Re: [postfix-users] sasl authentication..pls help (fix)

[Muhammad Reza]

Asfihani wrote:

On Sun, Nov 16, 2003 at 11:36:53AM +0700, Muhammad Reza wrote:

 

btw untuk bikin dokumentasi terjemahan postfix.org, mas asfik biasanya 
pake software apa untuk editornya ?
   

vi rules! :-), karena memang formatnya ASCII text biasa, kalau yang
dimaksud bikin Howto akan lebih OK jika menggunakan SGML/XML. Tapi
semuanya tergantung selera.
Silakan, kalau belum bergabung ke [EMAIL PROTECTED]

Asfihani

 

then i use ee instead :)
berikut hasil terjemahan dari http://yocum.org/faqs/postfix-tls-sasl.html.
mohon dikoreksi dan semoga dapat bermanfaat..
regards
.:CoeLoen:.
Title: Postfix with TLS and SASL
Postfix + TLS + SASL di FreeBSD

oleh Tim Yocum, Version 1.1, 23 September 2003



Perkenalan
Agar supaya  postfix bisa menggunakan  TLS dan SASL adalah bagus, tapi sepertinya  tutorial yang sekarang ada, semuanya berisi metode yang  berbeda untuk mencapai tujuan yang sama.


Untuk itu, berikut adalah hal yang saya lakukan agar supaya ini dapat berjalan pada FreeBSD.  Setiap item diikuti oleh play-by-play command entry history; bila anda  mengerti dengan apa yang anda lakukan, silahkan lewati dan lanjutkan ke langkah berikutnya, seperti yang saya lakukan; kita semua tahu bahwasanya lebih dari satu cara to menyelesaikan suatu cara.


Langkah demi Langkah

1. Instal sasl2 and saslauthd, disarankan melalui ports. Pastikan  ports tree anda tersedia sebelum melakukanya:
   cd /usr/ports/security/cyrus-sasl2
   make all install clean
   cd ../cyrus-sasl2-saslauthd
   make all install clean

2. Konfigurasi sasl2:
   cd /usr/local/lib/sasl2
   echo "pwcheck_method: saslauthd" > smtpd.conf

3. Disable metode autentikasi sasl yang tidak berguna -- bila anda melewatkan  langkah ini , anda akan bermasalah dengan klien  Microsoft Outlook/Outlook Express yang mencoba untuk melakukan auth  NTLM pada server anda . Anda juga dapat memindahkan metode autentikasi yang tidak diperlukan lainya ke  direktori "deactivated"  bila anda mengetahuinya dan tidak merencanakan untuk menggunakanya.
   cd /usr/local/lib/sasl2
   mkdir deactivated
   mv *ntlm* deactivated

4. Download source Postfix dan  Postfix TLS patch dan kemudian ekstrak :
 
   cd /tmp
   mkdir postfix-work
   cd postfix-work
   wget http://postfix.energybeam.com/source/official/postfix-2.0.15.tar.gz
   wget ftp://ftp.aet.tu-cottbus.de/pub/postfix_tls/pfixtls-0.8.16-2.0.15-0.9.7b.tar.gz
   gunzip *
   tar xf postfix-2.0.15.tar && tar xf pfixtls-0.8.16-2.0.15-0.9.7b.tar

5. Apply  the TLS patch to the Postfix source per README file contained in pfixtls* package:
   patch -p0 < pfixtls-0.8.16-2.0.15-0.9.7b/pfixtls.diff

6. Build Postfix dengan SSL dan SASL support. Syntax anda mungkin berbeda bila libs anda bukan di tempat yang tepat atau anda menggunakan versi yang berbeda dengan saya:
   cd postfix-2.0.15
   make makefiles CCARGS="-DUSE_SASL_AUTH -I/usr/local/include/sasl \
   -DHAS_SSL -I/usr/local/include/openssl" AUXLIBS="-L/usr/local/lib \
   -R/usr/local/lib -lsasl2 -lssl -lcrypto"

Apabila anda upgrade dari sebuah versi known-good Postfix yang telah ada:
   make upgrade

Apabila ini adalah install baru:
   make install

7. Pastikan libraries yang tepat telah di-link-an  pada:
   ldd /usr/libexec/postfix/smtpd

Anda seharusnya melihat seperti berikut:
smtpd:
        libsasl2.so.2 => /usr/local/lib/libsasl2.so.2 (0x28096000)
        libssl.so.3 => /usr/local/lib/libssl.so.3 (0x280aa000)
        libcrypto.so.3 => /usr/local/lib/libcrypto.so.3 (0x280db000)
        libc.so.5 => /usr/lib/libc.so.5 (0x281df000)

Bila anda melihat libsasl2, libssl, and libcrypto, selamat -  server sudah siapa untuk mendukung SASL dan TLS.


8. Membuat sebuah SSL certificate:
   mkdir /etc/postfix/ssl
   cd /etc/postfix/ssl
   openssl req -new -x509 -nodes -out smtpd.pem -keyout smtpd.pem -days 3650

9. Masukan konfigurasi opsi pada Postfix:
   /etc/postfix/main.cf:

   # sasl config
   broken_sasl_auth_clients = yes
   smtpd_sasl_auth_enable = yes
   smtpd_sasl_local_domain = 

   smtpd_sender_restrictions = permit_sasl_authenticated, permit_mynetworks
   smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks

Settingan  anda untuk kedua "batasan" mungkin berbeda, tapi penting untuk diperhatikan bahwsanya  sasl inclusion harus merupakan masukan baris pertama pada daftar.
   # tls config
   smtp_use_tls = yes
   smtpd_use_tls = yes 
   smtp_tls_note_starttls_offer = yes 
   smtpd_tls_key_file = /etc/postfix/ssl/smtpd.pem
   smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.pem
   smtpd_tls_CAfile = /etc/postfix/ssl/smtpd.pem
   smtpd_tls_loglevel = 1
   smtpd_tls_received_header = yes
   smtpd_tls_session_cache_timeout = 3600s
   tls_random_source = dev:/dev/urandom

10. Berdoa.


11. Jalankan SASL auth daemon:
   /usr/local/etc/rc.d/saslauthd.sh start


12. Jalankan mail server anda:
    postfix start

13. Test untuk memastikan server anda benar dapat untuk menerima koneksi TLS dan SASL autentikasi SASL:
    telnet localhost 25
    EHLO example.com

Anda seharusnya dapat melihat beberapa baris teks, termasuk tiga baris ini  :
   250-STARTTLS
   250-AUTH LOGIN PLAIN OTP DIGEST-MD5 CRAM-MD5
   250-AUTH=LOGIN PLAIN OTP DIGEST-MD5 CRAM-MD5


Bila anda mempunyai ke tiga baris tersebut, server anda siap untuk melakukan autentikasi melalui SASL adan TLS, dan dapat juga melakukan  negoisasi koneksi TLS dengan  TLS-aware mail server lainya.

14. Nyalakan  mail client, konfigurasi-kan agar dapat menggunakan autentikasi pada outbound SMTP dan coba untuk menyampaikan pesan. Anda seharusnya dapat melihat sebuah entri log seperti berikut setiap  saat user  autentikasi untuk megirimkan pesan. Bila entri tersebut terliha, that's good -  Itu sepertinya mereka ter-autentikasi secara benar pesan mereka akan direlay. Pastikan bahwa Postfix benar-benar me-relay  pesan tersebut, karena, apabila anda tidak mengkonfigurasikan main.cf dengan benar, pesan tersebut tetap akan bounced.


Sep 12 11:40:29 hostname postfix/smtpd[79381]: C5FA32855D: client=unknown[x.x.x.x], sasl_method=LOGIN, sasl_username=joeuser


15. Test TLS/SSL. Bagian ini mudah. Kembali ke mail client anda dan temukan  checkbox dimana anda menentukan bahwa outgoing mail seharusnya di autentikasi  *dan* menggunakan SSL. Aktifkan, dan coba untuk mengirim pesan. Anda seharusnya dapat melihat  TLS negotiation banners serupa dengan mail log:

Sep 12 12:56:04 hostname postfix/smtpd[79849]: setting up TLS connection from machine.example.com[x.x.x.x]
Sep 12 12:56:04 hostname postfix/smtpd[79849]: TLS connection established from machine.example.com[x.x.x.x]: TLSv1 with cipher RC4-MD5 (128/128 bits)



Sekarang bagian yang mengasyikan adalah untuk memperhatikan mail servers lainya yang dapat berbicara TLS. Sekaranang server anda adalah TLS-aware, dan akan melakukan negoisasi TLS session dengan mail server lainya yang mendukung nya. Secara mengejutkan, saya memperhatikan sedikitnya sepuluh  server mendukungnya setelah mereka merelay email untuk user pada host saya.

Bila anda kecewa  dengan kenytaan bahwa sertifikat yang anda buat adalah  self-signed certificate , anda dapat mendapatkan signed cert anda di  SSL Source  dan lainya. para klient akan di perlihatkan sebuah pesan yang menginidikasikna bahwa sertifikat yang diterima oleh-nya adalah tidak valid; para user dapat mengabaikan pesan tersebut dan seharusnya tidak akan melihat pesan tersebut lagi. Apabila anda telah me-signed sertfikat, para user tidak akan melihat pesan kesalahan bila menggunakan TLS-aware server anda.

Notes
Anda mungkin harus merubah file permission pada /etc/opiekeys bila anda mendapat pesan kesalahan mengenai opie, OTP, atau keyfile yang tidak dapay dibaca.
YAnda mungkin perlu menambahkan user postfix ke group 'mail' sehingga dapat membaca /var/state/saslauthd/* bila anda mendapatkan pesan kesalahan yang komplain mengenai SASL tidak dapat melakukan koneksi ke saslauthd.
Para user pengguna  Outlook dan Norton Anti-Virus melaporkan bahwa anda harus me-disable email scanning agar supaya koneksi outbound TLD dapat bekerja sebgaimana mestinya. Saya belum dapat melakukan test untuk ini, tapi setelah meng-disable scanning, mail keluar sepertinya bekerja dengan baik
Pastikan untuk melakuakn check pada konfigurasi klient anda ketika melakukan pengiriman email melalui  TLS/SASL -- kebanyakan mail client mempunyai settingan opsi yang berbeda dan memggunakan level enkripsi yang berbeda.
Check logs!

Terima kasih
Terima kasih banyak untuk Adam Rothschild dan Aaron Monfils yang telah melakukan testing pada langkah diatas untuk melengkapinya.

Feedback
Apakah anda dapat menghindari tujuh jam menarik rambut anda karena frustasi dalam menggunakan dokumen ini dan beberapa petunjuk sebagai sebuah  jalan  menuju surga TLS/SASL ? Apakah beberapa langkah-langkah tersebut tidak dimengerti dan tidak bekerja pada platform anda ? Silahkan beritahu saya.