Citrix,dc=infonetsolutions,dc=loc))” -h 10.13.17.204

acl password-gruppi proxy_auth REQUIRED

acl AccessoInternet external GruppoDiRete Ctx_Internet # QUEST’ULTIMO È IL GRUPPO IN AD

http_access allow AccessoInternet

— Riferimenti: —

http://www.squid-cache.org

http://www.papercut.biz/kb/Main/ConfiguringSquidProxyToAuthenticateWithActiveDirectory

Ecco le informazioni per impostare l’autenticazione esplicita di un proxy Squid su GNU/Linux verso un server LDAP Active Directory.

—– con squid fino 2.5.x e Active directory 2003 (testato con Sles verso Ad 2003) —–

** Autenticazione utenti: **

inserire in squid.conf:

auth_param basic program /usr/sbin/squid_ldap_auth -p -R -b “cn=users,dc=dominio,dc=loc” -D “cn=squid,cn=users,dc=dominio,dc=loc” -w “PASSWORD” -f “(&(userPrincipalName=%s)(objectClass=person))” IpAddressLdapServer

acl password proxy_auth REQUIRED

http_access allow password

—– con squid >2.6 e Active directory 2003 (testato con squid di ubuntu 7.04 e SLES verso AD 2003) —-

** Autenticazione utenti: **

inserire in in squid.conf:

auth_param basic program /usr/lib/squid/ldap_auth -p -R -b “cn=users,dc=dominio,dc=loc” -D “cn=squid,cn=users,dc=dominio,dc=loc” -w “PASSWORD” -f sAMAccountName=%s -h IpAddressLdapServer

acl password proxy_auth REQUIRED

http_access allow password

** Autenticazione degli utenti e gruppi di Active directory: ***

con questa configurazione gli utenti oltre ad autenticare sè stessi devono anche appartenere ad un determinato gruppo di Active Directory per poter accedere ad internet tramite il proxy

(prerequisito è che l’autentificazione utenti standard funzioni)

auth_param basic program /usr/lib/squid/ldap_auth -p -R -b “cn=users,dc=dominio,dc=loc” -D “cn=squidr,cn=users,dc=dominio,dc=loc” -w “PASSWORD” -f sAMAccountName=%s -h IpAddressLdapServer

external_acl_type GruppoDiRete %LOGIN /usr/lib/squid/squid_ldap_group -R -b “dc=dominio,dc=loc” -D “cn=squid,cn=Users,dc=dominio,dc=loc” -w “PASSWORD” -f “(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=SquidGroup,dc=dominio,dc=loc))” -h IpAddressLdapServer

acl password-gruppi proxy_auth REQUIRED

acl AccessoInternet external GruppoDiRete SquidGroup # QUEST’ULTIMO È IL GRUPPO IN AD

http_access allow AccessoInternet

— Riferimenti: —

http://www.squid-cache.org

http://www.papercut.biz/kb/Main/ConfiguringSquidProxyToAuthenticateWithActiveDirectory

ENJOY

Tips and Tux » active directory

Postfix: Verifica LDAP in real-time

Autenticazione Squid against LDAP Active Directory