Forum Clubic

Authentification cyrus via Active Directory

Voila, en gros le titre est parlant: j’aimerais comprendre comme s’agence tout cela, quel est le rôle exact de chaque logiciel, et si vous connaissez un lien permettant de mettre tout cela en oeuvre. Je m’explique. J’ai mon serveur imap cyrus sur mandriva. Pour qu’un lcient puisse prendre son courier, je veux qu’il s’authentifie. Le contrôleur de domaine est sur windows 2003, géré donc par Active Directory. Je veux donc qu’automatiquement, cyrus aille vérifier le login et mdp sur AD.

De ce que je crois avoir compris: il me faut samba pour joindre le domaine. Il me faut Kerberos pour s’authentifier sur AD (j’en ai je suppose besoin pour pouvoir avoir l’autorisation de consulter les comptes sur AD). Il faut winbind pour récupérer les groupes et utilisateurs (donc mot de passe???).

Voila, alors tout d’abord, ai-je bien compris le principe (pas sur), et j’aimerais un coup de pouce pour configurer correctement ces différents processus. Merci :slight_smile:

Si cyrus peut taper sur un backend LDAP alors il vaudrait mieux le connecter directement (si possible ou avec kerberos en plus si necessaire)

Samba et winbind ne devrait pas etre necessaires pour ton prob. Peut etre winbind quand meme mais pas sur.

winbind sert a creer dynamiquement des utilisateurs locaux apres une auth sur un domaine (ad le plus souvent mais pas seulement).
Samba sert pour le partage de fichiers et imprimantes et pour que la machine apparaisse dans AD (pas obligatoire)
Kerberos c’est pour l’auth - je sais pas si c’est obligatoire ou pas

Je ne sais pas si Cyrus peut directement choper des données sur AD, si oui je suis preneur.

Tu ne penses pas que la machine doit apparaitre dans AD pour que je puisse avoir accès à l’annuaire LDAP? Ca me semble bisard. Pour la même opération (avec un proxy, squid), la boite ou je suis utilise samba et winbind pour vérifier les utilisateurs et mot de passe, avec windows NT comme controleur de domaine. Ca doit être plus ou moins le même principe pour AD, non?

En fait j’ai entendu parler de PAM et SASL, ce ne serait pas plutot ca??

Bon j’ai changé le titre du sujet, et je vais poser une question plus simple: comment authentifier mes utilisateurs voulant récupérer leurs mails sur cyrus via Active Directory?

et bien faut regarder… j’en sais pas plus…

NT a une base utilisateur particuliere donc je comprends qu’il soit necessaire d’avoir samba et winbind.
AD etant du LDAP (trafique), il “devrait” etre possible de taper dedans directement.
Mais j’en sais pas plus car je n’ai jamais eu a faire ce montage.
Peut etre, comme tu le dis, il est necessaire de passer aussi par samba et winbind ? probable…

pam est aussi une solution.
Le principe serait que cyrus utilise l’authentification systeme (pam) qui elle meme va taper sur AD… et pour taper sur AD, rebelote, y’a 2 soluces : le module ldap si ca marche ou carrement le module AD si il existe (et surement avec winbind en plus dans ce dernier cas).

Bref, au final, tu dois avoir 2 types de solutions : cyrus branche en direct su AD ou cyrus branche sur l’auth systeme. Et pour chaque type de solutions, t’as 2 variantes : soit utiliser AD comme un annuaire LDAP “classique” si ca marche ou utiliser AD comme un AD si c’est possible. Et pour chaque variante, tu dois encore verifier si winbind et samba sont necessaires ou pas… et voir ou kerberos intervient la dedans :paf:
Tu va t’amuser dans les jours qui viennent :smiley:

A mon avis, le plus “simple” est de sortir l’artillerie lourde avec pam, samba, kerberos et winbind mais je pense pas que ce soit la solution la plus propre et la plus “minimale” (et la plus facile a maintenir a long terme). Le mieux serait bien entendu de brancher cyrus sur AD direct.

Bref, si tu as le temps de tester chaque soluce et de nous faire un petit retour d’experience sur le sujet ca m’interesse…

hmmm je serais plus tenté de regarder PAM avec le module LDAP, même si j’ai cru entendu dire que LDAP sur AD n’était pas tout à fait conforme (c’est microsoft…). Je ne pense pas avoir le temps de tester toutes ces solutoins, par contre, je vais essayer de faire un truc propre, et pas d’installer un peu tout et n’importe quoi en croisant les doigts pour que ca marche. Je suis stagiaire dans une boite, autant que je m’applique un max pour pondre un truc nickel. Si j’arrive à trouver une soluce (je croise les doigts :)), je viendrais poster tout ça ici, en détailalnt tout, installatoin config de postfix, de cyrus, et des autres peittes choses que je vais greffer à celà :slight_smile: Merci pour tes coneils, et si quelqu’un d’autre passant dans le coin à d’autres conseils à donner, je suis preneur bien sur :slight_smile: