基于ldap的Dovecot Pigeon孔筛网代理

Question

对于即将到来的IMAP迁移，我需要代理我的用户。我计划使用Nginx代理IMAP和POPS流量，并根据LDAP属性(mailHost)指导它们，但Nginx不能使用代理筛网。

Dovecot PigeonHole似乎能够代理筛分协议。我试图将其配置为避免LDAP身份验证，因为IMAP存储上已经存在身份验证。暂时不起作用。这是我的公寓，下面是这个医生：

Pasword DB额外字段

Dovecot代理

/etc/dovecot/dovecot.conf：

protocols sieve
!include conf.d/*.conf

/etc/dovecot/con.d/90-sieve.conf

plugin {
  sieve = file:~/sieve;active=~/.dovecot.sieve

/etc/dovecot/con.d/10-Auth.conf

auth_mechanisms = plain login
!include auth-ldap.conf.ext

/etc/dovecot/con.d/auth-ldap.conf

passdb {
  driver = ldap
  args = /etc/dovecot/dovecot-ldap.conf.ext
}
userdb {
  driver = ldap
  args = /etc/dovecot/dovecot-ldap.conf.ext
}

/etc/dovecot/dovecot-ldap.conf.etc

hosts = xxx.xxx.xxx.xxx
ldap_version = 3
base = ou=myOU, dc=domain, dc=example
pass_attrs = \
  =user=%{ldap:user}, \
  =password=, \
  =proxy=y, \
  =host=%{ldap:mailHost}

下面是日志中的错误，当我试图使用修改一个筛子脚本时：

user=<>，rip=xxx.xxx，lip=xxx.xxx，session=

我肯定在某个地方错过了一个场景。现在我还没找到。

任何帮助都将不胜感激。

Answer 1

好吧，我发现问题了

将密码代理到IMAP后端:/etc/dovecot/dovecot-ldap.conf.etc：

hosts = xxx.xxx.xxx.xxx
ldap_version = 3
base = ou=myOU, dc=domain, dc=example
pass_attrs = \
  =user=%{ldap:user}, \
  =password=, \
  =proxy=y, \
  =nopassword=y, \
  =host=%{ldap:mailHost}
  =port=2000

医生说：

如果不希望代理本身进行身份验证，则可以将其配置为使用任何给定密码成功。您可以通过返回一个空密码和nopassword字段来实现这一点。

之所以需要端口2000，是因为仍在生产中的IMAP后端运行的是一个旧版本的timsieved (cyrus筛网实现)。

然后，后端正在等待简单的身份验证。默认情况下，在Dovecot中禁用它，所以使用:/etc/dovecot/conf.d/etc/dovecot/conf.d激活它：

disable_plaintext_auth = no
auth_mechanisms = plain login
!include auth-ldap.conf.ext

这降低了安全性，因此，我将限制对端口2000的访问权到dovecot鸽子洞代理。