OpenLDAP - wie schirme ich das am Besten ab?

altmetaller
Goto Top
Hallo,

ich möchte für mich ein kleines Mailsystem aufsetzen. Geplant ist:
- eine VM mit OpenLDAP
- eine VM mit Postfix / Dovecot
- eine VM mit Horde

Maximal 5 Benutzer, maximal 100 eingehende E-Mails pro Tag.

Der LDAP dient in erster Linie zum Adress-Lookup (Alias-Adressen) bei eingehenden E-Mails und zur Authentifizierung (SMTP TLS Port 587, IMAPS, POP3S, Horde).

Bezüglich der Kommunikation zwischen den Diensten und dem LDAP habe ich im Moment 3 Ideen:
1. SASL-Auth
2. Im OpenLDAP sind IP-Adressen der VMs mit den Diensten freigegeben, die (lesend) zugreifen dürfen
3. OpenLDAP ist generell freigegeben, der Zugriff wird mit iptables auf die VMs mit den Diensten beschränkt

Meine Fragen dazu:
Bei 1. habe ich die Befürchtung, dass die Authentifizierungen u.U. zu Timeouts führen. Ich habe noch kein Gefühl dafür, ob SASL-Auth wirklich dafür gedacht ist und scheue mich auch immer davor, irgendwo Zugangsdaten vorzuhalten (der LDAP hat einen exklusiven ReadOnly-User dafür).

Bei 2. ergibt sich die Frage, wie man das genau konfiguriert. Irgendwie google ich da die ganze Zeit "daneben".

Bei 3. stellt sich die gleiche Frage und zusätzlich die Frage, ob das überhaupt Sinn macht oder ob man das nicht lieber im LDAP regelt.

Gruß,
Jörg

Content-Key: 1699483084

Url: https://administrator.de/contentid/1699483084

Ausgedruckt am: 24.05.2022 um 04:05 Uhr

Mitglied: EliteHacker
EliteHacker 07.01.2022 um 16:05:42 Uhr
Goto Top
Port 587 ist veraltet. Nimm Port 465.

*Duck und weg*
Mitglied: Dani
Dani 08.01.2022 um 14:32:41 Uhr
Goto Top
Moin,
warum nicht etwas fertiges nutzen wie z.B. KeyHelp?!


Gruß,
Dani
Mitglied: altmetaller
altmetaller 08.01.2022 um 14:40:57 Uhr
Goto Top
Hallo,

warum nicht etwas fertiges nutzen wie z.B. KeyHelp?!

Weil ich mit vielen Dingen bereits seit Jahren vertraut bin, weil es sich um ein Lernprojekt handelt und ich zudem einen möglichst modularen Aufbau betreiben möchte :-) face-smile

Gruß,
Jörg