Ano, vim to. Pouzivani TAP se mi zda zbytecne krkolomne, ale vsechno ma svoje. Vcetne podminek v teto spolecnosti. Mam konkretni pozadavek, ktery se snazim vyresit.
> OpenVPN sa dá štartovať ako service a klient nemusí riešiť nič tým pádom. Zapne notebook naštartuje sa OpenVPN service aj keď neexistuje spojenie na internet a keď sa pripojí tak sa spojí aj openvpn. Co se tyka VPN spojeni, duvod proc ho nerealizuji jsou prave mobilni uzivatele. Bezny Franta Uzivatel nebude modifikovat nastaveni protoze se toho boji a pokud se toho neboji, tak to zvore. Jsou mezi nimi vyjimky, to nepopiram. Ale jakakoliv slozitost ve chvili kdy potrebuji zajistit pouze overeni identity je nevyhodou. Mym cilem bylo a je maximalni jednoduchost, jedno misto pro monitorovani a spravu, uzivatele overovat pri odesilani posty pres SASL. Protoze POSTFIX podporuje SASL bud pres DOVECOT, Cyrus nebo SASL knihovnu, hledal jsem zpusob jak provest integraci s Exchange. Jednoduchy a ucinneho. Soucasna konfigurace: Internet -> ASSP 1.3->POSTFIX 2.4->ASSP -> EXCHANGE Na firewallu je nakonfigurovano ASSP, POSTFIX, CLAMAV a LDAP klient v jednom jailu, v dalsim je napriklad HAVP, DANSGUARDIAN, SQUID a CLAMAV. 1. Overeni indentity pomoci SASL vyzaduje zadat metodu a jednim ze zvolenych zpusobu se "overit". Viz. http://en.wikipedia.org/wiki/Simple_Authentication_and_Security_Layer Pro overeni je potreba znat mimo uzivatelskeho jmena i heslo. 2. Protoze uvnitr site bezi domena AD, v idealnim pripade je mozne pouzivat overeni identity a hesla primo na strukturu AD. Zavadeni teto struktury na firewall znamena zbytecne zvysovani rizika. Firewall ma slouzit pro oddeleni site a kontrolni mechanismy, nikoliv pro integraci. Proto tu nechci databazi uzivatelu, ale LDAP dotazy bych jeste akceptoval. Problemy, na ktery jsem narazil je nasledujici: 1) Windows 2003 ma ve strukture LDAP a tak nasledne i v definici email adres znaky, ktere nejsou podle RFC pripustne (http://tools.ietf.org/html/rfc2822). Takze prvni potrebna vec je upravit perl script (nebo vysledek prohnat grepem na =/\ ...). Postmap pak sice projde, ale POSTFIX bude hlasit chyby. Tento script jsem zkousel pri testovani kombinace Postfix+Cyrrus+SASL, byl stazeny z http://www.postfix.org. Protoze se ale jedna pouze o recipients mapu, chybi tu moznost identifikace uzivatele heslem (viz moznosti AUTH=NTLM LOGIN PLAIN GSSAPI DIGEST-MD5 CRAM-MD5). Neco mi tu chybi .... 2) Protoze hledam konfiguraci, kde postfix by se ptal primo exchange jako POP3 serveru a AD jako zdroje uzivatelu a hesel, zkousim si hrat i s nasledujici konfiguraci. Priznavam, ze s ni mam problemy a hledam pricinu (nejsem si jisty, jestli je to vubec realne): /usr/local/etc/openldap/ldap.conf obsahuje #BASE dc=firma, dc=local host = 192.168.1.10 base = o=spolecnost /usr/local/etc/postfix/master.cf obsahuje: relay_recipient_maps = ldap:/usr/local/etc/openldap/ldap.conf smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous smtpd_sasl_local_domain = $mydomain0 $mydomain1 #smtpd_sasl_local_domain = firma.cz firma.local broken_sasl_auth_clients = yes smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, check_relay_domains Na tomto firewallu opravdu neresim otazku pripojeni po VPN, praci pres SSL a certifikaty a podobne. Jedna se jednoduchy system, ktery nechrani soukromi komunikace a resi pouze identifikaci uzivatelu. Kazdopadne, protoze jednou uz tu databaze uzivatelu je a nemam chut ji nabizet i na firewallu, snazim se tu o integraci Exchange a Postfix. Pokud mi s tim nekdo dokaze poradit, budu rad. Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
