[Postfixbuch-users] Postfix sasl smtpd_auth

Andreas Winkelmann ml at awinkelmann.de
So Feb 1 13:52:04 CET 2004 

Am Sonntag, 1. Februar 2004 13:34 schrieb e.mail.sofa at gmx.net:

> >> habe hier ein Problem mit meinem postfix. Die Authentifizierung
> >> klappt nicht so recht. Und zwar möchte ich das ich auch Mail’s
> >> verschicken kann wenn ich nicht im lokalen LAN sitze, um den
> >> Mailserver aber nicht „aufzumachen“ möchte ich die Authentifizierung
> >> per pwcheck_method: pwcheck vornehmen. Hier meine erste Frage
> >> soweit ich das bis jetzt erlesen konnte sollte der pwcheck daemon
> >> im Hintergrund laufen, bei mir macht er das nicht. Egal ob
> >> exec /usr/sbin/pwcheck oder startproc /usr/sbin/pwcheck er geht
> >> nicht in den Hintergrund. Habe mal alles was ich als wichtig
> >> ersehe mit angehangen wenn noch fragen offen sind werde ich das
> >> gern nachreichen.
> >
> > Wieso nicht pam?
>
> Wo ist der unterschied ? Alles mailuser haben auch einen lokalen account
> auf dem MailServer abgesehen von einer shell. Deshalb möchte ich gegen
> die shadow authentifzieren.

Ich kenne von Suse die 8.0 nicht, aber normalerweise ist pam bei Suse schon 
eingerichtet. Deswegen wäre es ein wenig overkill noch einen daemon zu 
starten. Abgesehen davon habe ich gerade gesehen dass das Ding bei der 8.0 
nicht dabei ist. Oder ist es dabei? Wenn ja, in welchem Paket?

> >> [SYSTEM]
> >>
> >> SuSE Linux 8.0 [2.4.18-4GB-SMP]
> >> postfix-1.1.12-13 [rpm]
> >> cyrus-sasl-gssapi-1.5.27-166 [rpm]
> >
> > Wozu hast Du gssapi installiert? Hast Du kerberos eingerichtet?
> > Würde ich so spontan schonmal entfernen.
>
> Muss das nicht installiert sein ? Wenn der Mailclient GSSAPI
> unterstützt,
> wollt ich das gern einsetzten.

GSSAPI bedeutet, dass Du eine Kerberos-Infrastruktur haben musst. Hast Du die?
Dass der Client es kann bzw. auswählt, heisst nicht automatisch dass Du (als 
Server) es auch kannst.

> >> cyrus-sasl-1.5.27-125 [rpm]
> >> cyrus-sasl-devel-1.5.27-166 [rpm]
> >>
> >> postconf -n (smtpd = off)
> >
> > Was bedeutet "smtpd = off"?
>
> Sorry, bedeutet nur das ich solange das noch nicht läuft ich mit
> smtp_sasl_auth_enable = no fahre. Da der Mailserver redunant
> laufen muss kann ich mir hier nicht irgendwelche Spässe erlauben.
>
> >> postconf -n (smtpd = on)
>
> Das ganze mit den Änderungen:
>
> smtpd_sasl_auth_enable = yes
> smptd_sasl_local_domain = $myhostname
> smtpd_sasl_security_options = noanonymous
> broken_sasl_auth_clients = yes
> smtpd_recipient_restrictions = reject_unauth_destination,
> permit_mynetworks, permit_sasl_authenticated

Das ist wohl die falsche Reihenfolge.

> > Schick bitte die aktuell laufende Konfiguration.
>
> Die aktuelle Konfiguration ist:
>
> alias_database = hash:/etc/aliases
> alias_maps = hash:/etc/aliases
> canonical_maps = hash:/etc/postfix/canonical
> command_directory = /usr/sbin
> config_directory = /etc/postfix
> daemon_directory = /usr/lib/postfix
> debug_peer_level = 2
> defer_transports =
> disable_dns_lookups = no
> mail_name = Postfix
> mail_owner = postfix
> mail_spool_directory = /var/mail
> mailq_path = /usr/bin/mailq
> manpage_directory = /usr/share/man
> masquerade_domains = $mydomain
> masquerade_exceptions = root
> mydestination = $myhostname, localhost.$mydomain, $mydomain
> mydomain = *************.**
> myhostname = **********.************.**
> mynetworks = 192.168.0.0/24, 127.0.0.0/8
> myorigin = $mydomain
> newaliases_path = /usr/sbin/sendmail
> queue_directory = /var/spool/postfix
> readme_directory = /usr/share/doc/packages/postfix/README_FILES
> recipient_canonical_maps = hash:/etc/postfix/recipient_canonical
> relay_domains = $mydomain
> relayhost = *******.******.**
> relocated_maps = hash:/etc/postfix/relocated
> sample_directory = /etc/postfix
> sender_canonical_maps = hash:/etc/postfix/sender_canonical
> sendmail_path = /usr/sbin/sendmail
> setgid_group = maildrop
> smtp_sasl_auth_enable = yes
> smtp_sasl_password_maps = hash:/etc/postfix/saslpasswd
> smtp_sasl_security_options = noanonymous
> smtpd_sender_restrictions = hash:/etc/postfix/access
> transport_maps = hash:/etc/postfix/transport
> virtual_maps = hash:/etc/postfix/virtual
>
> > Schick bitte die aktuell laufende Konfiguration.
> >
> >> Feb  1 11:13:49 ********* postfix/smtpd[16388]: >
> >> dsl-213-013-249-244.arcor-ip.net[213.13.249.244]:
> >> 250-AUTH GSSAPI CRAM-MD5 DIGEST-MD5 LOGIN PLAIN
> >> Feb  1 11:13:49 ********* postfix/smtpd[16388]: >
> >> dsl-213-013-249-244.arcor-ip.net[213.13.249.244]:
> >> 250-AUTH=GSSAPI CRAM-MD5 DIGEST-MD5 LOGIN PLAIN
> >> Feb  1 11:13:49 ********* postfix/smtpd[16388]: >
> >> dsl-213-013-249-244.arcor-ip.net[213.13.249.244]:
> >> 250-XVERP
> >> Feb  1 11:13:49 ********* postfix/smtpd[16388]: >
> >> dsl-213-013-249-244.arcor-ip.net[213.13.249.244]:
> >> 250 8BITMIME
> >> Feb  1 11:13:49 ********* postfix/smtpd[16388]: watchdog_pat:
> >> 0x8093730
> >> Feb  1 11:13:49 ********* postfix/smtpd[16388]: <
> >> dsl-213-013-249-244.arcor-ip.net[213.13.249.244]:
> >> AUTH GSSAPI
> >
> > Der Client hat gssapi ausgewählt, bezweifele das das bei Dir
> > funktioniert.
>
> Ja das hab ich festgestellt, aber warum ?

Installiere und konfiguriere Kerberos. Bei Suse in den Paketen heimdal-* zu 
finden.

-- 
	Andreas

Mehr Informationen über die Mailingliste Postfixbuch-users