Univention Bugzilla – Bug 34198
Postfix ldap table mit SSL verbinden
Last modified: 2014-04-30 08:48:52 CEST
Guten Tag Wir fragen uns, wieso Univention die LDAP-Abfragen von z.B. Postfix mittels den virtual table nicht über verschlüsselte Verbindungen macht? Ebenfalls wird die Konfiguration von /etc/ldap/ldap.conf noch über unverschlüsselte Verbindungen abgewickelt. Wenn es sich um eine single Univention-Server Instalation handelt, ist das nicht zwingend notwendig. Wenn man aber Multi-Server Umgebungen hat und man mehrere LDAP-Server verwendet mittels ucr Variable "ldap/server/addition" dann können LDAP-Verbindungen zu anderen Server aufgebaut werden. Ob man die LDAP-Replikation umstellen kann auf verschlüsselte Kommunikation bin ich mir nicht sicher? Wie ist die Meinung von Univention zu diesem Thema, gibt es hier keine Sicherheitsbedenken? Wenn LDAP-Binds unverschlüsselt durchgeführt werden? Vielen Dank für ein Feedback Grüsse, RolandB
Hallo, (In reply to rolandb from comment #0) > Wir fragen uns, wieso Univention die LDAP-Abfragen von z.B. Postfix mittels > den virtual table nicht über verschlüsselte Verbindungen macht? Ja, das sollte so sein. univention-mail-postfix wurde entsprechend angepasst. Wenn die (neue) UCR Variable mail/postfix/ldaptable/starttls auf "True" gesetzt ist, wird für die LDAP-Abfragen des Postfix nun eine verschlüsselte Verbindung (TLS) verwendet. Der Default für die neue Variable ist "True". YAML: 2014-03-12-univention-mail-postfix.yaml > Ebenfalls wird die Konfiguration von /etc/ldap/ldap.conf noch über > unverschlüsselte Verbindungen abgewickelt. Dies ist ja nur die Vorgabe für die Konfiguration der Clients. Die LDAP-Clients können aber per Option bzw. Parameter angewiesen werden TLS bzw. SSL zu verwenden. Die UCS Tools (udm, univention-ldapsearch etc.) verwenden auch alle standardmäßig TLS. > ... Ob man die > LDAP-Replikation umstellen kann auf verschlüsselte Kommunikation bin ich mir > nicht sicher? Die Replikation wird bereits über eine verschlüsselte Verbindung abgewickelt. -> univention-directory-listener -h ... -Z LDAP start TLS request (-ZZ to require successful response) ... -> ps aux| grep univention-directory-listener ... univention-directory-listener ... -o -d 2 -x -ZZ -D ... > Wie ist die Meinung von Univention zu diesem Thema, gibt es hier keine > Sicherheitsbedenken? Wenn LDAP-Binds unverschlüsselt durchgeführt werden? Ja, unverschlüsselt LDAP-Binds sollte es nicht geben (oder höchsten gegen den lokalen LDAP-Server). Sobald diesbezüglich etwas auffällt, sollten wir das anpassen. Vielen Dank nochmals für Ihre Anregung.
Anpassung soweit ok. Es wird eine verschlüsselte Verbindung zwischen Postfix und LDAP-Server verwendet. Es sollte zusätzlich das Zertifikat des LDAP-Servers überprüft werden, was über "tls_require_cert = yes" aktiviert werden kann. Ggf. sind weitere Parameter erforderlich.
Es gibt jetzt folgende Variablen: - mail/postfix/ldaptable/starttls (yes) - mail/postfix/ldaptable/tlsrequirecert (yes) - mail/postfix/ldaptable/tlscacertfile (/etc/univention/ssl/ucsCA/CAcert.pem) - mail/postfix/ldaptable/debuglevel (0) Die LDAP Maps sollten dann folgendes gesetzt haben: -> more /etc/postfix/ldap.virtual ... start_tls = yes tls_require_cert = yes tls_ca_cert_file = /etc/univention/ssl/ucsCA/CAcert.pem debuglevel = 0 YAML: 2014-03-12-univention-mail-postfix.yaml
OK: YAML-Datei OK: Implementierung OK: Funktionalität Getestet wurde mit abweichenden Zertifikaten für den LDAP-Server und manuell eingetragener CA; falsche Zertifikate wurden im Test erkannt und abgelehnt, falls CA-Cert-File und LDAP-Server-Zertifikat nicht übereinstimmten und tlsrequirecert auf yes gesetzt war.
http://errata.univention.de/ucs/3.2/99.html