Fórum Root.cz
Hlavní témata => Server => Téma založeno: Darkhunter 22. 11. 2025, 12:25:10
-
Zdravím,
už nějakou dobu řeším pro mě dost zapeklitou situaci.
Pro správu uživatelů mám FreeIPA pro LDAP, kde před tím mám buď Keycloak nebo Radius.
Jak Keycloak, tak Radius mám nastavené na to, že 24 hodin cachují přihlášení/session, aby se pokaždé nemusely přihlašovat do FreeIPA, kde mám povolené jen heslo + 2FA.
Problém je ale s tím, že chci mailserver zmigrovat do Stalwartu a byť ten umožňuje velké množství napojení na user directory, tak mohu použít jen LDAP. Oauth2/OIDC použít nemohu, protože Thunderbird je nepodporuje. Každopádně teď mám problém, že při jakékoliv manipulaci emailu to po mně chce nové heslo (samozřejmě, když se každých 30 sekund mění) a já bych potřeboval tady stejně cachovat 24 hodin přihlášení, ale to mi Stalwart neumožňuje.
Tzn tu potřebuji přidat zase nějakou mezivrstvu. Koukal jsem na nějaké LDAP proxy a žádný z těchto utilitek tohle neumí.
Tak jsem se chtěl zeptat, jestli nemáte nějaký lepší nápad nebo nevíte o nějaké té mezivrstvě, co by splňovala moje požadavky. Chtěl jsem to zkusit ještě tady, než si na to napíšu tu mezivrstvu sám.
Díky za rady!
-
Stalwart umi app paswords/aplikacni hesla. Ale zrovna v posledni verzi 0.14.x to pry v kombinaci s LDAP zlobi.
https://github.com/stalwartlabs/stalwart/pull/2423 (https://github.com/stalwartlabs/stalwart/pull/2423)
Do Thunderbirda by mela jit OAuth configurace pro 3rd party IdM doplnit nejak pres primou editaci konfiguraku.
Nove se objevil i add-on, ale jeste jsem ho nezkousel.
https://github.com/raa-org/thunderbird-custom-idp (https://github.com/raa-org/thunderbird-custom-idp)
-
Stalwart umi app paswords/aplikacni hesla. Ale zrovna v posledni verzi 0.14.x to pry v kombinaci s LDAP zlobi.
https://github.com/stalwartlabs/stalwart/pull/2423 (https://github.com/stalwartlabs/stalwart/pull/2423)
Do Thunderbirda by mela jit OAuth configurace pro 3rd party IdM doplnit nejak pres primou editaci konfiguraku.
Nove se objevil i add-on, ale jeste jsem ho nezkousel.
https://github.com/raa-org/thunderbird-custom-idp (https://github.com/raa-org/thunderbird-custom-idp)
Plugin do Thunderbirdu použít nemůžu. To by nám šíleně zesložitilo onboarding.
Ohledně těch app passwordů ve Stalwartu jsem pochopil, že to pak nemůže používat LDAP. Ale čistě závislé na interním directory. Tzn bych musel ve Stalwartu ty uživatele manuálně vytvářet a to nechci. Ideální by bylo, kdyby na self-service se používal LDAP a pak na emaily už ten app password.
Každopádně díky za info.
-
Nevim jestli jsem pochopil dotaz :) ale kouknul bych na OpenOTP, ten má nějakou formu LDAP bridge - https://www.rcdevs.com/products/ldproxy/
-
Resili jsme neco podobneho(take mame IPA), ale na nic jsme neprisli. I kdyby se vam pres nejaky addon podarilo pridat oauth do Thunderbirdu, co budete delat s Android a nebo Apple klienty. To u vas nikdo nechce cist emaily na telefonu? IMAP a 2fa proste nejsou kamaradi ;).
-
Nevim jestli jsem pochopil dotaz :) ale kouknul bych na OpenOTP, ten má nějakou formu LDAP bridge - https://www.rcdevs.com/products/ldproxy/
Bohužel potřebuju přesný opak. Mám heslo + 2FA a do emailu potřebuju buď zadávat bez 2FA nebo to 2FA mít nějakou dobu cached.
-
Resili jsme neco podobneho(take mame IPA), ale na nic jsme neprisli. I kdyby se vam pres nejaky addon podarilo pridat oauth do Thunderbirdu, co budete delat s Android a nebo Apple klienty. To u vas nikdo nechce cist emaily na telefonu? IMAP a 2fa proste nejsou kamaradi ;).
No já bych tou cestou Oauth2 rád šel, ale vím, že je to teď nemožné.
Tak to vypadá fakt na implementaci nějaké LDAP cache.
-
FYI: Thunderbird Oauth2 podporuje už leta, jen tak se s ním jde stahovat třeba pošta z gmailu...
Nějaké info tu: https://support.mozilla.org/en-US/kb/microsoft-oauth-authentication-and-thunderbird-202 (https://support.mozilla.org/en-US/kb/microsoft-oauth-authentication-and-thunderbird-202)
-
FYI: Thunderbird Oauth2 podporuje už leta, jen tak se s ním jde stahovat třeba pošta z gmailu...
Nějaké info tu: https://support.mozilla.org/en-US/kb/microsoft-oauth-authentication-and-thunderbird-202 (https://support.mozilla.org/en-US/kb/microsoft-oauth-authentication-and-thunderbird-202)
On on tam má Hardcoded asi pět hlavních providerů emailů. Mimo ně to bohužel nejde.
-
FYI: Thunderbird Oauth2 podporuje už leta, jen tak se s ním jde stahovat třeba pošta z gmailu...
Nějaké info tu: https://support.mozilla.org/en-US/kb/microsoft-oauth-authentication-and-thunderbird-202 (https://support.mozilla.org/en-US/kb/microsoft-oauth-authentication-and-thunderbird-202)
On on tam má Hardcoded asi pět hlavních providerů emailů. Mimo ně to bohužel nejde.
Aha, tak to jsme nevěděl. Díky za osvětu.