De acordo com a 4a edição do "bat book" (seção 3.4.56) quando o sendmail é compilado com suporte a LDAP mas sem SM_CONF_LDAP_INITIALIZE o esquema: // parte da URL do LDAP é omitido.
Estou tentando configurar o sendmail para usar uma pesquisa LDAP como uma tabela de alias.
Eu tenho esta linha na minha configuração:
Kldapfullname ldap -k"uid=%s" -v"mail" -h"my-ldap-server"
Eu tenho usado isso há muito tempo. Funciona, os aliases são pesquisados e o email é enviado na caixa de entrada correta.
No entanto, está funcionando porque o LDAP está permitindo atualmente ligações anônimas. Devido a algumas mudanças na política, isso não pode mais ser feito.
Eu tenho esse trabalho:
Kldapfullname ldap -k"uid=%s" -v"mail" -H"ldaps://my-ldap-server/" -Msimple -d"CN=LDAP_USER" -P /path/to/ldap.secret
Que cumpre o requisito de "não mais ligações anônimas".
No entanto, ainda há um pequeno problema de segurança: a ligação LDAP não está sendo feita em um canal seguro. O nome de usuário e a senha estão sendo enviados em texto não criptografado. Que, a longo prazo, é tão útil quanto deixá-lo vincular anonimamente.
Em vários exemplos que vi enquanto pesquisava, vi que o -H
sinalizador permite que você especifique um protocolo como ldap://
ou, no meu caso, ldaps://
.
Mas quando fui verificar, vi que os dados ainda estavam passando pela porta LDAP não segura (porta 389) em vez da porta LDAPS (porta 636). (Eu usei snoop
para ver o tráfego entre meu host e o servidor LDAP).
Então minhas perguntas são:
* Por que o ldaps://
está sendo ignorado e sendo usado como se fosse apenas ldap://
?
* O que eu tenho que mudar para que isso funcione?