Stavíme poštovní server – 12 (TLS) (diskuse)

Zajímalo by mě, jestli Postfix umí vystupovat jako implicitní TLS klient. Například Exim to neumí a next-hop relaye se musí honit přes stunnel. (Ano, odchozí servery Telecomu neumí explicitní TLS.)

25.1.2010 18:30 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Postfix jako implicitní TLS klient

Zajímalo by mě, jestli Postfix umí vystupovat jako implicitní TLS klient.

Pokud vím, tak neumí.

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

26.1.2010 07:16 Lampa
Rozbalit Rozbalit vše Re: Postfix jako implicitní TLS klient

Co to je implicitni klient ?

STARTLS ?

26.1.2010 17:31 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Postfix jako implicitní TLS klient

Právě naopak. Jak píšu v článku, STARTTLS je naopak explicitní. Implicitní je, pokud se od začátku komunikuje pomocí TLS (tj. začíná se hned sestavením TLS relace). Implitní TLS klient je takový klient, který se připojí k serveru hned pomocí TLS, obvykle na speciálním portu (u SMTP je to 465).

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

27.1.2010 07:32 Lampa
Rozbalit Rozbalit vše Re: Postfix jako implicitní TLS klient

smtpd_tls_wrappermode=yes neni to co potrebujete ?

27.1.2010 14:57 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Postfix jako implicitní TLS klient

To řeší serverovou stranu, nikoli klientskou.

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

28.1.2010 08:44 Lampa
Rozbalit Rozbalit vše Re: Postfix jako implicitní TLS klient

sorry omlouvam se, http://www.postfix.org/postconf.5.html#smtp_tls_security_level

1.2.2010 22:30 juras
Rozbalit Rozbalit vše Re: Postfix jako implicitní TLS klient

Co exim a "tls_on_connect_ports = 465"?

viz. http://www.exim.org/exim-html-4.69/doc/html/spec_html/ch39.html#SECID284

2.2.2010 11:48 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Postfix jako implicitní TLS klient

Exim teď používám, takže vím, co neumí:

Exim supports these clients by means of the tls_on_connect_ports global option.

Vzhledem k tomu, že legislativa donutila úřady pořídit šifrovací zařízení, chtěl bych, aby je naši úředníci mohli použít pro přístup do poštovních schránek přes IMAP.

Díval jsem se do dokumentace Dovecotu, a nikde jsem nenašel, jak spárovat klientský certifikát a přihlašovací jméno uživatele. Vzpomínám si na hádání loginu z položek DN nebo SAN certifikátu, ale to obecně nefunguje.

I z toho, co jste napsal, mi vyšlo, že sice dokážu ověřit, že klient disponuje certifikátem vydaným autorizovaným vydavatelem (v našem státě to znamená, že byl vydán existující a správné osobě), ale už nezjistím, kdo se mi to přihlašuje.

Tudíž potřebuji namapovat otisk certifikátu na konkrétního uživatele.

Protože mám fyzické (nevirtuální) uživatele a používám PAM, napadlo mě použít některý z pokusných modulů, které autentizaci řeší porovnáním certifikátu (respektive ověřením podpisu nesmyslu) s certifikátem uloženým v domovském adresáři uživatele.

Jenže jsem nezjistil, jak a jestli umí Dovecot poskytnout certifikát klienta z TLS relace PAMu. Navíc dotyčné moduly často operují lokálním šifrovacím zařízením, nikoliv s certifikátem ze sítě. (Je celkem možné, že PAM na tohle nemá standardizované rozhraní.)

Zkoušel někdo něco takového?

25.1.2010 12:19 Lampa
Rozbalit Rozbalit vše Re: Autorizace klienta Dovecotu certifikátem

# Which field from certificate to use for username. commonName and # x500UniqueIdentifier are the usual choices. You'll also need to set # ssl_username_from_cert=yes. #ssl_cert_username_field = commonName

http://wiki.dovecot.org/SSL/DovecotConfiguration (na konci stranky)

25.1.2010 15:22 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Autorizace klienta Dovecotu certifikátem

Jenže v kanonickém jméně takového certifikátu nebývá novakf, ale František Novák.

25.1.2010 22:25 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
Rozbalit Rozbalit vše Re: Autorizace klienta Dovecotu certifikátem

No od toho se snad nechá měnit ta hodnota "ssl_cert_username_field", ne? Tak to prostě nenasměrujete na kanonické jméno, ale na jiné pole v certifikátu.

Školy nemám a v praxi to nepoužívám, ale přijde mi to logické... :-)

25.1.2010 23:00 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Autorizace klienta Dovecotu certifikátem

Jenže stejně nepoužitelné mohou být i ostatní hodnoty. Proto rozumné systémy se orientují podle otisku certifikátu. Navíc, když si certifikáty nevydáváte sám, tak se může stát, že přijde někdo, kdo bude mít zrovna v položce, kterou jsem si vybral kolizní hodnotu.

26.1.2010 07:16 Lampa
Rozbalit Rozbalit vše Re: Autorizace klienta Dovecotu certifikátem

http://wiki.dovecot.org/SSL/DovecotConfiguration

With v1.1.alpha5 and later you can change the field with ssl_cert_username_field = name setting (parsed using OpenSSL's OBJ_txt2nid() function). x500UniqueIdentifier is a common choice.

ssl_cert_username_field = subjectKeyIdentifier

resp se podivejte do souboru obj_mac.h z knihovny libssl a vyberte si udaje LN_XXXX ktery se vam hodi

to jsou pouze teoreticke poznatky na zaklade dostupnych informaci, neovereno v praxi

25.1.2010 23:15 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Autorizace klienta Dovecotu certifikátem

To má ale dva problémy - jednak těch polí ve standardním zaručeném certifikátu moc není, hlavně ale je potřeba vytvořit vazbu mezí tím uživatelským jménem a tím polem (které s používaným uživatelským jménem není shodné). Nenapadá mě žádné čisté řešení.

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

26.1.2010 11:03 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Autorizace klienta Dovecotu certifikátem

Ještě mám jeden nápad:

Klient použije certifikát v TLS a do přihlašovacího dialogu vyplní uživatelské jméno.

PAM by vzal název účtu z přihlašovacího jména a nejprve jako heslo by použil certifikát. Vzor certifikátu by byl v domovském adresáři nebo v LDAPu. Teprve v druhém kole by jako heslo použil heslo z přihlašovacího dialogu.

Ale nevím, jak moc to znásilňuje PAM a otravuje uživatele.

Je to jen můj dojem, nebo článek omylem nebyl zařazen do seriálu Stavíme poštovní server?

What Big Oil knew about climate change

26.1.2010 17:34 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Stavíme poštovní server – 12 (TLS)

Stalo se to asi nedopatřením - už jsem napsal Robertovi.

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

26.1.2010 17:42 Robert Krátký | skóre: 94 | blog: Robertův bloček
Rozbalit Rozbalit vše Re: Stavíme poštovní server – 12 (TLS)

Opraveno.

27.1.2010 14:29 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Stavíme poštovní server – 12 (TLS)

U šestého dílu se nezobrazuje rozcestník první/poslední/předchozí/další

Quando omni flunkus moritati

27.1.2010 15:42 Robert Krátký | skóre: 94 | blog: Robertův bloček
Rozbalit Rozbalit vše Re: Stavíme poštovní server – 12 (TLS)

Mně ano. Jaký máš prohlížeč?

27.1.2010 23:33 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Stavíme poštovní server – 12 (TLS)

Opera 10.1. Akorát teda doma (stejný prohlížeč) se u šestého dílu zobrazuje. Tady se prozměnu nezobrazuje u pátého dílu poté, co jsem ze šestého přelezl na pátý kliknutím na ten rozcestník. (Totéž platí při přechodu ze čtvrtého na pátý)

Quando omni flunkus moritati