[Postfixbuch-users] smtp sasl authentication

Patrick Ben Koetter p at state-of-mind.de
Mi Dez 14 17:30:40 CET 2005 

* Uwe Hering <uhering2 at hhrm.de>:
> Hallo,
> 
> hier dient ein zentraler Postfix (2.1.1) als Gateway zur Einlieferung von 
> Mails an einen Exchange-Server (Version gerade nicht parat).
> 
> Dies soll nun mit Authentisierung geschehen, was grundsätzlich auch 
> funktioniert.
> 
> Ein paar kleine Haken gibt es aber schon noch:
> 
> 1.) AUTH
> 
> Der Exchange sendet:
> 
> 250-AUTH GSSAPI NTLM LOGIN
> 250-AUTH=LOGIN
> 
> Da Postfix auch die "AUTH=" explizit interpretiert, fällt offensichtlich nur 
> "LOGIN" heraus. Dies scheint mir ein Konfigurationsproblem bei Exchange zu 
> sein - weiß jemand, ob man das dort beheben kann?

Das ist/war auch ein Postfix Problem, denn Postfix hat bis vor kurzem bei mehr
als einer AUTH line alle vorhergendende weggeworfen. Das kannst Du mit einem
aktuellen snapshot in den Griff kriegen.

Unerwünschte Mechanismsn kannst Du dann mit smtp_sasl_mechanism_filter
wegfiltern.

> 2.) GSSAPI
> 
> Wenn Exchange sich dann mal ordentlich melden sollte und auch GSSAPI korrekt 
> anbietet, kann ich dem Postfix smtp beibringen, GSSAPI ausschließlich mittels 
> einer keytab zu benutzen?
> 
> Lt. Manpage scheint dies nicht zu gehen (man 5 postconf: "If a remote host or 
> domain has no username:password entry, then the Postfix SMTP client will not 
> attempt to authenticate to the remote host").
> 
> Ohne username:password geht es also offensichtlich nicht, aber vielleicht 
> doch, indem statt username:password dort der Service Principal steht.
> 
> Hat jemand Erfahrungen?

Ich nicht.


> 3.) Eine letze Überlegung: während der smptd 
> normalerseise /usr/lib/sasl2/smtpd.conf nutzt, würde man denken, der smtp 
> nutzt /usr/lib/sasl2/smtp.conf. Dem ist aber nicht so?

Eine smtpd.conf ist nur dann notwendig, wenn ein SASL password verification
service konfiguriert werden muss, weil dieser Service Daten übergeben bekommt,
die er in einem authentication backend verifizieren soll.

In Deinem Fall ist das aber nicht so. Hier wird nur der smtp client tätig und
libsasl muss hier nur die username:password-Kombination entsprechend der
Strategie des gewählten Mechanismus aufbereiten. Ein password verification
service kommt nur bei server-seitigem SMTP AUTH zum Einsatz. Deshalb benötigst
Du auch keine conf-Datei für dem smtp-Client.

Alle SMTP AUTH Konfigurationseinstellungen für den smtp-Client stellst Du in
main.cf ein.

p at rick

-- 
Das »Postfix«-Buch
<http://www.postfix-buch.com>
saslfinger (debugging SMTP AUTH):
<http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>

Mehr Informationen über die Mailingliste Postfixbuch-users