AW: [Postfixbuch-users] saslfinger SMTP-AUTH sasldb2

Carsten Lucke luckec at tool-garage.de
So Aug 15 16:59:55 CEST 2004 

Hi Matthias,

ich habe das gleiche Setup vor kurzem eingerichtet (mach das mit Postfix 
auch noch nicht so lange).

Wenn der Cyrus gegen die sasldb authentifiziert, dann hast Du ja 
eigentlich schon fast alles fertig.

Läuft der saslauthd entsprechend S.213 o.?

Dann jetzt noch wie auf S.214 u. beschrieben in der main.cf die ganzen 
sasl_*** Dinge konfigurieren und dann bei smtpd_recipient_restrictions 
möglichst weit oben (hab ich ganz oben hingeschrieben) 
permit_sasl_authenticated hinzufügen.

Wenn ich jetzt nichts verschusselt habe, dann sollte das mit dem relayen 
nach einem Reload von Postfix klappen.

Carsten :)


Matthias Schaeffer wrote:
> Hallo Andreas,
> 
> Du bist ja in so einigen Listen aktiv und weißt wovon Du sprichst, mein
> Problem liegt momentan nicht im Detail sondern eher darin, den Zusammenhang
> nicht zu verstehen. The Big Picture...
> 
> Der User antonius meldet sich auf Port 143 an und wird via sasldb2
> authentifiziert, das kann gar nicht anders sein, den er hat kein
> Systemkonto. Funktioniert auch, und kann Ordner anlegen.
> 
> "sasl_pwcheck_mathod: auxprop" habe ich in imapd.conf zu stehen
> 
> Mit den Daten aus der sasldb2 soll er jetzt auch versenden dürfen. Geht das
> so, ja oder nein?
> 
> Wenn es so funktioniert, wer sagt den jetz Postfix: "der user hat sich
> gültig für den IMAP-Server angemeldet, er darf deshalb auch senden"?
> 
> Oder werden die selben Daten für SMTP wie für die IMAP-Server-Anmeldung im
> Mailclient eingetragen, und Postfix wird so konfiguriert, dass es damit
> wiederum die sasldb2 abfragt?
> 
> Mir ist also völlig schleierhaft, wer wen wann und warum abfragt zu
> Authentifizierung. Anmeldedaten verschlüsselt mit md5 oder nicht - erstmal
> egal um es einfacher zu halten.
> 
> Im Buch steht auf Seite 212ff, dass man mit rimap eine bequeme SMTP-IMAP
> Kombination der Nutzerkennung hat und Klartext kein Problem ist, wenn
> SMTP/IMAP auf dem gleichen Server laufen. Ich verstehe es so, dass der
> Austausch der Authentifizierungsdaten innerhalb SMTP<->IMAP unverschlüsselt
> laufen darf da gleicher Server. Was bedeutet es aber jetzt, dem saslauthd
> beim Start rimap zu übergeben?
> 
> Wenn ich mich dabei auch noch über die Fußnote auf Seite 162 "freuen" soll,
> werde ich des Wahnsinns fette Beute!
> 
> Also nochmal:
> 
> user meldet sich an und will SENDEN, wird von Postfix zu SMTP-Auth gezwungen
> oder aufgefordert, der kann das (gesicherte Kennwortauthentifizierung hat
> Häckchen) Postfix muß dafür -wie auch immer konfiguriert werden- aber was
> passiert dabei? Kann Postfix jetzt die sasldb2 nehmen, die auch IMAP bzw.
> der saslauthd nimmt?
> 
> user meldet sich an und will LESEN, dann übergibt doch der imapd die
> Anmeldung an den saslauthd und was passiert dann, nur vom Prinzip her?
> 
> Ich fahre jetzt erstmal 30 km mit dem Bike durchs Gelände vielleicht hilft's
> zusammen mit Erleuchtung seitens der Liste...
> 
> Gruß Matthias
> 
> Etwas Nachsicht bitte mit unseren Anfängern, ich beschäftige mich erst seit
> gut einem halben Jahr intensiv mit LINUX und Mailservern, aber als ich das
> Postfixbuch gekauft hatte, wußte ich als MCSE und M$-Junkie noch nichts von
> IMAP-Servern. Für die braucht es nämlich noch mal ein extra Büchlein.
> 
> 
> 
> 
> 
> 
> 
> 
> 
> 
>  
> 
>>Am Sonntag, 15. August 2004 13:57 schrieb Matthias Schaeffer:
>>
>>
>>>na ja, ein Script sagt mehr als 1000 Worte...
>>>
>>>ich verstehe es einfach nicht: habe suse 9.1 
>>
>>Minimal-Testinstallation 
>>
>>>auf der cyrus-imap läuft, ein Benutzer antonius steht in 
>>
>>der sasldb2, 
>>
>>>er hat KEIN Systemkonto, und es wurde mit cyradm ein Verzeichnis 
>>>erstellt (cm
>>>user.antonius) Postfix und IMAP-Server sprechen LMTP, macht 
>>
>>Yast in der
>>
>>>MTA-Konfiguration (Auslieferungsmodus: An Cyrus IMAP-Server).
>>>
>>>Ein "chown cyrus:mail /etc/sasldb2" und -frohlocken- Outlook freut 
>>>sich auf dem Server Ordner anlegen zu dürfen und Mails zu empfangen.
>>>
>>>Was mir einfach nicht in den Schädel geht: wie kriege ich den jetzt 
>>>Postfix als SMTP-AUTH-Server dazu, auf diese /etc/sasldb2 
>>
>>zu zugreifen 
>>
>>>um den guten antonius -nach Anmeldung!- auch in alle Welt senden zu 
>>>lassen? Das ist doch gerade der Sinn vons Ganze nur eine 
>>
>>Datenbank zur 
>>
>>>Authentifizierung und zwar Systemunabhängig zu haben. Braucht man 
>>>dieses rimap dazu? Wo liegt mein Denkfehler? Oder braucht 
>>
>>es zwingend 
>>
>>>eine eigene Authentifizierung wie in 
>>>http://postfix.state-of-mind.de/patrick.koetter/smtpauth/ bzw. 
>>>Easterhegg2004 beschrieben?
>>
>>Mit der sasldb bist Du in der Lage Mechanismen wie digest-md5 
>>bzw. cram-md5 zu 
>>benutzen. Im gegensatz zu plain bzw. login geht bei denen nicht das 
>>Klartextkennwort über die Leitung. Wenn Du rimap bzw. 
>>saslauthd benutzt, geht 
>>dieser Vorteil verloren. Also solltest Du auch mit Postfix die sasldb 
>>benutzen.
>>
>>Mach mal ein sasldblistusers2 und schau Dir die Einträge an. 
>>Der Teil nach dem 
>>@ ist der Realm, den musst Du in Postfix als 
>>smtpd_sasl_local_domain angeben.
>>
>>Dann noch am besten das chroot ausschalten (master.cf) oder 
>>bei Suse in der / etc/sysconfig/postfix (?) mit einem 
>>SuSEconfig hinterher.
>>
>>Dafür sorgen, dass auch Postfix lesend auf die sasldb zugreifen kann.
>>
>>Und smtpd_sasl_auth_enable auf yes setzen.
>>
>>
>>>Files in /usr/lib/sasl2:
>>>total 208
>>>drwxr-xr-x   2 root root  4096 Aug 12 16:07 .
>>>drwxr-xr-x  28 root root  8192 Aug 15 13:46 ..
>>>-rwxr-xr-x   1 root root   695 Apr  6 03:44 libanonymous.la
>>>-rwxr-xr-x   1 root root 16099 Apr  6 03:44 libanonymous.so
>>>-rwxr-xr-x   1 root root 16099 Apr  6 03:44 libanonymous.so.2
>>>-rwxr-xr-x   1 root root 16099 Apr  6 03:44 libanonymous.so.2.0.18
>>>-rwxr-xr-x   1 root root   679 Apr  6 03:44 liblogin.la
>>>-rwxr-xr-x   1 root root 16811 Apr  6 03:44 liblogin.so
>>>-rwxr-xr-x   1 root root 16811 Apr  6 03:44 liblogin.so.2
>>>-rwxr-xr-x   1 root root 16811 Apr  6 03:44 liblogin.so.2.0.18
>>>-rwxr-xr-x   1 root root   704 Apr  6 03:44 libsasldb.la
>>>-rwxr-xr-x   1 root root 21330 Apr  6 03:44 libsasldb.so
>>>-rwxr-xr-x   1 root root 21330 Apr  6 03:44 libsasldb.so.2
>>>-rwxr-xr-x   1 root root 21330 Apr  6 03:44 libsasldb.so.2.0.18
>>>-rw-------   1 root root    49 Apr  6 04:27 smtpd.conf
>>
>>Die *-md5 Mechanismen sind in extra rpms aufgeteilt. 
>>Installier diese noch.
>>
>>-- 
>>	Andreas
>>
>>-- 
>>_______________________________________________
>>Postfixbuch-users mailingliste
>>JPBerlin - Mailbox und Politischer Provider 
>>Postfixbuch-users at listi.jpberlin.de
>>http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
>>
> 
>

Mehr Informationen über die Mailingliste Postfixbuch-users