疯狂的企鹅系列 单点登录和企业目录（一）(4)

作者: Ti Leggett/黄永兵 译 出处:51CTO.com　2008-03-21 13:33　   砖    好    评论  条 　进入论坛

阅读提示：本文是一个关于保护企业目录以及单点登陆的系列文章，本文是第一部分。

与OpenLDAP类似，Postfix也使用SASL认证，同时可以使用SSL保护数据传输。为保护Postfix配置它使用SASL，除修改main.cf外我们还需要做一些工作，首先，我们创建一个SSL证书/密钥对，并将它们分别放在 /etc/ssl/postfix/smtp-cert.pem和/etc/ssl/postfix/smtp-key.pem中，确认它们属于用户postfix和组mail所有，那个密钥只能由用户postfix读取，接着，我们为mail.example.com创建一个主机委托人，并将其放在合适的位置，我们还创建一个服务委托人smtp/mail.example.com@CI.EXAMPLE.COM，并将其保存在 /etc/postfix/smtp.keytab，这个文件应该归root所有，并与smtp-key.pem文件有相同的权限，而且，我们创建一个SASL配置文件叫做/etc/sasl2/smtpd.conf，并编辑/etc/conf.d/saslauthd。Postfix使用saslauthd后台进程获取关于认证机制的信息，这两个文件告诉SASL如何检查密码，支持什么机制和使用的最小安全层，minimum_layer的值等于LDAP中的安全强度要素（SSF），最后，我们告诉Postfix它的Kerberos keytab文件的位置是通过创建 /etc/conf.d/postfix或KRB5_KTNAME环境变量被确定的，KRB5_KTNAME环境变量是在启动Postfix的初始化脚本中设置的，一点所有这些任务都完成了，我们可以开始saslauthd和Postfix初始化脚本了。

LDAP不仅对身份管理和认证是有用的，而且对Postfix存储别名映射也很有用，它使用简单易于维护，而其别名数据库每次改动后不需要重新编译，第一步是让我们的目录知道我们要存储别名映射在它里面，通过在slapd配置中增加misc.schema来实现，接下来，我们在目录下位别名创建一个分支，我们使用ou=aliases,o=ci,dc=example,dc=com，最后一块告诉Postfix使用LDAP作为别名的源，增加ldap:/etc/postfix/aliases.cf到main.cf中的alias_maps命令部分，创建/etc/postfix/aliases.cf文件用它指出如何连接到LDAP以及别名在LDAP的什么地方，我们重新启动slapd，然后重新启动Postfix，我们现在已经准备好添加一个邮件别名了，我们创建一个叫做alias.ldif的LDIF文件，并将其放在这个目录下，就这么简单。

配置cyrus IMAP MDA

我们将使用cyrus IMAP邮件投递代理（MDA）2.2.10版本。完整的cyrus IMAP服务器配置已经超出了本文的范围，但是我们提供一个样本能使其工作的配置文件，cyrus IMAP服务器由开发cyrus SASL的团队开发，因此SASL和单点登陆是受到支持的。

与Postfix类似，cyrus IMAP有两个配置文件：/etc/imapd.conf和/etc/cyrus.conf，我们将只与/etc/imapd.conf来往，这里还有一些先决条件：SSL证书/密钥对，主机委托人和服务委托人，服务委托人应该是 imap/mail.example.com@CI.UCHICAGO.EDU，存储在/etc/imap.keytab中。为了启用SSL，我们定义 tls_ca_path, tls_cert_file和tls_key_file选项，为了使用SASL，我们定义sasl_pwcheck_method, sasl_mech_list和sasl_minimum_layer选项，这些选项的值与给Postfix在 /etc/sasl2/smtpd.conf中设置的相同。与Postfix类似，cyrus IMAP需要告知keytab文件的位置，我们通过编辑/etc/conf.d/cyrus或者在启动IMAP进程前设置好KRB5_KTNAME环境变量，一旦这些都完成后，我们应该确信saslauthd正在运行，然后启动IMAP初始化脚本。

后记

我们在很短的时间内快速地翻看了一下全部内容，但是所有这些艰巨的工作将给你一个坚固的可伸缩的企业目录，我们仅部署了一个为10用户工作的系统，并且主机从都在一个位置到成千的分布在世界各地，在我的下一篇文章中，我们将处理连接linux和Apple OS X客户端进入我们的系统来查看我们的劳动成果。

【51CTO.COM 独家翻译，转载请注明出处及作者！】

【相关文章】

• 疯狂的企鹅系列 单点登录和企业目录（二）

• 疯狂的企鹅系列 单点登录和企业目录（三）

• 疯狂的企鹅系列 单点登录和企业目录（四）

共4页: 上一页 [1] [2] [3] 4

【内容导航】  第 1 页：建立一个SSL认证机构  第 2 页：保护LDAP  第 3 页：安全地复制OpenLDAP  第 4 页：配置cyrus IMAP MDA