Discussione:
limitazioni accessi per mail server.
(troppo vecchio per rispondere)
msan
2003-09-12 07:19:07 UTC
Permalink
Salve.
Ho installato un mail server in una macchina con debian woody.
Il servizio di posta elettronica e' per una intranet.
Ho usato postfix+courier-imap+courier-pop.
L'autenticazione avviene attraverso LDAP.
Ho aggiunto anche un servizio webmail per permettere l'utilizzo
della casella di posta da internet.
Funziona tutto perfettamente.
Ora il capo mi chiede di limitare l'accesso al mail server da internet
solo ad alcuni accounts.
Penso che allora l'unico modo sia installare un secondo server.
Uno per la intranet che utilizzano tutti ed uno per internet riservato solo
ad alcuni accounts.
Altre soluzioni?
Grazie.
Rizio
2003-09-12 07:33:17 UTC
Permalink
Post by msan
Ho usato postfix+courier-imap+courier-pop.
L'autenticazione avviene attraverso LDAP.
Ho aggiunto anche un servizio webmail per permettere l'utilizzo
della casella di posta da internet.
Funziona tutto perfettamente.
Ora il capo mi chiede di limitare l'accesso al mail server da internet
solo ad alcuni accounts.
Penso che allora l'unico modo sia installare un secondo server.
Uno per la intranet che utilizzano tutti ed uno per internet riservato
solo ad alcuni accounts.
Sto cercando di implementare una soluzione simile e pensavo di usare i
certificati di autenticazione. Cioè creo un certificato per client che
devono accedere dall'esterno e apro il mail server solo sulla base del
certificato. Per la mia realta è una politica funzionale, sufficientemente
sicura e manutenibile abbastanza tranquillamente (leggi una 20ina di
portatili più pochissimi altri utenti dirigenziali che devono usarla
dall'esterno).
Una domanda il server ldap è Win2K o hai installato sldap sul mail server ?
--
Rizio
msan
2003-09-12 07:41:33 UTC
Permalink
Post by Rizio
Post by msan
Ho usato postfix+courier-imap+courier-pop.
L'autenticazione avviene attraverso LDAP.
Ho aggiunto anche un servizio webmail per permettere l'utilizzo
della casella di posta da internet.
Funziona tutto perfettamente.
Ora il capo mi chiede di limitare l'accesso al mail server da internet
solo ad alcuni accounts.
Penso che allora l'unico modo sia installare un secondo server.
Uno per la intranet che utilizzano tutti ed uno per internet riservato
solo ad alcuni accounts.
Sto cercando di implementare una soluzione simile e pensavo di usare i
certificati di autenticazione. Cioè creo un certificato per client che
devono accedere dall'esterno e apro il mail server solo sulla base del
certificato. Per la mia realta è una politica funzionale, sufficientemente
sicura e manutenibile abbastanza tranquillamente (leggi una 20ina di
portatili più pochissimi altri utenti dirigenziali che devono usarla
dall'esterno).
Una domanda il server ldap è Win2K o hai installato sldap sul mail server ?
Ma.......il certificato entra in gioco solo se l'accesso viene effettuato
dall'esterno?
Tieni conto che il server e' unico e funziona sia per la intranet che per
internet.
A rigor di logica tutti coloro che hanno un account potrebbero accedere
anche da internet.
Se creo delle limitazioni per l'accesso da internet queste si ripercuoteranno
anche per l'accesso dalla intranet.
Correggimi se sbaglio.
Per quanto riguarda LDAP, ho installato il server sulla stessa macchina
dove e' intallato il mail server.
O meglio, ho installato il server su una macchina della intranet inaccessibile
dall'esterno che poi replica il database sul mail server.
Ciao.
Rizio
2003-09-12 08:20:54 UTC
Permalink
Post by msan
Ma.......il certificato entra in gioco solo se l'accesso viene effettuato
dall'esterno?
Purtroppo non telo sò dire ? Nel senso che dovresti leggere la doc del prg
di Webmail che usi. Io ci devo ancora arrivare e per ora la mia è una
teoria, come segue sotto.
Post by msan
Tieni conto che il server e' unico e funziona sia per la intranet che per
internet.
A rigor di logica tutti coloro che hanno un account potrebbero accedere
anche da internet.
Se creo delle limitazioni per l'accesso da internet queste si
ripercuoteranno anche per l'accesso dalla intranet.
Correggimi se sbaglio.
Il ragionamento non fà una grinza. Anche se, in teoria, potrebbe essere
sufficiente un reverse proxy anteposto al mail server.
E' sempre una macchina in più ma lì puoi gestire diversi tipi di
autenticazione, e in caso di successo l'utente viene diretto sul mail
server altrimenti no. Uno squid configurato come bastion host non sò che
livello di sicurezza dà ma p l'unico modo in cui l'avevo risolta io (nella
fase di fantasia per-progettuale)
Post by msan
Per quanto riguarda LDAP, ho installato il server sulla stessa macchina
dove e' intallato il mail server.
Perciò sempre su Linux. Vabbè.. il mio problema è che il modulo authldap di
cuorier-imap non mi riesce ad autenticare gli utenti su un server ldap W2k
e non capisco se il prob è del mail server linux o del server W2k. In più
non mi compila neanche il modulo di autenticazione per mysql.
--
Rizio
msan
2003-09-12 08:42:17 UTC
Permalink
Post by Rizio
Il ragionamento non fà una grinza. Anche se, in teoria, potrebbe essere
sufficiente un reverse proxy anteposto al mail server.
E' sempre una macchina in più ma lì puoi gestire diversi tipi di
autenticazione, e in caso di successo l'utente viene diretto sul mail
server altrimenti no. Uno squid configurato come bastion host non sò che
livello di sicurezza dà ma p l'unico modo in cui l'avevo risolta io (nella
fase di fantasia per-progettuale)
Fammi capire.
Attualmente il mio mail e' in dmz proprio per consentire l'accesso da internet.
Lasceresti il mail nella rete protetta e metteresti in dmz il reverse proxy?
Rizio
2003-09-12 09:03:51 UTC
Permalink
Post by msan
Fammi capire.
Attualmente il mio mail e' in dmz proprio per consentire l'accesso da
internet. Lasceresti il mail nella rete protetta e metteresti in dmz il
reverse proxy?
Si perchè ? Puoi anche lasciarli tutti e due nella dmz ma non avrebbe molto
senso imho. Io metterei il reverse proxy in dmz, caso mai con due eth così
da poter lavorare ulteriormente sul "routing" per sqiud e il mail server in
lan coperto dal firewall, reverse proxy e beato nella sua ignoranza degli
accessi.
Anche descrivendolo non vedo errori concettuali, se sbaglio o hai dei dubbi
sono qui, anche perchè come detto prima è la stessa cosa che vorrei fare io
perciò mi fà molto piacere discuterne e ragionarci a "quattro mani"
--
Rizio
msan
2003-09-13 17:34:02 UTC
Permalink
Post by Rizio
Post by msan
Fammi capire.
Attualmente il mio mail e' in dmz proprio per consentire l'accesso da
internet. Lasceresti il mail nella rete protetta e metteresti in dmz il
reverse proxy?
Si perchè ? Puoi anche lasciarli tutti e due nella dmz ma non avrebbe
molto senso imho. Io metterei il reverse proxy in dmz, caso mai con due
eth così da poter lavorare ulteriormente sul "routing" per sqiud e il mail
server in lan coperto dal firewall, reverse proxy e beato nella sua
ignoranza degli accessi.
Anche descrivendolo non vedo errori concettuali, se sbaglio o hai dei
dubbi sono qui, anche perchè come detto prima è la stessa cosa che vorrei
fare io perciò mi fà molto piacere discuterne e ragionarci a "quattro
mani"
Non mi e' chiaro il ruolo del proxy sinceramente.
Addirittura squid?
Una web cache.
Spiegami meglio.
Ciao.
msan
2003-10-06 07:14:03 UTC
Permalink
Post by Rizio
Anche descrivendolo non vedo errori concettuali, se sbaglio o hai dei dubbi
sono qui, anche perchè come detto prima è la stessa cosa che vorrei fare io
perciò mi fà molto piacere discuterne e ragionarci a "quattro mani"
Ciao.
Avevi poi risolto?

Loading...