[Résolu][Postfix] LDAP et TLS, coment bien gérer les certificats ?

Support Debian
#1

Bonjour à tous,

Ceci concerne Postfix.
Lorsque Postfix essaye de savoir si un utilisateur existe, il doit faire un “bind” vers LDAP (la base de donnée qui contient les utilisateurs).
Pour cela, j’ai choisi d’utiliser TLS, même si cela se fait entre deux Machines Virtuelle (nommé VM par la suite) on est jamais trop prudent.

Sur ma VM qui dispose du serveur LDAP (VM-Ldap) j’ai générer un certificat auto signé.
Ce certificat ainsi que sa clef sont propagé sur ma deuxième VM qui dispose de Postfix (VM-mail).

Cependant, lorsque j’effectue la commande postmap pour vérifier si les adresses mail existent, je suis obligé de préciser de ne pas faire confiance aux certificat TLS que j’ai propagé avec l’attribut : “tls_require_cert= no”

Si je souhaite utiliser “tls_require_cert=yes” que dois-je faire ?
Générer un certificat pour ma VM-mail et l’intégrer à LDAP ?
Générer un nouveau certificat depuis la VM-ldap spécifiquement pour la vm-mail et lui transmettre ?

Je suis parti de ce tutoriel : pointroot.org/index.php/2014 … an-wheezy/
Ce qui m’étonne c’est qu’il n’utilise pas de certificat CA.

#2

Hello,

J’ai déjà fait ce genre de setup mais tout sur la même machine, il serait probablement plus simple d’interfacer 2 LDAP sur 2 machines séparées que d’utiliser un seul LDAP. C’est moins joli mais plus simple, tu répliques ton LDAP master vers celui de la machine postfix et tu récupère tes users.
Je comprends la démarche mais c’est pas évident à monter ton affaire…

Bon courage, en tout cas si tu y arrives, je serais intéressé de savoir comment tu as procédé !

De mon côté j’essaie d’interfacer un openldap (sur une machine postfix) avec samba4 en rôle AD mais je n’arrive pas à être sûr que les connexions soient en TLS, je suspecte samba4 de faire du SSL. C’est peut-être le cas d’openldap.

À+

#3

En fait, je me suis planté de configurations.
J’ai fait un certificat openLDAP pour la VM Mail. Ainsi elles pouvait accéder au LDAP en TLS.

Si tu le souhaites, tu peux forcer openldap de travailler en TLS, en remplacant la valeur tls de olcSecurity.
Good luck.