데스크톱 응용 프로그램의 오픈 소스 IMAP 서버에서 싱글 사인온 (SSO)?

Question

저는이 주제에 관해 많이 읽었지만 해결책을 찾지 못했습니다. 나는 내가 무엇을 얻었고, 내가 시도한 것을 조금 보여주고 싶었다.

우리 회사의 Windows 사용자는 Windows Server 2003에있는 Active Directory에 의해 인증됩니다. CentOS 6에 설치된 오픈 소스 메일 서버 (예 : Postfix with Cyrus Imap)를 사용합니다.

목표는 사용자가 Thunderbird, Outlook 등과 같은 데스크톱 응용 프로그램에서 자신의 메일을 확인하도록하는 것입니다. 다시 암호를 입력 할 필요가 없습니다. (sso). 내가 해봤 것들 중

은 Windows의 경우 2003 년

일부 단계가 시작된다 윈도우 서버를 사용하여 KDC로 Postifix, Cyrsus IMAP, 삼바, librerias 드 clientes 커버 로스, GSSAPI, 썬더 버드, Kerberos를 사용하는 것이 었습니다 이 페이지 : enter link description here

심지어이 포럼 whireshark을 캡처 진행을 진행할 수 없게 부탁드립니다.

enter link description here

가 지금은 다른 대안을하려고 생각하고 있어요. NTLM을 사용하지만 데스크탑 응용 프로그램이 아닌 웹에서 액세스 할 수있는 항목이 있습니다.

나는이 문제에 대한 해결책이 없거나 어쩌면 내가 본 적이 없다고 생각합니다.

누구든지 뭔가를 얻을 수 있었습니까?, 그런 식으로 나는 다음과 같이하는 것이 좋습니다?.

도움을 주셔서 감사합니다.

Answer 1

당신이하려는 일은 완벽하게 가능합니다. 나는 그 모든 조각들이 나 자신과 일하는 것과 비슷하거나 비슷하다. 설치 때문에 KfW를 설치하고 GSSAPI DLL을 사용하여 Thunderbird를 작동 시켰지만 SSPI (Windows 기본 Kerberos 공급자)를 사용할 수있는 옵션이 있습니다. 따라서이 방법을 사용해도됩니다.

내가해야 할 첫 번째 일은 Kerberos가 Cyrus와 Postfix로 작업하는 것입니다. imber/hostname @ DOMAIN 및 smtp/hostname @ DOMAIN과 같은 Kerberos 서비스 주체를 가져와야합니다. setspn.exe를 사용하여 이들을 일부 AD 계정에 추가 할 수 있습니다 (누구나 할 수 있습니다). 그 명령에서 @DOMAIN 부분을 생략하십시오. 그런 다음 keytab이라는 Cyrus 및 Postfix에 제공 할 주요 키가 들어있는 파일이 필요합니다. ktpass.exe를 사용할 수 있지만 그게 끔찍한 프로그램입니다. 유닉스에서는 ktutil (MIT Kerberos라고 가정)을 사용하여 AD 계정의 비밀번호를 사용하여 일치하는 키탭을 만들 수 있습니다.

서버 측에서는 Cyrus의 경우 GSSAPI SASL 라이브러리가 설치되어 있어야합니다. imtest 프로그램 (Debian의 cyrus-client의 일부)을 사용하여 GSSAPI/Kerberos IMAP 인증을 테스트하고 가져올 수 있습니다. Unix에서 "kinit username @ DOMAIN"을 사용하여 Kerberos 자격 증명을 사용할 도메인 컨트롤러에서 가져옵니다. 필자는 Postfix가 아닌 Kerberos 용 센드 메일만을 설정했습니다.