Pesquisa segura de alias LDAP por meio do Sendmail

1

Estou tentando configurar o sendmail para usar uma pesquisa LDAP como uma tabela de alias.

Eu tenho esta linha na minha configuração:

Kldapfullname ldap -k"uid=%s" -v"mail" -h"my-ldap-server"

Eu tenho usado isso há muito tempo. Funciona, os aliases são pesquisados e o email é enviado na caixa de entrada correta.

No entanto, está funcionando porque o LDAP está permitindo atualmente ligações anônimas. Devido a algumas mudanças na política, isso não pode mais ser feito.

Eu tenho esse trabalho:

Kldapfullname ldap -k"uid=%s" -v"mail" -H"ldaps://my-ldap-server/" -Msimple -d"CN=LDAP_USER" -P /path/to/ldap.secret

Que cumpre o requisito de "não mais ligações anônimas".

No entanto, ainda há um pequeno problema de segurança: a ligação LDAP não está sendo feita em um canal seguro. O nome de usuário e a senha estão sendo enviados em texto não criptografado. Que, a longo prazo, é tão útil quanto deixá-lo vincular anonimamente.

Em vários exemplos que vi enquanto pesquisava, vi que o -H sinalizador permite que você especifique um protocolo como ldap:// ou, no meu caso, ldaps:// .

Mas quando fui verificar, vi que os dados ainda estavam passando pela porta LDAP não segura (porta 389) em vez da porta LDAPS (porta 636). (Eu usei snoop para ver o tráfego entre meu host e o servidor LDAP).

Então minhas perguntas são: * Por que o ldaps:// está sendo ignorado e sendo usado como se fosse apenas ldap:// ? * O que eu tenho que mudar para que isso funcione?

    
por Ricapar 06.02.2012 / 16:47

1 resposta

1

De acordo com a 4a edição do "bat book" (seção 3.4.56) quando o sendmail é compilado com suporte a LDAP mas sem SM_CONF_LDAP_INITIALIZE o esquema: // parte da URL do LDAP é omitido.

    
por 06.02.2012 / 23:14