https://slinkov.ru/openforum/vsluhforumID1/89259.html Собираюсь перевешиваю почтовик, собрал тестовую площадку и вот затык<br>дано<br>AD (Windows server 2008)<br>Dovecot<br><br>Собственно если АД не использует SASL то все работает .т.е.<br>&gt;dovecot-ldap.conf<br><br>hosts = 192.168.0.2:389<br>dn = CN=dovecot,CN=Users,DC=domain,DC=local<br>dnpass=password<br>debug_level = 1<br>auth_bind = yes<br>ldap_version = 3<br>base = DC=domain,DC=local<br>user_attrs = mail=user, uid=Debina-exim, gid-Debian-exim<br>user_filter = (&(objectClass=person)(mail=%n@kobaltd.local))<br>pass_attrs = mail=user<br>pass_filter = (&(objectClass=person)(sAMAccountName=%u))<br><br>все замечательно работает<br>но<br>включаем в 2008 в AD sasl опции GPO (LDAP server signing requirements = require signing, LDAP client signing requirements = require signing)<br><br>и меняем конфиг на <br><br>&gt;dovecot-ldap.conf<br><br>hosts = 192.168.0.2:389<br>dn = CN=dovecot,CN=Users,DC=domain,DC=local<br>dnpass=password<br>sasl_bind = yes<br>sasl_mech = DIGEST-MD5<br>sasl_realm =<br>sasl_authz_id =<br>debug_level = 1<br>auth_bind = no<br>ldap_version = 3<br>base = DC=domain,DC=local<br>use https://slinkov.ru/openforum/vsluhforumID1/89259.html#5 Wed, 30 Jun 2010 10:10:10 GMT Вот ещё важно <br>http://www.ccs.neu.edu/home/battista/articles/winbind/nsswitch.html<br> https://slinkov.ru/openforum/vsluhforumID1/89259.html#4 Wed, 30 Jun 2010 10:09:28 GMT &gt;можно ссылочку - по настройке вами предложенного варианта - почитаем - посмотрим. <br>&gt;<br><br>У меня через winbind<br>Примерно<br>http://www.ccs.neu.edu/home/battista/articles/winbind/winbind.html<br>http://www.ccs.neu.edu/home/battista/articles/winbind/domain.html<br>http://www.ccs.neu.edu/home/battista/articles/winbind/pam.html<br>У меня <br>cat /etc/pam.d/imap:<br>auth sufficient pam_winbind.so<br>auth required pam_unix.so nullok_secure use_first_pass<br>account sufficient pam_winbind.so<br>account required pam_unix.so<br>session required pam_unix.so<br>session required pam_winbind.so<br>session required pam_mkhomedir.so umask=0066 skel=/etc/skel<br><br>cat /etc/pam.d/pop3:<br>auth sufficient pam_winbind.so<br>auth required pam_unix.so nullok_secure use_first_pass<br>account sufficient pam_winbind.so<br>account required pam_unix.so<br>session required pam_unix.so<br>session required pam_winbind.so<br>session required pam_mkhomedir.so umask=0066 skel=/etc/skel<br><br>cat /etc/dovecot.conf:<br>.............<br>auth default {<br> mechanisms = plain login<br> <br> pass https://slinkov.ru/openforum/vsluhforumID1/89259.html#3 Wed, 30 Jun 2010 09:48:46 GMT &gt;Вобщем, не обещают, что будет работать со всеми клиентами, предлагают работать через <br>&gt;SSL. Я в свою очередь предлагаю Вам настраивать аутентификацию в dovecot <br>&gt;например через pam_krb5 или pam_winbind. Pam_winbind проще настроить, pam_krb5 тоже неплохо, <br>&gt;секьюрно, но требует замороки с созданием и экспортом на linux сервер <br>&gt;дополнительных принципалов типа imap\hostname@DOMAIN, pop\hostname@DOMAIN (надо уточнять их наименования) <br><br>Жалко :( хотя странно binding то проходит - т.е. dovecot подключаеться в АД и видит всю инфу, - собственно само подключение по SASL работает - вопрос - почему не проходит авторизация пользователей :(, по логам у меня создаеться впечатление что проверка пользователей происходит не через bind а попыткой достать из АД пароль - правда может быть я и заблуждаюсь <br><br>.....<br>Jun 29 15:34:55 mail dovecot: auth(default): ldap(test,192.168.0.60): no fields returned by the server<br>Jun 29 15:34:55 mail dovecot: auth(default): ldap(test,192.168.0.60): No password returned (and no nopassw https://slinkov.ru/openforum/vsluhforumID1/89259.html#2 Wed, 30 Jun 2010 09:39:33 GMT Вобщем, не обещают, что будет работать со всеми клиентами, предлагают работать через SSL. Я в свою очередь предлагаю Вам настраивать аутентификацию в dovecot например через pam_krb5 или pam_winbind. Pam_winbind проще настроить, pam_krb5 тоже неплохо, секьюрно, но требует замороки с созданием и экспортом на linux сервер дополнительных принципалов типа imap\hostname@DOMAIN, pop\hostname@DOMAIN (надо уточнять их наименования)<br> https://slinkov.ru/openforum/vsluhforumID1/89259.html#1 Wed, 30 Jun 2010 09:34:12 GMT http://www.ultimatewindowssecurity.com/wiki/WindowsSecuritySettings/Domain-Controller-LDAP-server-signing-requirements<br><br>Requiring LDAP data-signing can break many LDAP clients although Windows servers and workstations should support it without problem. If you use any non-Windows LDAP clients such as AD integrated Mac systems or Linux systems or other applications that communicate with AD via LDAP be very careful about requiring data signing. Research and test. Some clients support it. For LDAP clients that don&#8217;t support signing you may consider LDAP over SSL. See ??? for more details.<br>