LINUX.ORG.RU
ФорумGeneral

[postfix] передача пароля в MD5

 


0

1

Имеется настроенный почтовый сервер postfix + dovecot, база пользователей хранится в mysql: логин - в открытом виде, пароль - в виде хэша MD5. Используется SSL. Вдобавок прикручен roundcube. Возникла задача настроить всё это дело так, чтобы пароль передавался не в открытом виде, а зашифрованным в MD5, причём база пользователей должна остаться в mysql (пользователи виртуальные и с учётками на сервере не совпадают). Вопрос простой: как это сделать?

Если есть ssl, то зачем городить избыточные городушки c md5?
Безопасности от этого не прибавится.

Вопрос простой: как это сделать?

Через sasl

Lumi ★★★★★
()
Ответ на: комментарий от Lumi

Если есть ssl, то зачем городить избыточные городушки c md5?

Задача возникла не по моей инициативе.

Через sasl

Что-то не нашёл нигде, как его заставить работать с mysql.

ARTIsshoque
() автор топика
Ответ на: комментарий от ARTIsshoque

Зачем с mysql?
С саслом работает mta. И у сасла есть сикль-бэкенд

yum search sasl | grep sql
cyrus-sasl-sql.i386 : Поддержка использования SQL для Cyrus SASL.
cyrus-sasl-sql.x86_64 : Поддержка использования SQL для Cyrus SASL.

Lumi ★★★★★
()
Ответ на: комментарий от Eddy_Em

> А почему md5? Его же, вроде бы, поломали уже давно...

Какому-то эффективному менеджеру варёный петух в задницу клюнул и он решил продемонстрировать свою значимость.

Lumi ★★★★★
()
Ответ на: комментарий от Lumi

Я установил libsasl2-modules-sql, меня настройка интересует. Где что записать, чтобы roundcube или почтовая программа отправляли пароль в md5, а dovecot сверял его с хэшем в базе?

ARTIsshoque
() автор топика
Ответ на: комментарий от Lumi

во всех нормальных дистрах постфикс собирается с обеими модулями сасла и цирусовским и довкотовским.

и использовать довкотовский если imap на довкоте будет гораздо разумнее.

guyvernk
()

или тебе надо чтобы в базе лежали хеши? тогда настраивай dovecot он умеет использовать все виды хешей для практически всех бакэндов

лично у меня стоит LDAP-MD5

guyvernk
()
Ответ на: комментарий от ARTIsshoque

> Где что записать, чтобы roundcube или почтовая программа отправляли пароль в md5

В настройках круглокамня и почтовой программы.

а dovecot сверял его с хэшем в базе?


http://wiki.dovecot.org/Sasl

Для того, чтобы нечто пользовало разные механизмы, нужно просто привязать это нечто к сасл. А уж откуда сасл будет тягать информацию — дело десятое.

Хотя, скорее всего придётся поломать и переделать текущий способ хранения и аутентификации пользователей.

Сначала настрой бэкенд у сасла, чтобы он из мускульной базы умел тянуть пароли, имеет смысл оставить пароли в плайнтексте и добавить ещё один атрибут с хэшированными паролями, чтобы параллельно работали оба механизма. Потом привязывать по очереди сервисы к саслу, а потом делайте что хотите.
Хаутушек в сети по саслу выше крыши.

Lumi ★★★★★
()
Ответ на: комментарий от guyvernk

Разумнее конечно, но топикстартер ничего не сказал ни про дистрибутив, ни про версии, ни про используемые протоколы.

Lumi ★★★★★
()
Ответ на: комментарий от Lumi

PS: туплю, он на пыхе же? Тогда можно, если не умеет, просто дописать самому забирание паролей из базы.

Lumi ★★★★★
()
Ответ на: комментарий от Lumi

Я бы вообще порекомендовал ему перейти на LDAP вместо mysql в кач-ве бакэнда для довкота.

А если ящиков мало и не нужно регулярно добавлять новые то наоборот сменить maa на цирус и использовать cyrus-sasl с бакэндом sasldb.

Просто в интернетах связка postfix+dovecot+mysql описана в сотне мануалов (да я и сам делал такой когда-то :3 ) и многие тупо копируют не пытаясь разобраться.

guyvernk
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
General