<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii"><meta name=Generator content="Microsoft Word 15 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:"Freestyle Script";
        panose-1:3 8 4 2 3 2 5 11 4 4;}
@font-face
        {font-family:"DejaVu Sans";
        panose-1:2 11 6 3 3 8 4 2 2 4;}
@font-face
        {font-family:"JetBrains Mono";
        panose-1:2 11 5 9 2 1 2 5 0 4;}
@font-face
        {font-family:STXingkai;}
@font-face
        {font-family:"\@STXingkai";}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri",sans-serif;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link="#0563C1" vlink="#954F72" style='word-wrap:break-word'><div class=WordSection1><p class=MsoNormal>Hi guys, we're using Dovecot/Postfix here for our mail system. I'd like to switch the `passdb` authentication on Dovecot from PAM over to a custom implementation. We'd prefer to have some sort of script check the password with an external IAM provider via HTTP. Is there any way we can accomplish this?<o:p></o:p></p><p class=MsoNormal>The idea is to have Dovecot somehow call a script or send a username/password to some service, which checks the username/password against the identity provider and returns a “yes/no” back to Dovecot.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>`checkpassword` seems like it <i>may</i> work but I see no documentation on its API.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><div style='mso-element:para-border-div;border:none;border-bottom:solid windowtext 1.5pt;padding:0in 0in 1.0pt 0in'><p class=MsoNormal style='border:none;padding:0in'><o:p> </o:p></p><p class=MsoNormal style='border:none;padding:0in'><o:p> </o:p></p></div><p class=MsoNormal><span style='font-size:14.0pt;font-family:"Freestyle Script"'>Matthew R</span><span style='font-family:"JetBrains Mono"'>, AD, FSEN, FSO, FSCR<o:p></o:p></span></p><p class=MsoNormal><span style='font-family:"JetBrains Mono"'>Chief Director of Engineering & Chairman of the Board of Directors<o:p></o:p></span></p><p class=MsoNormal><span style='font-family:"JetBrains Mono"'>Library of Code sp-us<o:p></o:p></span></p><p class=MsoNormal><span style='font-family:"JetBrains Mono"'><a href="matthew@staff.libraryofcode.org">matthew@staff.libraryofcode.org</a><o:p></o:p></span></p><p class=MsoNormal><o:p> </o:p></p></div></body></html>