Oct 162004
 

LDAPを使った統合認証を目指すべく、まずはIMAPサーバの認証をLDAPに格納したパスワードで実施するようにしてみました。
関連するパッケージはcourier-authldap、courier-imap、slapd (OpenLDAP)になる。

  1. ユーザのuserPassword読み取り用LDAPアカウントを作成する
  2. slapdのACLで(/etc/ldap/slapd.conf)、用意したLDAPアカウントにuserPasswordのread権限を付与する
  3. LDAPアカウント構造にあわせて/etc/courier/authldaprcを設定
    • LDAP_BINDDNとLDAP_BINDPWに、userPassword読み取り用LDAPアカウントを設定
    • LDAP_CLEARPWにuserPasswordを指定(ファイルのコメントにあるとおり、クリアパスワードにすることでCRAM-MD5認証ができるようになる)
  4. 利用ユーザのuserPasswordをクリアテキストで再設定する

これでCourier-IMAP、OpenLDAP連携によるCRAM-MD5認証がおこなえるようになります。
LDAPデータベースにクリアパスワードを格納するのは賛否両論ありそうですが、わたしは

  • SSLやるにはサーバの能力が厳しめなのでCRAM-MD5認証にしたかった
  • でもLDAPへの認証統合化も目指したい

といった動機からクリアパスワード格納を選択しました。

なお、こちらのroughtrade.net / dovecotでは、Dovecot用のCRAM-MD5認証パッチを配布しているようです。
この場合もLDAPにクリアパスワードを格納すれば、LDAPバックエンドでCRAM-MD5認証が可能になるのかな 😕

Sorry, the comment form is closed at this time.