そろそろLDAPにしてみないか?

第17回 FDSとDovecot[設定編]

この記事を読むのに必要な時間:およそ 4 分

前回から続くFDSとDovecotを使ったPOP3/IMAP4サービスの構築。前回のDovecotインストールと基本的な設定に続いて,今回は実際にLDAPと連携するための設定について解説します。

パスワード検索と認証バインド

とりあえず前回の設定でPOP3/IMAP4サービスが使用できるようになったわけですが,DovecotからLDAPサーバを参照する場合には2種類の認証方式を選択することができ,それらはドキュメントの中でそれぞれ「パスワード検索」,「認証バインド」として紹介されています。

先ほどの例では,dovecot-ldap.conf中にユーザ検索用のLDAPバインドDNやパスワードを定義していましたが,もうひとつの方式の場合,このような検索専用のDNを準備する必要がありません。これらの方式の違いはDovecotに限った話ではなく,それ以外の様々なソフトウェアにも当てはまることなので,良い機会なのでここで整理しておきましょう。

パスワード検索

前述の設定ファイルで使用している方式です。Dovecotを起動すると,dn/dnpassの値を使ってディレクトリサーバにバインドします。

その後POP3接続などが発生すると,その際に入力されるユーザ名を使ってディレクトリサーバ内から(mail=hnakamitsu@bluecoara.net)といったエントリを検索し,その中に含まれているuserPassword属性の値とセッション時のパスワードをDovecotが照合します。

このユーザがPOP3サーバからログアウトした後でも,Dovecotはディレクトリサーバにバインドし続け,その他の接続に備えます。

それぞれのPOP3/IMAP4セッションの度にディレクトリサーバにバインドする必要がないため,この方式はパフォーマンス的に優れていると言えます。また,ディレクトリサーバに平文パスワードを保存しておけば,後述するAPOP,CRAM-MD5,DIGEST-MD5などのチャレンジ・レスポンス認証を使用することもできます。

認証バインド

dovecot-ldap.conf中に特別なDNやパスワードを設定する必要がありません。Dovecotを起動すると,匿名状態でディレクトリサーバにバインドします。

その後POP3接続などが発生すると,DovecotプロセスがPOP3セッションで入力されたユーザ名をLDAPサーバから検索します。それによって当該ユーザのDNがわかるため,次はこのDN(例:uid=HNAKAMITSU,ou=Mail,dc=bluecoara,dc=net)とセッション時のパスワード(例:hnakamitsu)を用いてディレクトリサーバへのバインドを試行します。

これによって,もしディレクトリサーバにバインドできれば認証成功と見なす方式です。パスワード検索と異なり,実際の認証を行っているのはLDAPサーバです。POP3/IMAP4セッションのたびにディレクトリサーバにバインドしなければならないため,パスワード検索と比較するとパフォーマンス的に劣りますが,検索用DNやパスワード情報を設定ファイルに記述する必要がないのがメリットです。

実際の挙動をLDAPサーバのログから追ってみます。以下はPOP3サーバにログイン,ログアウトした時のFDSのログです。わかりやすいよう各所にコメントを入れています。

リスト1 パスワード検索時のログ

# dovecotを起動すると,早速検索用のDNでバインドが行われ,以後の検索のため待機する
[14/Oct/2008:11:59:16 +0900] conn=26 fd=64 slot=64 connection from 127.0.0.1 to 127.0.0.1
[14/Oct/2008:11:59:16 +0900] conn=26 op=0 BIND dn="cn=Directory Manager" method=128 version=2
[14/Oct/2008:11:59:16 +0900] conn=26 op=0 RESULT err=0 tag=97 nentries=0 etime=0 dn="cn=directory manager"
# POP3セッションでユーザ名,パスワードが入力されたため,エントリが存在するか検索し,パスワードを照合
[14/Oct/2008:11:59:19 +0900] conn=26 op=1 SRCH base="ou=Mail,dc=bluecoara,dc=net" scope=2 filter="(mail=hnakamitsu@bluecoara.net)" attrs="userPassword"
[14/Oct/2008:11:59:19 +0900] conn=26 op=1 RESULT err=0 tag=101 nentries=1 etime=0
# メールボックスの存在するホームディレクトリ属性を取得
[14/Oct/2008:11:59:19 +0900] conn=26 op=2 SRCH base="ou=Mail,dc=bluecoara,dc=net" scope=2 filter="(mail=hnakamitsu@bluecoara.net)" attrs="mailMessageStore"
[14/Oct/2008:11:59:19 +0900] conn=26 op=2 RESULT err=0 tag=101 nentries=1 etime=0
# dovecotを終了すると検索用DNがアンバインドされる
[14/Oct/2008:11:59:21 +0900] conn=26 op=3 UNBIND
[14/Oct/2008:11:59:21 +0900] conn=26 op=3 fd=64 closed - U1

リスト2 認証バインド時のログ

# POP3セッションでユーザ名とパスワードが入力されたら,ユーザの有無を確認
[14/Oct/2008:11:58:53 +0900] conn=21 op=1 SRCH base="ou=Mail,dc=bluecoara,dc=net" scope=2 filter="(mail=hnakamitsu@bluecoara.net)" attrs=ALL
[14/Oct/2008:11:58:53 +0900] conn=21 op=1 RESULT err=0 tag=101 nentries=1 etime=0
# POP3セッション時のユーザ名,パスワードを使ってディレクトリサーバにバインドできるか確認
[14/Oct/2008:11:58:53 +0900] conn=21 op=2 BIND dn="uid=HNAKAMITSU,ou=Mail,dc=bluecoara,dc=net" method=128 version=2
[14/Oct/2008:11:58:53 +0900] conn=21 op=2 RESULT err=0 tag=97 nentries=0 etime=0 dn="uid=hnakamitsu,ou=mail,dc=bluecoara,dc=net"
[14/Oct/2008:11:58:53 +0900] conn=21 op=3 BIND dn="" method=128 version=2
[14/Oct/2008:11:58:53 +0900] conn=21 op=3 RESULT err=0 tag=97 nentries=0 etime=0 dn=""
# メールボックスの存在するホームディレクトリ属性を取得
[14/Oct/2008:11:58:53 +0900] conn=21 op=4 SRCH base="ou=Mail,dc=bluecoara,dc=net" scope=2 filter="(mail=hnakamitsu@bluecoara.net)" attrs="mailMessageStore"
[14/Oct/2008:11:58:53 +0900] conn=21 op=4 RESULT err=0 tag=101 nentries=1 etime=0
[14/Oct/2008:11:58:56 +0900] conn=21 op=6 UNBIND
[14/Oct/2008:11:58:56 +0900] conn=21 op=6 fd=64 closed - U1

著者プロフィール

中満英生(なかみつひでお)

大学時代に出会ったSolarisがきっかけでUNIXの世界へ。その後ホスティングプロバイダ,データセンターで実務経験を積む傍ら,雑誌記事の執筆や技術セミナーの講師を務める。サーバ設定の他,セキュリティに関する著作や技術者エッセイも執筆経験あり。

コメント

コメントの記入