Re: Schritt-für-Schritt-Anleitung Postfix mit LDAP gesucht war: Probleme bei Auslagerung von LDAP Konfiguration für Postfix

[Hans-Dietrich Kirmse <hd.kirmse@gmx.de>]

Hallo Holger,

zuersteinmal herzlichen Dank für deine Antwort.

Holger Librenz schrieb:

> > Das Problem, bin eher ein Anfänger in Linux- insbesondere in Debian-
> > Dingen und eine (deutschsprachige!) Anleitung für Anfänger habe ich
> > leider nicht aufgetrieben, wie man Postfix (und später auch Dovecot) an
> > einen vorhandenen LDAP anbindet. Postfix und Dovecot ohne LDAP wurde
> > (schon vor geraumer Zeit) zum Laufen gebracht.
> Dann ist die größte Strecke ja bereits hinter Dir. Trotz allem ist es
> eher unschön einen fremden Thread zu kapern ;) 

Ich wollte den Thread nicht kapern, sondern mich nur ranhängen.
sozusagen meine Anfängerfragen als "Randbemerkung". Den Betreff zu
ändern war sicher falsch. - Entschuldigung.

> Ich werde die Tage mal
> ein kleines Tutorial vorbereiten und auf meinem Blog veröffentlichen.
> Hoffe Du kannst bis dahin noch ein wenig warten.

ja, wollte dieses Problem eh erst in 2 bis 3 Wochen angehen. Habe das
nur jetzt angesprochen, weil sich der Thread aus meiner Sicht förmlich
anbot.

> Was das deutschsprachige angeht: Du solltest Dich dringend um
> Englischkenntnisse bemühen. Ohne kommst Du echt nur schleppend voran. So
> tickt die IT halt ;)

Sicher hast du recht. Aber ich bin an mehreren Stellen aktiv und mit
über 50 Jahren ist es etwas problematisch und sicher sehr zeitaufwendig,
noch eine Fremdsprache anzueigenen.

> Naja, es kommt auf Deine Konfiguration an. Wenn Du lokale Nutzer, also
> User mit Shellzugriff hast, brauchst Du nicht zwingend virtuelles
> Mapping. 

Es geht um einen Schulserver. Jeder Schüler hat einen Account (bei mir
ca. 400 Schüler). In den meisten Fällen aber keinen Shellaccount, weil
die Clients üblicherweise Windows-Clients sind.

> Ich habe allerdings User, die nur für Services wie Mail oder
> SVN freigegeben sind und nicht als User auf dem eigentlichen Server
> existieren. Ergo brauch ich virtuelles Mapping.

Solche User gibt es bei uns nicht. Wenn ich dich recht verstehe, brauche
ich da virtuelles Mapping nicht und es sollte damit eigentlich einfacher
zu konfigurieren sein - richtig?

> > > query_filter =
> > > (&(|(mail=%s)(mailAlternateAddress=%s))(|(AccountStatus=active)(accountStatus=shared)))
> > >
> > > result_attribute = mailMessageStore
> > Dazu die Frage, wo kommen die Attribute her bzw. wie bekomme ich die in
> > meinen LDAP? Postfix stellt ja prinzipiell kein Schema bereit. Aber
> > angenommen es gibt irgendwo ein Schema, dann weiss ich auch nicht, wie
> > ich das den smbldap-Tools unterjubeln könnte.
> Postfix benötigt auch kein Schema. Für die Mail-spezifischen
> Erweiterungen nutze ich das qmail.schema. Die Jungs von Goggel helfen
> Dir da beim Finden...

dann hast du aber doch wegen Postfix ein Schema eingesetzt, eben das
qmail-schema. Nur: derzeit werden bei mir die Accounts unter Nutzung der
smbldap-Tools angelegt. Ich habe keine Stelle gefunden, wie ich diesen
Tools begreiflich mache, ein anderes Schema zu verwenden. Es sieht
bei mir eigentlich dann immer so aus:

dn: uid=ffeuerstein,ou=people,ou=accounts,dc=delixs-schule,dc=de
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
objectClass: sambaSamAccount
uid: ffeuerstein
cn: Fred Feuerstein
sn: Feuerstein
givenName: Fred
uidNumber: 1234
gidNumber: 1001
homeDirectory: /home/teacher/ffeuerstein
loginShell: /bin/bash
gecos: Fred Feuerstein,TEACHER

 [...]

mir stehen also die Attribute zur Verfügung, die durch diese 7 Objekt-
klassen definiert werden. Oder ich müßte auf diese Tools verzichten und
die Accounts irgendwie anders anlegen. Wie legst du die User an?

> > nächste Frage: kann man auch ohne 'mailAlternateAddress','AccountStatus'
> > und 'mailMessageStore' auskommen? Ohne LDAP gibt es die doch auch nicht.
> >  (Was gibt 'mailMessageStore' eigentlich an?)
> Klar, wenn Du andere Attribute hast, die beschreiben, welche
> Mailadressen ein User hat, 

ja: die Mailadresse ist <login>@<schuldomain>. Wäre hier bei diesem
Beispiel "ffeuerstein@delixs-schule.de". Die Schuldomain ist eh schon
hinterlegt und das Login ist ja durch das Attribut 'uid' immer gegeben.

In der Objektklasse 'inetOrgPerson' wird (als MAY) das Attribut 'mail'
angegeben. Habe zwar nicht herausgefunden, wo das definiert wird ( :( ),
aber ich weiss, dass es ein multivalue-Attribut ist. Deshalb wäre das
aus meiner Sicht doch ein brauchbarer Container für Mailaliasse und
dadurch meine Hoffnung, dass ich mit dem vorhandenen Schemas auskommen
könnte. Wie gesagt, ich will nichts weiter, als (wenn möglich) ohne
großen Aufwand Postfix an den vorhandenen LDAP anbinden.

> welchen Status dessen Account hat (so benötigt) 

wird m.E. nicht benötigt.

> und wo seine Mails auf der Platte gespeichert werden. 

die werden im Homeverzeichnis gespeichert. das wird doch auch in der
Konfiguration von Postfix hinterlegt und muss m.E. deswegen nicht extra
in den LDAP - oder sehe ich das falsch?

> Die
> müsstest dann eben entsprechend Deines Schemas / Deiner Struktur anpassen.

Und genau hier ist ein weiteres Problem. so wie ich das bis jetzt sehe,
sollte die vorhandene Struktur für meine Anforderungen ausreichen,
sodass ich kein neues/weiteres Schema brauche. die Literatur bzw.
Anleitungen die ich bis jetzt gefunden habe oder kenne gehen aber immer
von einen eigenen Schema aus und konfigurieren dann Postfix
entsprechend. Und bis jetzt immer mit virtuellen Mapping usw. Damit
werden natürlich gleich alle Anforderungen erschlagen, aber für einen
Anfänger und (unbezahlten) Hobbyadmin ist das m.E. wenig hilfreich.

> > Achja, die Mailadresse soll sich einfach aus dem Login, also dem
> > Attribut 'uid' (mit angehängter Domain) ergeben und für die Mailaliasse
> > würde ich (wenn möglich) einfach das mail-Attribut nehmen. Das ist ja
> > ein multivalue-Attribut. Wäre das denkbar?
> Wie Du UIDs vergibst kannst Du ohne Probleme selber bestimmen. Wenn Du
> es eben so definierst musst Du nur entsprechend die Postfix
> Konfiguration anpassen.

genau um letzteres geht es mir ja. ;)

> Ich nutze mailAlternateAddress als Aliascontainer. Das habe ich mir aber
> mit meinem anderen Admin entsprechend so definiert ;)
>
> > System ist Debian Lenny.
> >
> > Ich würde mich über jede Antwort oder auch Teilantwort sehr freuen.
> Na dann hoffe ich etwas Freude in Deinen Dienstagmorgen gebracht zu haben.

ja, hast du. Ich warte einfach auf das oben angegebene Tutorial. Dann
sehe ich weiter.

Im Voraus meinen Dank.

Mit freundlichen Grüßen
Hans-Dietrich