Cyrus IMAP mit SASL, PAM, SSSD und LDAP – Opensuse 12.3/13.1 – I

In diesem und den folgenden Beiträgen möchte ich die Installation eines Cyrus IMAP-Dienstes beschreiben, der unter Opensuse zum Laufen gebracht werden soll und dessen Anwender über ein LDAP-System authentifiziert werden. Themen der Artikel werden sein :

  1. Einfache Varianten der benötigten Konfigurationsdateien unter Berücksichtigung von SASL (genauer "saslauthd") und STARTTLS.
  2. Eine bestimmte Authentifizierungsvariante über SASLAUTHD, PAM, SSSD, LDAP. Diese ist aus meiner Sicht in einem kleinen internen Netzwerk durchaus ausreichend.
  3. Test der Funktionstüchtigkeit des Authentifizierungsverfahrens.
  4. Starten des Servers und Einrichten einer Test-Mailbox.
  5. Prüfen der Funktionstüchtigkeit des IMAP-Servers per "telnet" und "imtest".
  6. Anbindung Kmail.
  7. Webmin zur Mailbox-Verwaltung.

Einschränkung
Ich gehe in diesem Beitrag ausschließlich auf die Installation des IMAP-Dienstes auf einem Linux-Host ein. Dem Zusammenspiel mit dem MTA Postfix widme ich dagegen eine andere Artikelserie. Will man einen kompletten E-Mail-Server mit Fetchmail, Postfix, Cyrus IMAP aufbauen, lohnt es sich aus meiner Sicht aber, das Pferd von hinten aufzuzäumen:

Für Tests der gesamten Verarbeitungskette muss man letztlich in der Lage sein, E-Mails entgegen zu nehmen und abzulegen. Dafür ist ein bereits laufender IMAP-Server das richtige. Der Zugriff eines Mailclients wie Kmail auf den IMAP-Dienst ist schnell umgesetzt. Im übrigen lohnt sich der Einsatz einer "Stand Alone"-IMAP-Instanz auch für die Aufnahme von Mail aus einem Backup. Siehe hierzu den Artikel:
https://linux-blog.anracom.com/2011/11/28/cyrus-imap-auf-die-schnelle/

Getestet habe ich die gesamte Vorgehensweise auf einem System unter Opensuse 12.3. Ich gehe aber davon aus, dass die Konfiguration auch unter Opensuse 13.1 laufen würde.

Voraussetzungen: Hostkonfiguration mit SASL, PAM, SSSD und LDAP-Zugriff

Da LDAP ins Spiel kommen soll, muss der Host, auf dem der Cyrus IMAP-Dienst implementiert werden soll, eine Reihe von Voraussetzungen erfüllen. Ferner muss im Netzwerk natürlich ein LDAP-System vorhanden sein, auf den unser IMAP-Host zugreifen kann und darf. Ich kann weder die Einrichtung eines LDAP-Systems an dieser Stelle besprechen, noch die Bereitstellung aller oder spezieller Zugriffsvarianten von bestimmten Serverdiensten auf ein LDAP-System. Ich betrachte weiter unten vielmehr eine einfache, etwas spezielle Variante des LDAP-Zugriffs. Dabei werde ich bestimmte Dinge voraussetzen, die ich bereits früher in anderen Artikeln behandelt habe:

Cyrus IMAP kann (wie manche andere Dienste auch) auf das Authentifizierungs-Framework Cyrus SASL zurückgreifen. SASL wiederum kann eine ganze Reihe unterschiedlicher Backends einsetzen. In einem der letzten Beiträge in diesem Blog hatte ich bereits dargestellt, wie man eine Kette aus

SASLAUTHD => PAM => SSSD => LDAP

nutzen kann, um damit eine Authentifizierung vorzunehmen. Siehe hierzu den Blog-Artikel:
SASL mit PAM, SSSD, LDAP unter Opensuse

Die Ausführungen des genannten Beitrags werden hier vorausgesetzt. D.h., ich gehe davon aus,

  • dass es einen LDAP-Server im Netz gibt, der Standard-Information zu Usern beherbergt, die einen IMAP-Zugang erhalten sollen,
  • dass die Userinformationen auf dem LDAP-Server in einem von SuSE's YaST eingerichteten Zweig des LDAP-Baums angelegt wurden,
  • dass SASL, PAM und SSSD wie im obigen Artikel besprochen auf unserem Host "mycyrus" eingerichtet sind,
  • dass Server-SSL-Zertifikate sowohl auf dem IMAP-Host wie auch auf dem LDAP-Host eingerichtet wurden und zwar jeweils nach dem Muster des SuSE "Common Server Certificates".

Wie man unter Opensuse zu einem LDAP-Server gelangt und die Server-Zertifikate von einem CA-System auf die Server bringt, habe ich in früheren Artikeln beschrieben.
Opensuse 12.1 – LDAP I // Opensuse 12.1 – LDAP II // Opensuse 12.1 – LDAP III // Opensuse 12.1 – LDAP IV // Opensuse 12.1 – LDAP V

Host-, Server- und Testuser-Bezeichnungen in den Artikeln dieser Serie

Der Host, der den IMAP-Server beherbergen soll, heiße nachfolgend "mycyrus". Der LDAP-Server heiße dagegen "ldap-serv".
Auf dem LDAP-System sei ferner ein Eintrag für eine Test-Userin "tarja" angelegt worden (Password: TARJAPWD).

Benötigte CYRUS IMAP Pakete

Unter Opensuse installiert man sich per YaST oder Yum folgende Pakete aus den Standard- und Update-Repositories für sein Opensuse-System:

cyrus-imapd, cyrus-sasl, cyrus-sasl-plain, cyrus-sasl-saslauthd, perl-Cyrus-IMAP, perl-Cyrus-SIEVE-managesieve,
perl-Authen-SASL-Cyrus, perl-Authen-SASL

CYRUS IMAP Konfigurationsdateien

Meine Cyrus Konfigurationsdateien sehen wie folgt aus:

/etc/cyrus.conf:

# standard standalone server implementation
 
START {
# do not delete this entry!
recover cmd="ctl_cyrusdb -r"
 
# this is only necessary if using idled for IMAP IDLE
idled cmd="idled"
}
 
# UNIX sockets start with a slash and are put into /var/lib/imap/socket
SERVICES {
# add or remove based on preferences
imap cmd="imapd" listen="imap" prefork=0
imaps cmd="imapd -s" listen="imaps" prefork=0
pop3 cmd="pop3d" listen="pop3" prefork=0
pop3s cmd="pop3d -s" listen="pop3s" prefork=0
sieve cmd="timsieved" listen="sieve" prefork=0
 
# at least one LMTP is required for delivery
# lmtp cmd="lmtpd" listen="lmtp" prefork=0
lmtpunix    cmd="lmtpd" listen="/var/lib/imap/socket/lmtp" prefork=0
 
# this is only necessary if using notifications
# notify cmd="notifyd" listen="/var/lib/imap/socket/notify" proto="udp" prefork=1
}
 
EVENTS {
# this is required
checkpoint cmd="ctl_cyrusdb -c" period=30
 
# this is only necessary if using duplicate delivery suppression
delprune cmd="cyr_expire -E 3" at=0400
 
# this is only necessary if caching TLS sessions
tlsprune cmd="tls_prune" at=0400
 
# Uncomment the next entry, if you want to automatically remove
# old messages of EVERY user.
# This example calls ipurge every 60 minutes and ipurge will delete
# ALL messages older then 30 days.
# enter 'man 8 ipurge' for more details
 
# cleanup cmd="ipurge -d 30 -f" period=60
}

Details zu den Parametern findet man etwa hier: http://linux.die.net/man/5/cyrus.conf.
Diese Datei ist nach der Installation unter Opensuse fast schon genau so vorhanden wie oben dargestellt. Geändert habe ich, dass die Bereitstellung der IMAP und POP-Dienste auch auf verschlüsselten Ports (imaps: 993, pop3s: 995) erfolgen soll.

Wichtig ist die Vorbereitung der LMTP-Socket-Kommunikation innerhalb des Blockes SERVICES {} dann, wenn man später Postfix als MTA einsetzt will: Postfix kann seine Mails lokal auf demselben System (Socket !) per LMTP-Protokoll an den Cyrus-IMAP -Server und dessen Mailboxen übergeben. Beachte: Die LMTP-Socket-Bereitstellung wird durch die gestartete Cyrus IMAP-Instanz selbst vorgenommen. Es ist keine zusätzliche Paketinstallation erforderlich. (In der Postfix-Konfiguration muss dann allerdings auch genau auf den hier angegebenen Socket Bezug genommen werden.)

Wichtig für die Authentifizierung im Rahmen eines User-Zugriffs auf den IMAP-Dienst ist folgende Konfigurationsdatei für den IMAP-Dämon:


/etc/imapd.conf:

# Configuration
# ************
configdirectory: /var/lib/imap
partition-default: /var/spool/imap
sievedir: /var/lib/sieve
 
servername: mycyrus
admins: cyrus
 
reject8bit: no
poptimeout: 10
timeout: 30
 
# DRAC
# ******
drachost: localhost
dracinterval: 0
 
# Quota und Autocreate
# ******************
quotawarn: 90
autocreatequota: 5242880
autocreateinboxfolders: Drafts|Sent|Trash|Junk|Spam
autosubscribeinboxfolders: Drafts|Sent|Trash|Junk|Spam
 
# LMTP
# ****
lmtp_overquota_perm_failure: no
lmtp_downcase_rcpt: yes
 
# SASL
# ****
allowplaintext: yes
sasl_pwcheck_method: saslauthd
sasl_mech_list: PLAIN LOGIN
 
# TLS (STARTTLS)
# *************
tls_key_file: /etc/ssl/servercerts/serverkey.pem
tls_cert_file: /etc/ssl/servercerts/servercert.pem
tls_ca_file: /etc/ssl/certs/YaST-CA.pem

Genauere Informationen zu den einzelnen Parametern findet man unter den man-Seiten:
http://linux.die.net/man/5/imapd.conf.
Oder hier: http://www.postfix-howto.de/v1/cyrus_conf.html
Ich gehe kurz auf einige der wichtigeren Einträge ein:

Drac deaktivieren
DRAC realisiert "pop/imap before smtp" unter Cyrus IMAP. Das wird hier nicht benötigt und durch "dracinterval: 0" deaktiviert.

Nutzung von SASL für die Authentifizierung
Cyrus IMAP nutzt das SASL-Framework zur Authentifizierung allein aufgrund der 3 Zeilen unter meiner Kommentarzeile "# SASL". Dabei werden eingehende Klartext-Passwörter zugelassen.
Dass der "saslauthd"-Dämon PAM nutzen soll, wird durch saslauthd's eigene Startup-Dateien auf dem Host geregelt. Beschrieben habe ich das in meinem oben zitierten Blog-Beitrag SASL mit PAM, SSSD, LDAP unter Opensuse . Dort findet man auch,

  • wie man PAM zur Nutzung von SSSD einstellen muss und
  • wie man SSSD konfigurieren muss, damit ein LDAP-Server als Auth-Backend über eine TLS-gesicherte Verbindung genutzt werden kann.

Bereitstellung von STARTTLS für den sicheren Zugang zum IMAP-Dienst
Um das potentielle Sicherheitsloch mit den Klartext-Passwörtern zu kompensieren, soll der Cyrus-Server TLS-Verschlüsselung für Clients anbieten (STARTTLS). Dies geschieht über die Einträge unterhalb meiner "# TLS"-Kommentarzeile.

Wie gesagt: Die host-spezifischen TLS/SSL-Schlüssel-Dateien sind von einer zentralen YaST-CA erstellt worden. Die zugehörigen Dateien wurden exportiert und auf "mycyrus" als "Common Server Certificate" importiert. Dann landen die Schlüssel-Dateien mit den angegebenen Standard-Namen und passenden Rechten in den angegebenen Verzeichnissen.

Wichtig ist, die Datei "YaST-CA.pem" der eigenen CA für SSL/TLS gesicherte Verbindungen auch auf allen späteren IMAP-Clients im eigenen Netzwerk bereitzustellen - und dort unter dem jeweiligen Verzeichnis "/etc/ssl/certs" (Opensuse-spezifisches Standard-Verzeichnis). Diese Datei wird später auf den Clients für die Prüfung der Vertrauenswürdigkeit des Zertifikats benötigt. (Natürlich kann es sein, dass die öffentliche Zertifikatsdatei für die eigene oder eine externe CA einen anderen Dateinamen als YaST-CA.pem aufweist. Unter anderen Linux-Distributionen ist ggf. auch ein anderer Pfad zu wählen, an den dann die Einstellungen in der imapd.conf anzupassen sind.)

Modifizierte Anzeige des Posteingangs
Die Mailverzeichnisse des Cyrus IMAP-Servers sind hierarchisch aufgebaut. Unter "/var/spool/imap/user" werden wir später für unsere Testuserin "tarja" explizit Mail-Verzeichnisse anlegen. Das Verzeichnis für den Posteingang ist dabei im Filesystem identisch mit "/var/spool/imap/user/tarja". IMAP-intern wird die Mailbox unter "user.tarja" verwaltet. Unter diesem Knoten werden dann typische weitere Subverzeichnisse für "Drafts", "Spam", "Sent" etc. angelegt. Mail Clients wie Kmail zeigen diese Hierarchie an Mailfoldern auch genauso an. Mich stört dabei regelmäßig die übergeordnete Rolle des Posteingangs. Um das (spezielle) Posteingangsverzeichnis auf der gleichen Ebene wie die eigentlich untergeordneten Ordner anzeigen zu lassen, nutzt man die Option

altnamespace: yes

Quota und Autocreate-Optionen
Der aufmerksame Leser mag sich über die automatische Quota-Zuteilung von 5GB an neue User wundern. (Der numerische Wert von "autocreatequota" bezieht sich auf die Einheit KB). Würde er die User kennen, die sich auf meinem System tummeln werden, würde er sich nicht mehr wundern. Aber hier muss jeder selber wissen, was er sich und seinen Usern zugestehen will.
Zu den Autocreate-Optionen für die automatische Anlage neuer Verzeichnisse bei Posteingang für User, für die bislang noch keine Mailbox angelegt wurde, und zu den erforderlichen Voraussetzungen für die automatische Anlage muss ich auf die Literatur verweisen.

Ein paar Checks und Vorbereiten des "cyrus"-Users

Wir prüfen vorab, dass folgende Services ordnungsgemäß gestartet sind und fehlerfrei laufen:

  • systemctl status saslauthd.service
  • systemctl status sssd.service

Beide Services sollten für den automatischen Start durch systemd auf dem IMAP-Server bereits "enabled" sein oder spätestens jetzt werden.

Ferner testen wir, wie im früheren Beitrag beschrieben, dass "saslauthd" im Kern funktioniert.

mycyrus:/etc/init.d # testsaslauthd -u tarja -p TARJAPWD
0: OK "Success."
mycyrus:/etc/init.d #

Ferner prüfen wir, ob ein Login auf dem System "mycyrus" für "tarja" möglich ist - z.B. über ssh von einem Remote-System; SSH muss dafür auf "mycyrus" aktiviert sein. Der Login ist möglich, wenn man auf "mycyrus" alles so eingerichtet hat, wie ich das im oben zitierten Artikel SASL mit PAM, SSSD, LDAP unter Opensuse vorgegeben hatte:

user@tux:~> ssh -X tarja@mycyrus
Password:
Last login: Wed Mar 12 18:21:16 2014 from tux.anraconx.de
Have a lot of fun...
tarja@mycyrus:~>

Passwort und TLS-Gruppe für den User "cyrus" setzen
Der User "cyrus" wurde zwar bei der IMAP-Installation automatisch als Mitglied der Gruppe "mail" angelegt. Aber wir sollten nun sein Passwort mit einem Tool unserer Wahl (z.B. YaST oder usermod) setzen. Der Platzhalter für das "cyrus"-Passwort ist nachfolgend CYRUSPWD.

Zudem: Sowohl dieser User "cyrus" als später auch der User "postfix" benötigen für TLS den lesenden Zugang zum privaten SSL-Key. Ich will diese User aber natürlich nicht der root-Gruppe zuordnen. Mein Lösungsansatz ist, eine Gruppe "tls" einzurichten, der auf dem IMAP-Server nur die User "cyrus" und "postfix" angehören. Ich setze dann die Rechte wie folgenden Zeilen entnehmbar:

mycyrus:/etc/ssl/servercerts # ls -l
total 8
-rw-r--r-- 1 root root 1809 Jan 18 15:03 servercert.pem
-rw-r----- 1 root tls 1704 Jan 18 15:03 serverkey.pem

Damit genug für den ersten Artikel dieser Serie. Was haben wir bis jetzt erreicht? Wir haben bislang nur Konfigurationsdateien vorbereitet und gecheckt, dass für eine Testuserin eine saslauthd-basierte Authentifizierung über einen LDAP-Server funktioniert. Leider kann sich unsere Testuserin auf dem geplanten IMAP-Server-Host auch einloggen. Wollen wir das? Klare Antwort: Nein ! Im nächsten Beitrag
Cyrus IMAP mit SASL, PAM, SSSD und LDAP – Opensuse 12.3/13.1 – II
müssen wir daher die Grundeinstellungen des Authentifizierungsverfahrens zuerst noch etwas modifizieren.