Linux Forum Казахстан

Потратил дней 10, настроил postfix+dovecot+прочая, настроил TLS, аутентификация для клиентов только CRAM-MD5. Однако не смог настроить ни одного клиента под эти установки, кроме TheBat. Evolution и Thunderbird почему-то так (TLS + CRAM-MD5) работать не хотят. Либо одно, либо другое ) Далее клиентов перебирать не хочется )
Стало интересно - это мои ручки виноваты или не мои?  /rolleyes.gif\' class=\'bbc_emoticon\' alt=\':rolleyes:\' />

Не все клиенты поддерживают такую изощренную авторизацию, в настройках серверов надо прописывать все доступные методы авторизации, но задавать приоритеты

Цитата: beelzebubbie от 16 Декабря 2010, 21:40Потратил дней 10, настроил postfix+dovecot+прочая, настроил TLS, аутентификация для клиентов только CRAM-MD5. Однако не смог настроить ни одного клиента под эти установки, кроме TheBat. Evolution и Thunderbird почему-то так (TLS + CRAM-MD5) работать не хотят. Либо одно, либо другое ) Далее клиентов перебирать не хочется )
Стало интересно - это мои ручки виноваты или не мои?  /rolleyes.gif\' class=\'bbc_emoticon\' alt=\':rolleyes:\' />

при установке не помню из каких дистров в установщике было такое сообщение: какой уровень безопасности вы хотите установить для selinux
1. обычный
2. усиленный
3. параноидальный

что-то навеяло...  /laugh.gif\' class=\'bbc_emoticon\' alt=\':lol:\' />

 ну, разумеется, я справился с проблемой:auth default {
  mechanisms = plain cram-md5... 


но неприятный осадок остался. )) Технически cram-md5 поддерживается практически любый современным клиентом, SSL/TSL - вообще любым... Малопонятно, почему не вместе ) Паранойя?   /rolleyes.gif\' class=\'bbc_emoticon\' alt=\':rolleyes:\' /> А сертификаты клиентам давать это тогда гиперпаранойя   /rolleyes.gif\' class=\'bbc_emoticon\' alt=\':rolleyes:\' />

В общем, как бывает нередко - в Linux грамотнее сделан сервер, в винде - удобнее клиент  /rolleyes.gif\' class=\'bbc_emoticon\' alt=\':rolleyes:\' />

Цитата: beelzebubbie от 16 Декабря 2010, 23:12 ну, разумеется, я справился с проблемой:

Код [Выделить] Expand

auth default {
  mechanisms = plain cram-md5... 


но неприятный осадок остался. )) Технически cram-md5 поддерживается практически любый современным клиентом, SSL/TSL - вообще любым... Малопонятно, почему не вместе ) Паранойя?   /rolleyes.gif\' class=\'bbc_emoticon\' alt=\':rolleyes:\' /> А сертификаты клиентам давать это тогда гиперпаранойя   /rolleyes.gif\' class=\'bbc_emoticon\' alt=\':rolleyes:\' />

В общем, как бывает нередко - в Linux грамотнее сделан сервер, в винде - клиент  /rolleyes.gif\' class=\'bbc_emoticon\' alt=\':rolleyes:\' />

Не в обиду будь что было сказано уже, но - к примеру, я  не знаю что безопасней - выдача сертификатов, либо описанный вами способ аутентификации. И потому лишь использую наиболее распространенный. А в том что вы разобрались в сути и нашли решение: мое к Вам уважение.

Цитата: ValeryK от 16 Декабря 2010, 23:38Не в обиду будь что было сказано уже, но - к примеру, я  не знаю что безопасней - выдача сертификатов, либо описанный вами способ аутентификации. И потому лишь использую наиболее распространенный. А в том что вы разобрались в сути и нашли решение: мое к Вам уважение.

На мой взгляд - сертификаты, особливо несамоподписанные  /rolleyes.gif\' class=\'bbc_emoticon\' alt=\':rolleyes:\' /> , ГОРАЗДО безопасней и ГОРАЗДО геморройнее. Ну а plain логины пароли определенной уязвимостью обладают даже внутри TLS (man-in the-middle уязвимость, ЕМНИП). Так что я и хотел реализовать наиболее безопасный из методов, не требующий реализации определенных стратегий...

Потратил 3 вечера на то, чтобы понять что я не верблюд  /rolleyes.gif\' class=\'bbc_emoticon\' alt=\':rolleyes:\' />  А можно было просто гуи реализовать так, чтобы нельзя было выбрать нереализованную комбинацию методов )))