5.- Soporte de Simple Authentication and Security Layer (SASL). SASL (Simple Authentication and Security Layer) es una capa software que permite añadir soporte de autentificación en protocolos orientados a conexión, como puede ser SMTP. Es habitual encontrar administradores de servidores de correo que tienen grandes problemas con usuarios itinerantes, o que por cualquier causa usan direcciones IP diferentes en cada conexión. Una solución clásica es añadir, de una manera más o menos sofisticada (popbefore- smtp por ejemplo) la dirección IP asignada en ese instante a la relación de direcciones IP a las que se permite usar el servidor como relay. Es razonable pensar que la solución al problema de itinerancia pasa por ofrecer un interfaz web para el acceso al correo. Solución que puede ser válida para determinadas circunstancias y para usuarios que manejan bajo volumen de mensajes, pero generalmente rechazada por los usuarios, acostumbrados a mayores y mejores prestaciones proporcionadas por otras herramientas no basadas en interfaz web. SMTP AUTH es una solución distinta a las anteriores, donde el cliente se identifica mediante un Usuario y Password ante el servidor SMTP, y si ésta se realiza correctamente se autoriza el uso del servidor como relay. La autorización se hace a la persona y no al sistema informático que en ese momento le proporciona soporte. Incluso se pueden llegar a establecer grupos de servidores de correo que utilicen SMTP AUTH para las conexiones entre ellos, como podrá verse posteriormente. Postfix dispone de soporte de SMTP AUTH mediante el uso de las librerías SASL. En la actualidad, las versiones estables de Postfix soportan la versión 1.5.27 de SASL. Para emplear versiones posteriores es necesario aplicar parches no oficiales a los fuentes de Postfix. 5.1.- Compilación. Aunque en este apartado se proporcionarán los pasos básicos para poder compilar Postfix con soporte SASL, es muy recomendable leer detenidamente el fichero SASL_README que encontrará en el directorio README_FILES de la distribución de Postfix. En el caso que deba instalar SASL en su sistema, se recomienda ejecutar la directiva configure de SASL previo a la compilación con las siguientes opciones: $ ./configure --enable-login --enable-plain --enable-cram --enable-digest \ --disable-krb4 --disable-gssapi --disable-anon --with-dblib=berkeley Muchas de las opciones toman por omisión el valor indicado, pero de esta manera no queda lugar a dudas. Postfix [Tutorial] - 06/10/02 Pag. 24 Analizando la directiva puede verse que se está configurando SASL para que soporte los mecanismos de autentificación LOGIN, PLAIN, CRAM y DIGEST. Observe que en el caso de utilizar PLAIN o LOGIN, el password viajará en claro por la red, por lo que es más que aconsejable combinar el uso de SASL con TLS, pues una vez establecida la conexión cifrada entre cliente y servidor, da igual que el password viaje en claro o no. No existe una forma única de realizar la compilación de Postfix debido, sobre todo, a la posible ubicación de las librerías empleadas, ficheros include, etc. Como paso previo, y para borrar cualquier posible configuración anterior, ejecute la siguiente directiva en el directorio donde estén situados los fuentes de Postfix: $ make tidy El siguiente paso es generar los ficheros Makefile. Como ejemplo se presentan las directivas utilizadas para generar los mencionados ficheros en un entorno GNU/Linux y en Solaris 2.7. En ambos casos se incluye también soporte para TLS. En GNU/Linux la directiva empleada sería: $ make makefiles CCARGS="-DHAS_SSL -DUSE_SASL_AUTH \ -I/usr/local/ssl/include" AUXLIBS="-L/usr/local/ssl/lib -lssl -lcrypto -lsasl" En Solaris 2.7 se usaría la siguiente directiva: $ make makefiles CCARGS="-DHAS_SSL -DUSE_SASL_AUTH \ -I/usr/local/ssl/include -I/usr/local/include/sasl -I/usr/local/BerkeleyDB/include" \ AUXLIBS="-L/usr/local/lib -L/usr/local/ssl/lib -L/usr/local/lib/sasl \ -L/usr/local/BerkeleyDB/lib -lssl -lcrypto -lsasl -ldb" Como puede apreciarse, en gran parte se depende de la instalación concreta de cada sistema. Si se complican las cosas, puede ser aconsejable recurrir a algunas de las distribuciones ya compiladas para instalar que podrá encontrar en Internet, y que normalmente integran soporte TLS y SASL. No es cometido de este documento analizar los posibles mecanismos de almacenamiento de claves que proporciona SASL, por lo que supondremos se utiliza el método propio de SASL: el fichero /etc/sasldb. Independientemente del método empleado, en el directorio /usr/lib/sasl o en /usr/local/lib/sasl, dependiendo de la instalación, deberá crearse el fichero smtpd.conf -rw-r--r-- 1 root root 23 Jul 3 14:15 smtpd.conf Postfix [Tutorial] - 06/10/02 Pag. 25 con el siguiente contenido: pwcheck_method: sasldb De esta manera estaremos indicando a SASL que para el proceso smtpd el método de verificación de passwords se utilizará sasldb. Existen otras opciones, pero se recomienda acceder a la documentación de SASL.
___________________________________ Juan Carlos Hernandez Gallardo Administrador de Redes Ministerio de Finanzas y Precios Nodo - Ciego de Avila E-mail: jchernan...@ca.mfp.gov.cu Telf: 224712 ______________________________________________________________________ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
