Re: [Solved] Dovecot als TLS-Client mit X.509 gegen LDAP
Moin, Ronny Seffner (Fr 09 Okt 2015 09:46:51 CEST): > Moin Heiko, > > >Gibt es eigentlich sowas wie eine Referenz-Dokumentation für Dovecot, > >oder sind das Wiki und unvollständige Manpages wirklich alles? > > > Eine rhetorische Frage oder? > Selbst das Buch vom Peer Heinlein geht weder bei TLS noch bei LDAP so weit in > die Tiefe. > > ldaps != ldap mit STARTTLS > - und - > ldaps is deprecated … steht wo? Bei Heinlein? Ach, nein, bei http://www.openldap.org/faq/data/cache/605.html > Wie groß da das Interesse ist das zu fixen? Aber wenn man es supportet, > sollte es auch gehen. Ja. Mal sehen, ob es gefixt wird. Best regards from Dresden/Germany Viele Grüße aus Dresden Heiko Schlittermann -- SCHLITTERMANN.de internet & unix support - Heiko Schlittermann, Dipl.-Ing. (TU) - {fon,fax}: +49.351.802998{1,3} - gnupg encrypted messages are welcome --- key ID: F69376CE - ! key id 7CBF764A and 972EAC9F are revoked since 2015-01 - signature.asc Description: Digital signature ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: [Solved] Dovecot als TLS-Client mit X.509 gegen LDAP
William Epler (Fr 09 Okt 2015 09:18:25 CEST): … > Danke für den Tip. > Ich habe selbst zwei Dovecots laufen, bin aber (noch) nicht auf diesen > Fehler gestoßen, da dort der LDAP-Verkehr unverschlüsselt über > localhost läuft. > > > Gibt es eigentlich sowas wie eine Referenz-Dokumentation für Dovecot, > > oder sind das Wiki und unvollständige Manpages wirklich alles? > Die Dovecot-Anleitung stellt sich eigentlich selbst den Anspruch "Was > da nicht geschrieben steht, gibt es auch nicht". Darum steht dann dort: http://wiki2.dovecot.org/AuthDatabase/LDAP You can enable TLS in two alternative ways: Connect to ldaps port (636) by using "ldaps" protocol, e.g. uris = ldaps://secure.domain.org Connect to ldap port (389) and use STARTTLS command. Use tls=yes to enable this. See the tls_* settings in dovecot-ldap-example.conf for how to configure TLS. (I think they apply to ldaps too?) So stellt man sich Referenz-Dokumentation vor? > Den geballten Erfahrungsschatz aus der Praxis gibt es in > http://www.dovecot-buch.de/ - aus meiner Sicht sehr zu empfehlen. Ich suche kein Praxis-Buch, sondern ein eher „technical feference manual“. (Auch auf die Gefahr, mich zu wiederholen oder OT zu sein: http://www.exim.org/exim-html-current/doc/html/spec_html/ ist für mich etwas, was das Attribut „Referenz“ verdient.) Best regards from Dresden/Germany Viele Grüße aus Dresden Heiko Schlittermann -- SCHLITTERMANN.de internet & unix support - Heiko Schlittermann, Dipl.-Ing. (TU) - {fon,fax}: +49.351.802998{1,3} - gnupg encrypted messages are welcome --- key ID: F69376CE - ! key id 7CBF764A and 972EAC9F are revoked since 2015-01 - signature.asc Description: Digital signature ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
AW: [Solved] Dovecot als TLS-Client mit X.509 gegen LDAP
Moin Heiko, >Gibt es eigentlich sowas wie eine Referenz-Dokumentation für Dovecot, >oder sind das Wiki und unvollständige Manpages wirklich alles? > Eine rhetorische Frage oder? Selbst das Buch vom Peer Heinlein geht weder bei TLS noch bei LDAP so weit in die Tiefe. ldaps != ldap mit STARTTLS - und - ldaps is deprecated Wie groß da das Interesse ist das zu fixen? Aber wenn man es supportet, sollte es auch gehen. Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ro...@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8 ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: [Solved] Dovecot als TLS-Client mit X.509 gegen LDAP
2015-10-08 21:33 GMT+02:00 Heiko Schlittermann : > Hallo, > > wie versprochen die Auflösung: > Dann werden die tls_* settings auch bei einer ldaps:// URI aktiv. Danke für den Tip. Ich habe selbst zwei Dovecots laufen, bin aber (noch) nicht auf diesen Fehler gestoßen, da dort der LDAP-Verkehr unverschlüsselt über localhost läuft. > Gibt es eigentlich sowas wie eine Referenz-Dokumentation für Dovecot, > oder sind das Wiki und unvollständige Manpages wirklich alles? Die Dovecot-Anleitung stellt sich eigentlich selbst den Anspruch "Was da nicht geschrieben steht, gibt es auch nicht". Den geballten Erfahrungsschatz aus der Praxis gibt es in http://www.dovecot-buch.de/ - aus meiner Sicht sehr zu empfehlen. -- William Epler ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
[Solved] Dovecot als TLS-Client mit X.509 gegen LDAP
Hallo, wie versprochen die Auflösung: Und hoffentlich finde ich das auch, wenn ich in zwei Jahren wieder das Problem habe und es mir nicht mal bekannt vorkommt. (@Google: I meant you ;)) Heiko Schlittermann (Do 08 Okt 2015 17:12:57 CEST): > ich habe hier einen Dovecot 2.2.9, der hat seine userdb und passdb gegen Wie es aussieht, ist das auch in 2.2.13 noch kaputt. Ein einfcher schneller Fix kann sein: --- dovecot-2.2.9/src/auth/db-ldap.c2013-11-24 14:37:39.0 +0100 +++ dovecot-2.2.9.hs12/src/auth/db-ldap.c 2015-10-08 21:24:47.051446465 +0200 @@ -1043,7 +1043,7 @@ static void db_ldap_set_tls_options(struct ldap_connection *conn) { - if (!conn->set.tls) + if (!(conn->set.tls || strncmp(conn->set.uris, "ldaps:", 6) == 0)) return; #ifdef OPENLDAP_TLS_OPTIONS Dann werden die tls_* settings auch bei einer ldaps:// URI aktiv. Dann müssen nur noch die Files mit Key und Cert lesbar sein. Dass Dovecot in der Gruppe ssl-cert ist, hilft nicht weiter. (Der Key ist nur für root:ssl-cert zugänglich). Denn Dovecot liest als Root die *CONFIG* Files, und weiss also, dann, wie das Key- und Cert-File heissen. Diese Parameter übergibt er an die LDAP-Client-Bibliothek (die im übrigen gegen GnuTLS gelinkt ist, Dovecot für seinen Teil gegen OpenSSL), und wenn der die Verbindung zum LDAP-Server aufbaut (also wenn die Library die Verbindung aufbaut), dann ist er nicht mehr Root. Und um initgroups() kümmert er sich nicht, also läuft der Prozess als dovecot:dovecot. Und kann dann natürlich die Files nicht lesen. Aber in der dovecot.conf kann man im auth-service extra_groups = ssl-cert eintragen. Gibt es eigentlich sowas wie eine Referenz-Dokumentation für Dovecot, oder sind das Wiki und unvollständige Manpages wirklich alles? Best regards from Dresden/Germany Viele Grüße aus Dresden Heiko Schlittermann -- SCHLITTERMANN.de internet & unix support - Heiko Schlittermann, Dipl.-Ing. (TU) - {fon,fax}: +49.351.802998{1,3} - gnupg encrypted messages are welcome --- key ID: F69376CE - ! key id 7CBF764A and 972EAC9F are revoked since 2015-01 - signature.asc Description: Digital signature ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd