POSTFIX + SASL + TLS

2002-08-20 00:00:00 +0100


=====================================================
Tytul: POSTFIX + SASL + TLS
Autor: Pawel Krawczyk <kravietz%aba.krakow.pl>
Data: 2002-08-20
=====================================================

1. Instalacja z archiwow zrodlowych
-----------------------------------------------------
	cyrus-sasl-2.1.1.tar.gz
	postfix-1.1.11-20020613.tar.gz
[1]	pfixtls-0.8.11a-1.1.11-20020613-0.9.6d.tar.gz
-----------------------------------------------------
  [1] http://www.aet.tu-cottbus.de/personen/jaenicke/postfix_tls/

2. Dodatkowe pakiety ktore musza byc zainstalowane w systemie
  (wg Debiana):
-----------------------------------------------------
	libpam0g
	libpam0g-dev
	libdb3
	libdb3-dev
	libc6-dev
	libssl-devl
	libssl0.9.6
-----------------------------------------------------
  Uwaga: pakiety libssl powinny byc uaktualnione z security.debian.org!

3. Konfiguracja i instalacja SASL:
-----------------------------------------------------
	./configure --with-saslauthd --with-pam --disable-digest \
	--disable-cram --disable-gssapi --disable-krb4 \
	--disable-anon --enable-login
	make
	make install
	ln -s /usr/local/lib/sasl2 /usr/lib
	mkdir /var/state/saslauthd
	chmod 711 /var/state/saslauthd
-----------------------------------------------------

4. Konfiguracja i instalacja Postfixa
-----------------------------------------------------
	groupadd postfix
	groupadd postdrop
	useradd -d/dev/null -s/bin/false -g postfix postfix
	make makefiles CCARGS="-DHAS_SSL -DUSE_SASL_AUTH \
	-I/usr/local/include/sasl" \
	AUXLIBS="-L/usr/local/lib -lsasl2 -lssl -lcrypto"
	make
	make install
	echo "/usr/local/lib >>/etc/ld.so.conf
	ldconfig
-----------------------------------------------------
  Uwaga! Upewnic sie, ze postfixowe smtpd nie dziala w chroocie
  (/etc/postfix/master.cf)

5. Konfiguracja Postfixa z uwzglednieniem SASL
-----------------------------------------------------
	broken_sasl_auth_clients=yes
	smtpd_sasl_local_domain=$myhostname
	smtpd_sasl_auth_enable=yes
	smtpd_recipient_restrictions=permit_sasl_authenticated,reject
	smtpd_tls_received_header=yes
	smtpd_use_tls=yes
[1]	smtpd_tls_auth_only=yes
	tls_random_source=dev:/dev/urandom
	smtpd_tls_cert_file=/etc/postfix/serwer.pem
	smtpd_tls_key_file=$smtpd_tls_cert_file
-----------------------------------------------------
  [1] Wymusza korzystanie z SMTP AUTH tylko po tunelach TLS
  Uwaga! Tylko OE 5.5+ obsluguje poprawnie STARTTLS.

6. Konfiguracja metody uwierzytelnienia SASL
-----------------------------------------------------
	echo "pwcheck_method: saslauthd" >/usr/local/lib/sasl2/smtpd.conf
-----------------------------------------------------

7. Uruchomienie saslauthd i Postfixa
-----------------------------------------------------
	saslauthd -a pam
	postfix start
-----------------------------------------------------

8. Test poprawnosci SASL
-----------------------------------------------------
	echo -e "EHLO test\nAUTH PLAIN `printf 'test\0test\0test' \
	| openssl base64`\nQUIT\n" | nc -w3 -vv localhost 25
-----------------------------------------------------
  Uwaga! Musi istniec uzytkownic test z haslem test.


=====================================================
Tytul: DEBIAN POSTFIX + SASL + TLS
Autor: Pawel Krawczyk <kravietz%aba.krakow.pl>
Data: 2002-09-26
=====================================================

1. W systemie Debian nalezy zainstalowac nastepujace
  pakiety:

  apt-get install sasl2-bin libsasl2-modules postfix-tls

  Nalezy zaakceptowac sugerowane przez Debiana pakiety
  dodatkowe.

2. Dopisac do skryptow startowych (np. /etc/rc2.d/S99xlocal)
  i uruchomic:

  saslauthd -a pam

3. Stworzyc /etc/pam.d/smtp, mozna skopiowac z innego juz
  istniejacego (np. ftp), do testow mozna wpisac:

  auth   required    pam_permit.so
  account required    pam_permit.so
  password required    pam_permit.so
  session required    pam_permit.so

4. W pliku /etc/postfix/sasl stworzyc plik smtpd.conf
  i wpisac do niego:

  pwcheck_method: saslauthd

5. Konfiguracja Postfixa jak w punkcie 5. poprzedniej
  procedury. Test jak w punkcie 8.