Dovecot прокси-сито прокси с ldap - PullRequest
Новая
       108

Dovecot прокси-сито прокси с ldap

0 голосов
/ 17 октября 2019

для предстоящей миграции IMAP, мне нужно прокси моих пользователей. Я планирую использовать Nginx для проксирования трафика IMAP и POPS и направления их в соответствии с атрибутом LDAP (mailHost), но Nginx не может прокси-сервер SIEVE.

Dovecot PigeonHole, похоже, способен прокси-протокол SIEVE. Я пытаюсь настроить его, чтобы избежать аутентификации LDAP, потому что в хранилищах IMAP уже есть аутентификация. Это не работает на данный момент. Вот мой конф после этого документа:

Дополнительные поля Pasword DB

прокси Dovecot

/ etc / dovecot / dovecot. conf: 

protocols sieve
!include conf.d/*.conf

/ etc / dovecot / conf.d / 90-sieve.conf 

plugin {
  sieve = file:~/sieve;active=~/.dovecot.sieve

/ etc / dovecot / conf.d / 10-auth.conf 

auth_mechanisms = plain login
!include auth-ldap.conf.ext

/ etc / dovecot / conf.d / auth-ldap.conf 

passdb {
  driver = ldap
  args = /etc/dovecot/dovecot-ldap.conf.ext
}
userdb {
  driver = ldap
  args = /etc/dovecot/dovecot-ldap.conf.ext
}

/ etc / dovecot / dovecot-ldap.conf.ext 

hosts = xxx.xxx.xxx.xxx
ldap_version = 3
base = ou=myOU, dc=domain, dc=example
pass_attrs = \
  =user=%{ldap:user}, \
  =password=, \
  =proxy=y, \
  =host=%{ldap:mailHost}

И вот ошибка в журнале, когда я пытаюсь изменить ситовый скрипт с помощью Horde Webmail:

dovecot: managesieve-login: Disconnected (без попыток авторизации в течение 0 секунд): user = <>,rip = xxx.xxx.xxx.xxx, lip = xxx.xxx.xxx.xxx, сессия =

Я наверняка где-то пропустил настройку. На данный момент я еще не нашел.

Любая помощь будет принята с благодарностью Спасибо

1 Ответ

0 голосов
/ 18 октября 2019

ОК, я обнаружил проблему

Чтобы прокси-пароль для бэкэндов IMAP: /etc/dovecot/dovecot-ldap.conf.ext:

hosts = xxx.xxx.xxx.xxx
ldap_version = 3
base = ou=myOU, dc=domain, dc=example
pass_attrs = \
  =user=%{ldap:user}, \
  =password=, \
  =proxy=y, \
  =nopassword=y, \
  =host=%{ldap:mailHost}
  =port=2000

В документе сказано:

Если вы не хотите, чтобы сам прокси-сервер выполнял аутентификацию, вы можете настроить его на успешное выполнение с любым заданным паролем. Вы можете сделать это, вернув пустое поле пароля и nopassword.

И порт 2000 необходим, потому что бэкэнд IMAP, все еще работающий, использует старую версию timsieve (реализация cyrus sieve)

Затем серверы ждут аутентификации PLAIN. По умолчанию это отключено в Dovecot, поэтому активируйте его с помощью: /etc/dovecot/conf.d/10-auth.conf:

disable_plaintext_auth = no
auth_mechanisms = plain login
!include auth-ldap.conf.ext

Это ухудшает безопасность, поэтому я ограничу доступ к порту 2000прокси в голубятню.

...