Postfix + LDAP - co s výpadkem LDAP

Postfix + LDAP - co s výpadkem LDAP
« kdy: 23. 11. 2023, 11:38:57 »
Ahojte,
snažím se unifikovat naše loginy pomocí LDAP/SSO a řeším, že LDAP budeme mít v naší síti a emaily máme na VPS z důvodu 24/7 funkčnosti.
Co se děje s postfixem, když je LDAP offline? Cachuje si to nějak? Jde mi čistě o to, aby mi postfix nezačal blokovat delivery, protože nenašel recipienta v DB, protože LDAP je offline.
Jde mi čistě o receive. Počítám, že Dovecot bude mrtvej a nebude se dát přihlásit, ale to nám stejně bude jedno, protože internet v naší lokální síti fungovat nejspíš nebude, když nebude fungovat LDAP.

Možná bych se asi zeptal více obecně. Co se děje se službami, když je LDAP mrtvé - nedá se nikde přihlašovat nebo obecně je standardem to nějak cachovat?


RDa

  • *****
  • 2 567
    • Zobrazit profil
    • E-mail
Re:Postfix + LDAP - co s výpadkem LDAP
« Odpověď #1 kdy: 23. 11. 2023, 11:49:23 »
Cekal bych ze to nebude prijimat, ale vrati to temporary error.

LDAP cache je na 30sec - pokud je lookup identicky, ale spis se to smeruje k jejimu nepouzivani.

To zkus v test prostredi, ne? :)

McFly

  • *****
  • 583
    • Zobrazit profil
    • E-mail
Re:Postfix + LDAP - co s výpadkem LDAP
« Odpověď #2 kdy: 23. 11. 2023, 12:08:52 »
Máme usery v MySQL a když shodím DB, při pokusu o doručení dostávám temp error (451):

Citace
Nov 23 12:05:30 testmail postfix/smtpd[9880]: NOQUEUE: reject: RCPT from *.cz[x.x.x.x]: 451 4.3.0 <*@example.org>: Temporary lookup failure; from=<*> to=<*@example.org> proto=ESMTP helo=<*>

Dle mého to bude obdobné.

Bugsa

  • ***
  • 122
    • Zobrazit profil
    • E-mail
Re:Postfix + LDAP - co s výpadkem LDAP
« Odpověď #3 kdy: 23. 11. 2023, 13:42:48 »
Udělal bych to jednodušeji. Nastavil bych Postfix aby vůbec usery neřešil, ale ptal se na ně Dovecotu - aby Postfix odesílal e-maily přes LMTP do Dovecotu (virtual_transport = lmtp:unix:private/dovecot-lmtp).

V Dovecotu si pak můžeš udělat USERDB a PASSDB lookup do LDAPu (to asi předpokládám máš kvůli loginu) a můžeš nastavit ještě další USERDB lookup který bude usery číst ze souboru/databáze. Tento soubor/databázi s usery si budeš cronem automaticky udržovat čtením seznamu userů z LDAPu aktuální a e-maily pak půjdou přijímat i bez LDAPu.
« Poslední změna: 23. 11. 2023, 13:47:25 od Bugsa »

Re:Postfix + LDAP - co s výpadkem LDAP
« Odpověď #4 kdy: 23. 11. 2023, 14:23:11 »
S postfixem neporadím, ale řeším AD/LDAP/Radius ověřování pro VPN servery a tam to řeším tak, že dělám lokální repliku LDAP/AD a ověřování pak probíhá na localhostu nebo jde OpenLDAP nastavit do režimu cachující proxy a tam jde nastavit delší životnost pro záznamy v cache.


Re:Postfix + LDAP - co s výpadkem LDAP
« Odpověď #5 kdy: 23. 11. 2023, 16:12:27 »
LDAP standart je docela moderni a uz dopredu pocita s replikaci. LDAP servery by se mely umet samy replikovat(master-slave) a klientske URL podporuje format, kdy zadas vice serveru, a klient by se mel pripojit k tomu serveru, ktery je zrovna online.

Horsi uz to muze byt s implementaci na strane klienta(openldap-lib), kdy se muze stat ze uz otevrene TCP spojeni zustane viset do nekonecna a klientska knihovna si toho nevsimne. Ztrata TCP spojeni do LDAP by ale mela byt z pohledu Postfixu transparentni, a klientska knihovna by se mela pripojit k LDAP serveru, ktery je zrovna online.
 

M Z

Re:Postfix + LDAP - co s výpadkem LDAP
« Odpověď #6 kdy: 23. 11. 2023, 18:36:22 »
Mame postfix + ldap(FreeIPA) uz nekolik let a je to celkem bezproblemove. Diky IPA replikaci neni problem s vypadky jednotlivych ldap serveru. Kdyz je ldap nedostupny vraci postfix 4xx error a je na odesilajicim serveru aby to zkusil znovu, takze zrovna tohle neni velky problem. Mame na ldapu povesene vse co jde webservery, mariadb, radius, dhcp ,dns i login na linux servery vse provozujeme bez jakekoliv ldap cache. Spolehame na replikaci a uz nekolik let jsme zadny vypadek, za ktery by mohl ciste ldap nemeli. V predchozich verzich(tak pet a vice let zpet) byl obcas s IPA ldap replikaci problem, ale ted uz to frci naprosto bez problemu.

Re:Postfix + LDAP - co s výpadkem LDAP
« Odpověď #7 kdy: 24. 11. 2023, 00:10:32 »
Díky všem za rady.
S replikací počítám, ale mám tolik práce, že se k ní dostanu nejdříve za dva měsíce.
Asi to vyzkouším prozatím tak, jak psal Bugsa.

Re:Postfix + LDAP - co s výpadkem LDAP
« Odpověď #8 kdy: 24. 11. 2023, 12:55:40 »
Jak už bylo zmíněno, v tomto případě je asi nejlepší řešení lokální replika, vzhledem k tomu, že to je mimo síť, tak pouze atributy relevantní potřebě Postfixu (OpenLDAP podporuje, nastavení syncrepl je až přímočaře jednoduché, rozhodně bych investoval čas spíše do tohoto než do replikace dat do souboru). Jen pro doplnění, Postfix má i memcached klienta, takže pro krátké výpadky lze použít i toto; standardní ttl je 3600, takže pokud někdo dostal za poslední hodinu mail, bude v cache (ostatní si holt počkají)...

Re:Postfix + LDAP - co s výpadkem LDAP
« Odpověď #9 kdy: 25. 11. 2023, 23:46:05 »
LDAP standart je docela moderni a uz dopredu pocita s replikaci.

Promiňte, ale slovo moderní bych pro protokol s téměř třicetiletou historií asi nepoužil. Spíš vyzrálý.

LDAP vznikal na univerzitě v Michiganu od roku 1993 jako odlehčená varianta pro dotazování se do adresářové služby X.500. Odtud slůvko Lightweight v názvu protokolu. Plnohodnotná implementace z Michiganu je datována 1996. Ve stejném roce vznikl též iPlanet Directory Server. OpenLDAP spatřil světlo světa v roce 1998.

RFC 2251 popisující soudobou verzi LDAPv3 je z roku 1997.

A dopředu počítá s replikací?

Vím pouze o RFC 4533 (1996), které nikdy nepřekročilo svůj experimentální status a ani na něj nebylo nijak dále navázáno. Pokud je mi známo, každý výrobce si řeší replikaci po svém. Ani se nikdo nechlubí schopností replikace s produktem jiného výrobce. Pokud tedy neuvažujeme export/import dat ve standardizovaném formátu LDIF.

A abych napsal něco k tématu: pokud se i při fungující replikaci obáváte možných delších výpadků, pak se připojuji k názoru pana Kriegela na zavedení lokální repliky. Nebo hloupý (ale účinný) postup pravidelné extrakce informací z LDAPu a jejich transformaci do klasických konfiguračních souborů postfixu.