Univention Bugzilla – Full Text Bug Listing |
Summary: | Postfix ldap table mit SSL verbinden | ||
---|---|---|---|
Product: | UCS | Reporter: | rolandb <roland.buser> |
Component: | Assignee: | Felix Botner <botner> | |
Status: | CLOSED FIXED | QA Contact: | Sönke Schwardt-Krummrich <schwardt> |
Severity: | normal | ||
Priority: | P5 | CC: | gohmann, jmm, roland.buser |
Version: | UCS 3.2 | ||
Target Milestone: | UCS 3.2-1-errata | ||
Hardware: | Other | ||
OS: | Linux | ||
What kind of report is it?: | --- | What type of bug is this?: | --- |
Who will be affected by this bug?: | --- | How will those affected feel about the bug?: | --- |
User Pain: | Enterprise Customer affected?: | ||
School Customer affected?: | ISV affected?: | ||
Waiting Support: | Flags outvoted (downgraded) after PO Review: | ||
Ticket number: | Bug group (optional): | ||
Max CVSS v3 score: |
Description
rolandb
2014-02-25 17:34:16 CET
Hallo, (In reply to rolandb from comment #0) > Wir fragen uns, wieso Univention die LDAP-Abfragen von z.B. Postfix mittels > den virtual table nicht über verschlüsselte Verbindungen macht? Ja, das sollte so sein. univention-mail-postfix wurde entsprechend angepasst. Wenn die (neue) UCR Variable mail/postfix/ldaptable/starttls auf "True" gesetzt ist, wird für die LDAP-Abfragen des Postfix nun eine verschlüsselte Verbindung (TLS) verwendet. Der Default für die neue Variable ist "True". YAML: 2014-03-12-univention-mail-postfix.yaml > Ebenfalls wird die Konfiguration von /etc/ldap/ldap.conf noch über > unverschlüsselte Verbindungen abgewickelt. Dies ist ja nur die Vorgabe für die Konfiguration der Clients. Die LDAP-Clients können aber per Option bzw. Parameter angewiesen werden TLS bzw. SSL zu verwenden. Die UCS Tools (udm, univention-ldapsearch etc.) verwenden auch alle standardmäßig TLS. > ... Ob man die > LDAP-Replikation umstellen kann auf verschlüsselte Kommunikation bin ich mir > nicht sicher? Die Replikation wird bereits über eine verschlüsselte Verbindung abgewickelt. -> univention-directory-listener -h ... -Z LDAP start TLS request (-ZZ to require successful response) ... -> ps aux| grep univention-directory-listener ... univention-directory-listener ... -o -d 2 -x -ZZ -D ... > Wie ist die Meinung von Univention zu diesem Thema, gibt es hier keine > Sicherheitsbedenken? Wenn LDAP-Binds unverschlüsselt durchgeführt werden? Ja, unverschlüsselt LDAP-Binds sollte es nicht geben (oder höchsten gegen den lokalen LDAP-Server). Sobald diesbezüglich etwas auffällt, sollten wir das anpassen. Vielen Dank nochmals für Ihre Anregung. Anpassung soweit ok. Es wird eine verschlüsselte Verbindung zwischen Postfix und LDAP-Server verwendet. Es sollte zusätzlich das Zertifikat des LDAP-Servers überprüft werden, was über "tls_require_cert = yes" aktiviert werden kann. Ggf. sind weitere Parameter erforderlich. Es gibt jetzt folgende Variablen: - mail/postfix/ldaptable/starttls (yes) - mail/postfix/ldaptable/tlsrequirecert (yes) - mail/postfix/ldaptable/tlscacertfile (/etc/univention/ssl/ucsCA/CAcert.pem) - mail/postfix/ldaptable/debuglevel (0) Die LDAP Maps sollten dann folgendes gesetzt haben: -> more /etc/postfix/ldap.virtual ... start_tls = yes tls_require_cert = yes tls_ca_cert_file = /etc/univention/ssl/ucsCA/CAcert.pem debuglevel = 0 YAML: 2014-03-12-univention-mail-postfix.yaml OK: YAML-Datei OK: Implementierung OK: Funktionalität Getestet wurde mit abweichenden Zertifikaten für den LDAP-Server und manuell eingetragener CA; falsche Zertifikate wurden im Test erkannt und abgelehnt, falls CA-Cert-File und LDAP-Server-Zertifikat nicht übereinstimmten und tlsrequirecert auf yes gesetzt war. |