117471
Jan 07, 2022
1265
3
0
OpenLDAP - wie schirme ich das am Besten ab?
Hallo,
ich möchte für mich ein kleines Mailsystem aufsetzen. Geplant ist:
- eine VM mit OpenLDAP
- eine VM mit Postfix / Dovecot
- eine VM mit Horde
Maximal 5 Benutzer, maximal 100 eingehende E-Mails pro Tag.
Der LDAP dient in erster Linie zum Adress-Lookup (Alias-Adressen) bei eingehenden E-Mails und zur Authentifizierung (SMTP TLS Port 587, IMAPS, POP3S, Horde).
Bezüglich der Kommunikation zwischen den Diensten und dem LDAP habe ich im Moment 3 Ideen:
1. SASL-Auth
2. Im OpenLDAP sind IP-Adressen der VMs mit den Diensten freigegeben, die (lesend) zugreifen dürfen
3. OpenLDAP ist generell freigegeben, der Zugriff wird mit iptables auf die VMs mit den Diensten beschränkt
Meine Fragen dazu:
Bei 1. habe ich die Befürchtung, dass die Authentifizierungen u.U. zu Timeouts führen. Ich habe noch kein Gefühl dafür, ob SASL-Auth wirklich dafür gedacht ist und scheue mich auch immer davor, irgendwo Zugangsdaten vorzuhalten (der LDAP hat einen exklusiven ReadOnly-User dafür).
Bei 2. ergibt sich die Frage, wie man das genau konfiguriert. Irgendwie google ich da die ganze Zeit "daneben".
Bei 3. stellt sich die gleiche Frage und zusätzlich die Frage, ob das überhaupt Sinn macht oder ob man das nicht lieber im LDAP regelt.
Gruß,
Jörg
ich möchte für mich ein kleines Mailsystem aufsetzen. Geplant ist:
- eine VM mit OpenLDAP
- eine VM mit Postfix / Dovecot
- eine VM mit Horde
Maximal 5 Benutzer, maximal 100 eingehende E-Mails pro Tag.
Der LDAP dient in erster Linie zum Adress-Lookup (Alias-Adressen) bei eingehenden E-Mails und zur Authentifizierung (SMTP TLS Port 587, IMAPS, POP3S, Horde).
Bezüglich der Kommunikation zwischen den Diensten und dem LDAP habe ich im Moment 3 Ideen:
1. SASL-Auth
2. Im OpenLDAP sind IP-Adressen der VMs mit den Diensten freigegeben, die (lesend) zugreifen dürfen
3. OpenLDAP ist generell freigegeben, der Zugriff wird mit iptables auf die VMs mit den Diensten beschränkt
Meine Fragen dazu:
Bei 1. habe ich die Befürchtung, dass die Authentifizierungen u.U. zu Timeouts führen. Ich habe noch kein Gefühl dafür, ob SASL-Auth wirklich dafür gedacht ist und scheue mich auch immer davor, irgendwo Zugangsdaten vorzuhalten (der LDAP hat einen exklusiven ReadOnly-User dafür).
Bei 2. ergibt sich die Frage, wie man das genau konfiguriert. Irgendwie google ich da die ganze Zeit "daneben".
Bei 3. stellt sich die gleiche Frage und zusätzlich die Frage, ob das überhaupt Sinn macht oder ob man das nicht lieber im LDAP regelt.
Gruß,
Jörg
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1699483084
Url: https://administrator.de/contentid/1699483084
Printed on: April 23, 2024 at 21:04 o'clock
3 Comments
Latest comment
Port 587 ist veraltet. Nimm Port 465.
*Duck und weg*
*Duck und weg*
Moin,
warum nicht etwas fertiges nutzen wie z.B. KeyHelp?!
Gruß,
Dani
warum nicht etwas fertiges nutzen wie z.B. KeyHelp?!
Gruß,
Dani
Hallo,
Weil ich mit vielen Dingen bereits seit Jahren vertraut bin, weil es sich um ein Lernprojekt handelt und ich zudem einen möglichst modularen Aufbau betreiben möchte
Gruß,
Jörg
warum nicht etwas fertiges nutzen wie z.B. KeyHelp?!
Weil ich mit vielen Dingen bereits seit Jahren vertraut bin, weil es sich um ein Lernprojekt handelt und ich zudem einen möglichst modularen Aufbau betreiben möchte
Gruß,
Jörg
