2008年4月24日

[debian-users:50429] Re: dovecot-authのみを起動したい

本筋とは異なりますが.

>> On Thu, 24 Apr 2008 11:04:07 +0900
>> kuro@xxxxx (KUROSAWA Takahiro) said as follows:

>/etc/dovecot/dovecot.conf:
>protocols = none
>log_timestamp = "%Y-%m-%d %H:%M:%S "

>mail_privileged_group = mail
>protocol imap {
>}
>protocol pop3 {
> pop3_uidl_format = %08Xu%08Xv
>}
>auth default {
> mechanisms = plain
> passdb pam {
> }
> userdb passwd {
> }
> user = root
> socket listen {
> client {
> path = /var/spool/postfix/private/auth
> mode = 0660
> user = postfix
> group = postfix
> }
> }
>}
>dict {
>}
>plugin {
>}

PLAIN 認証はリプレイ攻撃が可能ですので,殆んどの場合,認証としては弱すぎ
て使うべきではないと思います.TLS/SSL で通信路をきちんと暗号化するか,
CRAM-MD5 などの他の認証方式を検討すべきです.

それで,最近,この設定で半年以上苦労させられた経験から言いますと,

>> On Thu, 24 Apr 2008 12:54:14 +0900
>> fumiyas@xxxxx (SATOH Fumiyasu) said as follows:

>> etchでSMTP-AUTHの認証バックエンドとしてdovecotの使用を考えています。

>saslauthd などを利用しないのは何故でしょうか?

saslauthd は最悪です.通信路の暗号化 + PLAIN 認証,という使い方しか想定さ
れていないとしか思えません.特に,

大規模サイトでパスワードデータベースを LDAP 上に置こうとしている,かつ,
SMTP-AUTH/IMAP では CRAM-MD5,POP3 では APOP などの認証方式を使いたい.

という場合には,saslauthd は使えません.

その点,dovecot は非常に柔軟な設定が可能です.なぜか,SASL のバックエンド
としては,courier の方が使用例のウェブページが多いようですが,dovecot の
方が良い! と声を大にして言いたいところです.

--
土屋 雅稔 ( TSUCHIYA Masatoshi )

投稿者 xml-rpc : 2008年4月24日 15:29
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/72482
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。