Oct 162004
LDAPを使った統合認証を目指すべく、まずはIMAPサーバの認証をLDAPに格納したパスワードで実施するようにしてみました。
関連するパッケージはcourier-authldap、courier-imap、slapd (OpenLDAP)になる。
- ユーザのuserPassword読み取り用LDAPアカウントを作成する
- slapdのACLで(/etc/ldap/slapd.conf)、用意したLDAPアカウントにuserPasswordのread権限を付与する
- LDAPアカウント構造にあわせて/etc/courier/authldaprcを設定
- LDAP_BINDDNとLDAP_BINDPWに、userPassword読み取り用LDAPアカウントを設定
- LDAP_CLEARPWにuserPasswordを指定(ファイルのコメントにあるとおり、クリアパスワードにすることでCRAM-MD5認証ができるようになる)
- 利用ユーザのuserPasswordをクリアテキストで再設定する
これでCourier-IMAP、OpenLDAP連携によるCRAM-MD5認証がおこなえるようになります。
LDAPデータベースにクリアパスワードを格納するのは賛否両論ありそうですが、わたしは
- SSLやるにはサーバの能力が厳しめなのでCRAM-MD5認証にしたかった
- でもLDAPへの認証統合化も目指したい
といった動機からクリアパスワード格納を選択しました。
なお、こちらのroughtrade.net / dovecotでは、Dovecot用のCRAM-MD5認証パッチを配布しているようです。
この場合もLDAPにクリアパスワードを格納すれば、LDAPバックエンドでCRAM-MD5認証が可能になるのかな 😕
Sorry, the comment form is closed at this time.