I de sidste dage har jeg med svingende held forsøgt at opsætte forummets mailserver, og en ting der bliver ved med at gå igen er 'realm'.
Brugt politisk ved jeg selvfølgelig godt hvad det dækker over, men både Postfix og Dovecot bruger begrebet, og i den sammenhæng er jeg lidt på bar bund. Søgninger på nettet, i manualer osv. har ikke givet noget, så jeg spørger i stedet her: Hvad er 'realm', og hvordan bør det sættes op (eller bruges) på en mailserver?
Mailservere og begrebet / konceptet 'realm'
-
- Admin
- Indlæg: 3652
- Tilmeldt: 5. mar 2010, 19:58
- IRC nickname: nicky
- Geografisk sted: 192.168.20.42
-
- Indlæg: 5095
- Tilmeldt: 27. apr 2008, 02:16
- IRC nickname: lars_t_h
- Geografisk sted: Fyn
Re: Mailservere og begrebet / konceptet 'realm'
TitanusEramius skrev:I de sidste dage har jeg med svingende held forsøgt at opsætte forummets mailserver, og en ting der bliver ved med at gå igen er 'realm'.
Brugt politisk ved jeg selvfølgelig godt hvad det dækker over, men både Postfix og Dovecot bruger begrebet, og i den sammenhæng er jeg lidt på bar bund. Søgninger på nettet, i manualer osv. har ikke givet noget, så jeg spørger i stedet her: Hvad er 'realm', og hvordan bør det sættes op (eller bruges) på en mailserver?
Kender heller ikke begrebet, men googlede lidt rundt omkring:
http://wiki.dovecot.org/Authentication/Mechanisms/DigestMD5 (bemærk Dovecot v1!), så realm ser ud til at have noget at gøre med brugernavn+kodeord godkendelsesprocessen.
At de nævner PAM (Pluggable Authentication Modules), som bruges i Linux til godkendelse af bruger login, bekræfter min formodning.
-> gav linket til deres Wiki:
http://wiki2.dovecot.org/FrontPage?action=show&redirect=ForSide
-> som gav linket (i Troubleshooting afsnittet, scroll ned):
http://wiki2.dovecot.org/WhyDoesItNotWork
hvordan sættes det op?
Dovecot konfiguration:
http://wiki2.dovecot.org/Authentication
Bemærk at MD5crypt er deprecated/EOLed af forfatteren af algoritmen(Poul Henning Kamp), da den algoritme er alt for usikker:
Brug bcrypt: http://en.wikipedia.org/wiki/Bcrypt, fx.
/Lars
Jeg er Software ingeniør (Diplomingeniør) i Informationsteknologi og indlejede systemer, hvor indlejrede systemer er computer (microcontroller) + elektronik i for eksempel et TV, en router, en vaskemaskine og den slags
-
- Admin
- Indlæg: 3652
- Tilmeldt: 5. mar 2010, 19:58
- IRC nickname: nicky
- Geografisk sted: 192.168.20.42
Re: Mailservere og begrebet / konceptet 'realm'
Jeg tror at du har helt ret.
Efter at have læst de linkede sider og konfigurationsfilerne, så virker det til at dække over hvor stort et område ens adgangsprivilegier skal dække over. Altså 0, 1 eller flere domæner.
Jeg fik i øvrigt mailserveren op og køre tidligere idag Konfigurationen siger at kun lokale netværk kan sende, og når man logger på webmail bliver man en del af localhost, så realm= skulle bare være tom i det her tilfælde.
Tak for advarslen med md5, sådan som den bliver anbefalet på nettet, skulle man ellers tro at den var sikker nok.
Efter at have læst de linkede sider og konfigurationsfilerne, så virker det til at dække over hvor stort et område ens adgangsprivilegier skal dække over. Altså 0, 1 eller flere domæner.
Jeg fik i øvrigt mailserveren op og køre tidligere idag Konfigurationen siger at kun lokale netværk kan sende, og når man logger på webmail bliver man en del af localhost, så realm= skulle bare være tom i det her tilfælde.
Tak for advarslen med md5, sådan som den bliver anbefalet på nettet, skulle man ellers tro at den var sikker nok.
-
- Indlæg: 5095
- Tilmeldt: 27. apr 2008, 02:16
- IRC nickname: lars_t_h
- Geografisk sted: Fyn
Re: Mailservere og begrebet / konceptet 'realm'
TitanusEramius skrev:Jeg tror at du har helt ret.
Efter at have læst de linkede sider og konfigurationsfilerne, så virker det til at dække over hvor stort et område ens adgangsprivilegier skal dække over. Altså 0, 1 eller flere domæner.
Jeg fik i øvrigt mailserveren op og køre tidligere idag Konfigurationen siger at kun lokale netværk kan sende, og når man logger på webmail bliver man en del af localhost, så realm= skulle bare være tom i det her tilfælde.
Tak for advarslen med md5, sådan som den bliver anbefalet på nettet, skulle man ellers tro at den var sikker nok.
md5 algoritmen er ikke det samme som md5crypt algoritmen. md5crypt algoritmen bruger md5 algoritmen.
Det gode ved bcrypt er at man kan ændre challenge, hvilket er hvor lang det tager at køre algoritmen.
Det er smart, for når hardwaren er blevet 2x hurtigere, så ganger du bare challenge med 2 og så tager det lige lang tid som før.
Da du naturligvis ikke kender brugerens kodeord kan challenge naturligvis først ændres, når brugeren logger ind, efter at det er bestemt at challenge skal forhøjes. Først ved login kender man brugerens plaintekst kodeord, og kan så aktivere den nye challenge for brugeren og beregne den nye brypt hashsum.
En anden smart ting er at bcrypt gemmer bcrypt hash, salt, og challenge i den samme tekststreng, ås man fra en database kan nøjes med at kun at få fat i en tekststreng (via brugeren brugernavn/eller email adresse, eller hvad man nu vælger at identificere brugeren på.
md5crypt kan ikke ændre i challenge, og er så svag at et 8-cifret svært-at-gætte kodeord kan brute-force gættes på mellem 2 og 3 dage.
/Lars
Jeg er Software ingeniør (Diplomingeniør) i Informationsteknologi og indlejede systemer, hvor indlejrede systemer er computer (microcontroller) + elektronik i for eksempel et TV, en router, en vaskemaskine og den slags