Postfix + Pam + Dovecot + Ldap

[darkeye]

Folgendes Szenario: Ich habe einen Postfixserver mit Dovecot über die Unix-Systemuser am laufen (Als Authentifizierung ). Gleichzeitig habe ich eine Ldap Datenbank, die ich für die Authentifizierung der Benutzer über ein selbst geschriebenes Single-Login System nutze. Ich würde nun gerne die "Mail-Benutzer" mit der Ldap Datenbank anbinden. Der einfachste Weg scheint mir PAM an die Ldap Datenbank anzubinden (Gibt ja genug Howtos). Meine Frage lautet: Wenn ich PAM an Ldap anbinde, können dann die Benutzer über Postfix auf die Mail Accounts zugreifen? und könnte ich dann wie gewohnt meine /etc/aliases usw. nutzen? Ich will nicht die "externe" LDAP Anbindung von Postfix nutzen, weil ich sowieso verschiedene Services über PAM anbinden möchte, und dies die Struktur meines LDAP-Baumes unnötig komplexer machen würde.

[Roger Wilco]

Wenn ich PAM an Ldap anbinde, können dann die Benutzer über Postfix auf die Mail Accounts zugreifen?

Ja. Stell dir das doch einfach als Ersatz für die vorhandene /etc/passwd vor. Mehr ist das nicht.

und könnte ich dann wie gewohnt meine /etc/aliases usw. nutzen?

Ja. Denkbar wäre z. B. auch eine Kombination der /etc/aliases und des Datenbestandes im LDAP-Verzeichnis, je nach Anforderung.

Ich will nicht die "externe" LDAP Anbindung von Postfix nutzen

Was verstehst du unter externer LDAP-Anbindung?

[darkeye]

Naja intern, wäre das bessere Wort gewesen. Ich meinte die Möglichkeit Postfix direkt an LDAP anbinden zu können. Das würde aber Änderungen in meinen Administrationstools erfordern, was ich eigentlich nicht möchte.

Schön das es so funktioniert, wie ich mir das gedacht habe. Noch eine letzte Frage: Soll ich pam_ldap oder pam_unix nehmen, ich werde aus den Unterschieden nicht so richtig schlau?

[Roger Wilco]

Soll ich pam_ldap oder pam_unix nehmen, ich werde aus den Unterschieden nicht so richtig schlau?

Die Frage finde ich seltsam. ;)

Du möchtest du Benutzer gegen ein LDAP-Verzeichnis authentifizieren. Also musst du pam_ldap benutzen. pam_unix kann nur gegen /etc/shadow authentifizieren. Je nach Setup kannst du natürlich auch beide benutzen um so z. B. zuerst gegen LDAP-Benutzer via pam_ldap und danach, falls das fehlgeschlagen ist, gegen lokale Benutzer via pam_unix authentifizieren.