[Postfixbuch-users] cram-md5 und digest-md5 bei smtpdauth

Patrick Ben Koetter p at state-of-mind.de
Do Okt 14 00:52:27 CEST 2004


* Christian Schoepplein <chris at schoeppi.net> [041014 00:29]:
> Irgendwie funzt es nicht, dass ich mich über einen Client (postfix)
> via smtpauth an einem Server (auch postfix) anmelden kann und dafür
> cram-md5 oder digest-md5 als Mechanismus verwende.
> 
> Meine Konfiguration auf dem Client sieht folgendermaßen aus:
> 
> --- /etc/postfix/main.cf ---
> ...
> relayhost = mail.as-6.de
> smtp_sasl_auth_enable= yes
> smtp_sasl_password_maps= hash:/etc/postfix/sasl_passwd
> smtp_sasl_security_options = noanonymous
> ...
> ---
> 
> Die Einträge in /etc/postfix/sasl_passwd stimmen.
> 
> In /usr/lib/sasl2/ befindet sich Folgendes: 
> 
> libanonymous.a          libdigestmd5.so.2.0.19  libotp.so.2
> libanonymous.la         liblogin.a              libotp.so.2.0.19
> libanonymous.so         liblogin.la             libplain.a
> libanonymous.so.2       liblogin.so             libplain.la
> libanonymous.so.2.0.19  liblogin.so.2           libplain.so
> libcrammd5.a            liblogin.so.2.0.19      libplain.so.2
> libcrammd5.la           libntlm.a               libplain.so.2.0.19
> libcrammd5.so           libntlm.la              libsasldb.a
> libcrammd5.so.2         libntlm.so              libsasldb.la
> libcrammd5.so.2.0.19    libntlm.so.2            libsasldb.so
> libdigestmd5.a          libntlm.so.2.0.19       libsasldb.so.2
> libdigestmd5.la         libotp.a                libsasldb.so.2.0.19
> libdigestmd5.so         libotp.la
> libdigestmd5.so.2       libotp.so
> 
> Auf dem Server liegt folgende Konfiguration vor:
> 
> --- /etc/postfix/main.cf ---
> ...
> smtpd_sasl_auth_enable=yes
> smtpd_sasl_security_options= noanonymous
> broken_sasl_auth_clients = yes
> ...
> ---
> 
> --- /etc/postfix/sasl/smtpd.conf ---
> pwcheck_method: saslauthd

saslauthd kann keine shared-secret mechs wie DIGEST-MD5 oder CRAM-MD5.
Du mußt ein auxprop_plugin wie z.B. sasldb, sql etc. verwenden wenn Du
shared-secret mechs verwenden möchtest.

> sasl_mech_list: LOGIN NTLM PLAIN DIGEST-MD5 CRAM-MD5

typo!

mech_list: LOGIN NTLM PLAIN DIGEST-MD5 CRAM-MD5

für saslauthd:

mech_list: LOGIN PLAIN


> ---

Das bietet Dein Server an:

$ telnet mail.as-6.de 25
Trying 80.190.251.67...
Connected to mail.as-6.de.
Escape character is '^]'.
220 as-6.de ESMTP Postfix
EHLO foo
250-as-6.de
250-PIPELINING
250-SIZE 40960000
250-ETRN
250-AUTH LOGIN PLAIN CRAM-MD5
250-AUTH=LOGIN PLAIN CRAM-MD5
250 8BITMIME
QUIT
221 Bye
Connection closed by foreign host.


> Wenn ich nun auf dem Server alle libs für digest-md5, cram-md5 und
> ntlm aus /usr/lib/sasl2 lösche, funktioniert die Authentifizierung
> über PLAIN oder LOGIN. Kopiere ich die libs zurück, bekomme ich
> folgende Fehler:

Das liegt daran, daß die SASL library angewiesen ist, den sichersten
mech auszuwählen, also shared-secret mechs gegenüber plaintext mechs
vorzuziehen. Löscht Du die shared-secret mechs kann Postfix nur diese
announcen und es klappt. Fügst Du sie wieder hinzu, sagt Postfix es gibt
auch shared-secret mechs, wählt einen aber es geht schief, weil dein
password verification service (pwcheck_method:saslauthd) nicht mit
diesen mechs umgehen kann...


> Oct 14 00:02:47 as-6 postfix/smtpd[8044]: warning: SASL authentication 
> failure: no secret in database
> Oct 14 00:02:47 as-6 postfix/smtpd[8044]: warning: 
> p50866D59.dip0.t-ipconnect.de [80.134.109.89]: SASL CRAM-MD5 
> authentication failed
> Oct 14 00:04:32 as-6 postfix/smtpd[8269]: warning: SASL authentication 
> failure: no secret in database
> Oct 14 00:04:32 as-6 postfix/smtpd[8269]: warning: 
> pD9ECB677.dip.t-dialin.net[217.236.182.119]: SASL DIGEST-MD5 
> authentication failed
> 
> Ich hätte aber jetzt gerne die Möglichkeit, mich zusätzlich zu LOGIN
> oder PLAIN mit CRAM-MD5 oder DIGEST-MD5 am Server anzumelden, nur wie
> mach ich das? Was muss ich am Server umstellen?

saslauthd raus
auxprop rein

p at rick

-- 
SMTP AUTH
Howto: <http://postfix.state-of-mind.de/patrick.koetter/smtpauth/>
Debug: <http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>




Mehr Informationen über die Mailingliste Postfixbuch-users