Changes between Version 13 and Version 14 of HowTo/SakuraVpsSetup

Timestamp:

Oct 14, 2010, 11:40:50 PM (14 years ago)

Author:

村山 俊之

Comment:

--

HowTo/SakuraVpsSetup

@@ -301 +301 @@
 # yum install postfix
 }}}
- 1. SMTP-AUTH を利用する為、 SASL をインストールする。
-{{{
-# yum install cyrus-sasl
-}}}
  1. /etc/postfix/main.cf を書き換える。
 {{{
@@ -311 +307 @@
 # 以下は既存の項目を書き換え。
 myhostname = developer.harapeko.jp
+myorigin = $mydomain
 inet_interfaces = all
 mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain
@@ -327 +324 @@
         >$config_directory/$process_name.$process_id.log & sleep 5
 
-# SASL 関連の設定; SSL 証明書を取得するまでコメントアウト
-#smtpd_sasl_auth_enable = yes
-#smtpd_sasl_security_options = noanonymous, noplaintext
-#smtpd_sasl_local_domain = $myhostname
-#smtpd_tls_cert_file = /etc/httpd/conf/developer_harapeko_jp.crt
-#smtpd_tls_key_file = /etc/httpd/conf/developer.harapeko.jp.key.pk
-#smtpd_tls_CApath = /etc/httpd/conf/
-#smtpd_use_tls = yes
-#smtpd_tls_auth_only = yes
-#smtpd_tls_session_cache_timeout = 3600s
-#smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
-
 # メールサイズを 10MB に制限
 message_size_limit = 10485760
@@ -346 +331 @@
 # mkdir -p /etc/skel/Maildir/{new,cur,tmp}
 # chmod -R 700 /etc/skel/Maildir/
-}}}
- 1. /etc/postfix/master.cf を書き換える。
-{{{
-# vim /etc/postfix/master.cf
-
-# サブミッションポートを有効にする
-submission inet n       -       n       -       -       smtpd
-#  -o smtpd_sasl_auth_enable=yes    # あとで
 }}}
  1. システムで使用するサーバー機能を Postfix に切り替える。
@@ -1056 +1033 @@
 == メールサーバーを再度設定する ==
 
-SSL が使えるようになったので、 POP3S と Submission over SMTP-AUTH の設定をして、メールが利用できるようにする。
+SSL が使えるようになったので、 POP3S と Submission over SSL/TLS の設定をして、メールが利用できるようにする。
+
+=== メールユーザー DB を構築 ===
+
+弊社メールサーバーの動作用件は以下の通り。
+
+ * クライアントとの接続プロトコルは POP3S と Submission over SSL/TLS を用いる。 POP3 は使わない。
+   * 25番ポート (SMTP) はメール配送用に開けておく必要がある。
+ * Linux アカウントのパスワードと同じパスワードを使わせたくない。
+ * 受信/送信の両方で同一のパスワードとして管理したい。
+
+POP3S の認証は dovecot にて、 Submission over SSL/TLS の認証は cyrus-SASL にて行う。この場合、
+
+ * cyrus-SASL では /etc/shadow や PAM を参照する saslauthd ではなく、 auxprop を用いる。 auxprop がサポートしている参照先は以下のいずれかである。
+   * sasldb (cyus-SASL 独自形式の DB; 解説をもっともよく見かける)
+   * DBMS (MySQL/PostgleSQL/SQLite)
+   * LDAP
+ * 上記のうち、 sasldb は dovecot が理解できず、双方で同一のパスワードを管理できなくなってしまうので、NG。
+ * 別にアプリケーション間で共通のパスワードを一元管理したいわけでもないので、わざわざ LDAP 使う必要もないかな。
+
+というわけで、せっかく MySQL も入れてあるし、 MySQL でメールユーザー DB を構築することにしてみた。
+
+なお、 dovecot はメール配送時のユーザー情報参照にもこの DB を利用することになる為、その内容はユーザー ID とパスワードの他、メールサーバーのドメイン名、ホームディレクトリ、UID、GID も必要になる。この辺の情報については dovecot をインストール後、 /usr/share/doc/dovecot-x.x.x/wiki/AuthDatabase.SQL.txt ファイルを参照のこと。
+
+ 1. DB を作成。 DB 名、 DB ユーザー名共に mailusers とした。
+{{{
+$ mysql -u root -p
+
+mysql> create database mailusers;
+mysql> mysql> grant all privileges on mailusers.* to mailusers@localhost identified by 'パスワード';
+mysql> use mailusers;
+mysql> create table users (
+    ->   userid varchar(128) primary key,
+    ->   domain varchar(128),
+    ->   plain_passwd varchar(64),
+    ->   home varchar(255) not null,
+    ->   uid integer not null,
+    ->   gid integer not null
+    -> );
+mysql> quit
+}}}
+   * ドメイン名とパスワードは NULL 可とした。メール配送は受け付けるが転送するだけで認証することのないアカウント (root, admin など) もある為。
+ 1. mailusers でのアクセス確認を兼ねて、テーブルにさしあたって必要なメール用のアカウントをいくつか登録してみる。
+{{{
+$ mysql -u mailusers -p mailusers
+
+mysql> insert users values
+    ->   ('toshiyuki.murayama', 'developer.harapeko.jp', 'パスワード', '/home/toshiyuki.murayama', 502, 502),
+    ->   ('root', null, null, '/root', 0, 0),
+    ->   ('admin', null, null, '/home/admin', 503, 503);
+mysql> quit
+}}}
+   * ホームディレクトリや UID, GID は事前に /etc/passwd を参照して確認しておくこと。
+   * パスワードは、危険だが平文で保存する。ちなみに dovecot は MD5 ハッシュ、 cyrus-SASL は平文を要求する… cyrus も MD5 に対応してくれよ… orz
+   * もちろんパスワードは Linux アカウントのパスワードと同じである必要はない。むしろセキュリティリスクを抑える為にも、別々のパスワードを設定すべきである。
 
 === POP3S の設定 ===
@@ -1073 +1104 @@
 # 接続対象アドレス範囲。 IPv6 で指定しているが、暗黙に IPv4 アドレスも含むことになる。
 listen = [::]
-
-# 平文認証を禁止する。 Outlook Express だと NG なんだっけかな?
-disable_plaintext_auth = yes
 
 # SSL 証明書ファイル、および鍵ファイルの場所を指定。
@@ -1085 +1113 @@
 
 auth default {
-  # MD5 ダイジェスト認証および CRAM-MD5 に対応する。
-  mechanisms = digest-md5 cram-md5
-
-}}}
- 1. /usr/lib/sasl2/smtpd.conf を作成する。
-{{{
-$ vim /usr/lib/sasl2/smtpd.conf
+  # 平文認証、ログイン認証、MD5 ダイジェスト認証、CRAM-MD5 に対応する。
+  mechanisms = plain login digest-md5 cram-md5
+
+  # 認証に PAM は使わないので、コメントアウト
+  #passdb pam {
+  # (中略)
+  #}
+  
+  # 認証に DBMS を利用する
+  passdb sql {
+    # DBMS への接続方法を記した設定ファイルのパス。あとで作成
+    args = /etc/dovecot-sql.conf
+  }
+  
+  # ユーザー情報も DB を参照するようにする。コメントアウト
+  #userdb passwd {
+  # (中略)
+  #}
+  
+  # ユーザー情報を DBMS にて参照する。
+  userdb sql {
+    args = /etc/dovecot-sql.conf
+  }
+  
+  # MySQL には root でなくてもアクセスできるので、以下はコメントアウト。
+  #user = root
+}
+}}}
+ 1. DBMS への接続方法を示す設定ファイルを作成する。
+{{{
+$ sudo vim /etc/dovecot-sql.conf
+
+# MySQL を使用する。
+driver = mysql
+# 接続情報 (ホスト名、DB 名、DB ユーザーの ID/パスワード)
+connect = host=localhost dbname=mailusers user=mailusers password=パスワード
+# 認証の際のクエリー SQL - パスワードは MD5 ハッシュを要求するので、 MD5() 関数を噛ませる
+password_query = select concat(userid, '@', domain) as user, md5(plain_passwd) as password from users where userid = '%n'
+# ユーザー情報を参照する際のクエリー SQL
+user_query = select home, uid, gid from users where userid = '%u'
+
+$ sudo chmod 600 /etc/dovecot-sql.conf  # DB ユーザーのパスワードを知られてはマズイので、権限を変更しておく
+}}}
+ 1. dovecot を起動し、デフォルトで起動するようにする。
+{{{
+$ sudo /etc/init.d/dovecot start
+$ sudo /sbin/chkconfig --add dovecot
+}}}
+
+=== Submission over SSL/TLS の設定 ===
+
+ 1. cyrus-SASL と、それ用の MD5 認証用プラグインと SQL auxprop プラグインをインストールする。
+{{{
+$ sudo yum install cyrus-sasl cyrus-sasl-md5 cyrus-sasl-sql
+}}}
+ 1. cyrus-SASL の設定。設定方法は[http://www.postfix.org/SASL_README.html#auxprop_sql ここ]を参考にした。
+{{{
+$ vim /etc/sasl2/smtpd.conf
 
 pwcheck_method: auxprop
-auxprop_plugin: sasldb
-mech_list: cram-md5 digest-md5
-}}}
+auxprop_plugin: sql
+mech_list: cram-md5 digest-md5 plain login
+sql_engine: mysql
+sql_hostnames: localhost
+sql_user: mailusers
+sql_passwd: パスワード
+sql_database: mailusers
+sql_select: select plain_passwd as password from users where userid = '%u'
+
+$ sudo chmod 600 /etc/sasl2/smtpd.conf  # DB ユーザーのパスワードを知られてはマズイので、権限を変更しておく
+$ rm -f /usr/lib64/sasl2/smtpd.conf /usr/lib64/sasl/smtpd.conf  # この辺のファイルが残っていると悪さをするので消しておく
+}}}
+   * '''最後のファイル削除は超重要'''。これで何時間嵌ったことか…。orz
+ 1. Postfix の設定に、 SASL 関連の設定と、サブミッションポートの設定を追加する。 main.cf の設定パラメータについては[http://www.postfix-jp.info/trans-2.2/jhtml/postconf.5.html こちら]を参照。
+{{{
+$ sudo vim /etc/postfix/main.cf
+
+# SMTP の SASL による認証を有効にする
+smtpd_sasl_auth_enable = yes
+# 匿名での利用、および平文認証を禁止する
+smtpd_sasl_security_options = noanonymous, noplaintext
+# realm の名前。ホスト名にしておく
+smtpd_sasl_local_domain = $myhostname
+# SSL 証明書および秘密鍵ファイル
+smtpd_tls_cert_file = /etc/httpd/conf/ssl/developer.harapeko.jp.crt
+smtpd_tls_key_file = /etc/httpd/conf/ssl/developer.harapeko.jp.key
+# STARTTLS サポートをクライアントに通知する
+smtpd_use_tls = yes
+# TLS 暗号化されていない接続を受け付けない
+smtpd_tls_auth_only = yes
+# SASL 認証に成功した場合のみ、 SMTP によるメールの配送 (RCPT TO コマンド) を受け付けるようにする
+# (この順番で書くことにより、サーバー上で sendmail コマンドを用いる場合 (Web アプリからのメール発送等)
+# には SASL 認証が不要になる)
+smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
+
+$ sudo vim /etc/postfix/master.cf
+
+# サブミッションポートを有効にする
+submission inet n       -       n       -       -       smtpd
+  -o smtpd_sasl_auth_enable=yes
+}}}
+ 1. Postfix を再起動する。
+{{{
+$ sudo /etc/init.d/postfix restart
+}}}