Re: Cyrus und TLS
Andreas Hergesell schrieb: imaps cmd=imapd -s listen=imaps prefork=0 pop3s cmd=pop3d -s listen=pop3s prefork=0 Das ist in der Tat nicht in meinem Sinn, weil ich dann andere Ports verwenden muss (bei IMAP anstelle von 143 die 993). Und da ich an einer Stelle eine sehr restriktive Firewall hab, auf die ich auch keinen Einfluss nehmen kann, möchte ich gerne lieber die Verschlüsselung per STARTTLS anstelle von SSL generell haben. Öhm, was hat sasl mit tls zu tun? Direkt nichts, aber SASL bewertet die Sicherheit des Logins mit einem Wert, Plaintext hat eine Null, CRAM-MD5 dann etwas mehr und ein Login nach einem STARTTLS 128 und mehr. Nun kann man wenn ich das richtig verstanden hab mit sasl_minimum_layer genau einschränken, dass man einen Mindestwert erreicht hat (128 und höher). Leider fallen ja CRAM-MD5 und Co. weg, weil ich den saslauthd mit pam_pgsql im Einsatz hab, aber für den Login via CRAM-MD5 ja Zugriff auf dass Passwort im Klartext notwendig ist. Vielleicht sollte ich doch auf die sasldb umstellen, zwar nicht schön, aber besser als Plaintext für die Kennwörter. Cheers, Jan signature.asc Description: OpenPGP digital signature
Re: Cyrus und TLS
Matthias Haegele schrieb: Sprichst du von cyrus sasl (evtl. in Verb. mit MTA a)) oder von Cyrus imap b) oder von beidem c)?. Meine Cyrus IMAP und die Authenifizierung der Benutzer. Läuft bei mir über saslauthd und der bezieht seine Infos aus pam_pgsql. Auf der MTA-Seite läuft alles nur auf dem Localhost und via LMTP und das klappt auch einwandfrei. Die Logins der Benutzer laufen ja auch, nur eben nicht mit erzwungenem TLS durch sasl_maximum_layer. Problem ist, dass solange ich allowplaintext: yes in der imapd.conf stehen hab, ich mich jederzeit anmelden kann und sasl_minimum_layer nicht beachtet wird. Setzte ich das auf no, schickt Cyrus im Banner ein LOGINDISABLED und ein Thunderbird lehnt die Verbindung ab (imtest ignoriert das und kann sich einloggen). Cheers, Jan signature.asc Description: OpenPGP digital signature
Cyrus und TLS
Hi zusammen, habe da ein Problem mit Cyrus - ich würde gerne TLS erzwingen. TLS funktioniert bereits wunderbar. Setze ich nun sasl_minium_layer auf 128 (oder ähnlich), dann taucht im Login LOGINDISABLED im Banner auf und z.B. Thunderbird verweigert dann den Login. imtest hingegen setzt sich bequem über das gesetzte LOGINDISBALED hinweg und der Login funktioniert. Jemand eine Idee, wie ich das sauber so hinbekomme, dass das LOGINDISABLED nicht auftaucht? Ich möchte ungern nur SSL anbieten auf Port 995, TLS finde ich 'schöner'. Dankbar für jeden Tipp, Jan signature.asc Description: OpenPGP digital signature
Re: Cyrus und TLS
Hi Jan, Am Montag, 15. Mai 2006 18:02 schrieb Jan Kesten: Hi zusammen, habe da ein Problem mit Cyrus - ich würde gerne TLS erzwingen. Ein Kommentieren von # imap cmd=imapd listen=imap prefork=0 imaps cmd=imapd -s listen=imaps prefork=0 # pop3 cmd=pop3d listen=pop3 prefork=0 pop3s cmd=pop3d -s listen=pop3s prefork=0 ist nicht in deinem Sinne? TLS funktioniert bereits wunderbar. Setze ich nun sasl_minium_layer auf 128 (oder ähnlich), dann taucht im Login LOGINDISABLED im Banner auf und z.B. Thunderbird verweigert dann den Login. Öhm, was hat sasl mit tls zu tun? Oder verstehe ich nicht was du möchtest? imtest hingegen setzt sich bequem über das gesetzte LOGINDISBALED hinweg und der Login funktioniert. Jemand eine Idee, wie ich das sauber so hinbekomme, dass das LOGINDISABLED nicht auftaucht? Ich möchte ungern nur SSL anbieten auf Port 995, TLS finde ich 'schöner'. Dankbar für jeden Tipp, Jan Viele Grüße Andreas
Re: Cyrus und TLS
Jan Kesten schrieb: Hi zusammen, Hallo! habe da ein Problem mit Cyrus - ich würde gerne TLS erzwingen. TLS funktioniert bereits wunderbar. Setze ich nun sasl_minium_layer auf 128 (oder ähnlich), dann taucht im Login LOGINDISABLED im Banner auf und z.B. Thunderbird verweigert dann den Login. Sprichst du von cyrus sasl (evtl. in Verb. mit MTA a)) oder von Cyrus imap b) oder von beidem c)?. imtest hingegen setzt sich bequem über das gesetzte LOGINDISBALED hinweg und der Login funktioniert. Jemand eine Idee, wie ich das sauber so hinbekomme, dass das LOGINDISABLED nicht auftaucht? Ich möchte ungern nur SSL anbieten auf Port 995, TLS finde ich 'schöner'. wie versendest du?. Dankbar für jeden Tipp, Jan Grüsse MH