[Postfixbuch-users] cram-md5 und digest-md5 bei smtpdauth
Patrick Ben Koetter
p at state-of-mind.de
Do Okt 14 00:52:27 CEST 2004
* Christian Schoepplein <chris at schoeppi.net> [041014 00:29]:
> Irgendwie funzt es nicht, dass ich mich über einen Client (postfix)
> via smtpauth an einem Server (auch postfix) anmelden kann und dafür
> cram-md5 oder digest-md5 als Mechanismus verwende.
>
> Meine Konfiguration auf dem Client sieht folgendermaßen aus:
>
> --- /etc/postfix/main.cf ---
> ...
> relayhost = mail.as-6.de
> smtp_sasl_auth_enable= yes
> smtp_sasl_password_maps= hash:/etc/postfix/sasl_passwd
> smtp_sasl_security_options = noanonymous
> ...
> ---
>
> Die Einträge in /etc/postfix/sasl_passwd stimmen.
>
> In /usr/lib/sasl2/ befindet sich Folgendes:
>
> libanonymous.a libdigestmd5.so.2.0.19 libotp.so.2
> libanonymous.la liblogin.a libotp.so.2.0.19
> libanonymous.so liblogin.la libplain.a
> libanonymous.so.2 liblogin.so libplain.la
> libanonymous.so.2.0.19 liblogin.so.2 libplain.so
> libcrammd5.a liblogin.so.2.0.19 libplain.so.2
> libcrammd5.la libntlm.a libplain.so.2.0.19
> libcrammd5.so libntlm.la libsasldb.a
> libcrammd5.so.2 libntlm.so libsasldb.la
> libcrammd5.so.2.0.19 libntlm.so.2 libsasldb.so
> libdigestmd5.a libntlm.so.2.0.19 libsasldb.so.2
> libdigestmd5.la libotp.a libsasldb.so.2.0.19
> libdigestmd5.so libotp.la
> libdigestmd5.so.2 libotp.so
>
> Auf dem Server liegt folgende Konfiguration vor:
>
> --- /etc/postfix/main.cf ---
> ...
> smtpd_sasl_auth_enable=yes
> smtpd_sasl_security_options= noanonymous
> broken_sasl_auth_clients = yes
> ...
> ---
>
> --- /etc/postfix/sasl/smtpd.conf ---
> pwcheck_method: saslauthd
saslauthd kann keine shared-secret mechs wie DIGEST-MD5 oder CRAM-MD5.
Du mußt ein auxprop_plugin wie z.B. sasldb, sql etc. verwenden wenn Du
shared-secret mechs verwenden möchtest.
> sasl_mech_list: LOGIN NTLM PLAIN DIGEST-MD5 CRAM-MD5
typo!
mech_list: LOGIN NTLM PLAIN DIGEST-MD5 CRAM-MD5
für saslauthd:
mech_list: LOGIN PLAIN
> ---
Das bietet Dein Server an:
$ telnet mail.as-6.de 25
Trying 80.190.251.67...
Connected to mail.as-6.de.
Escape character is '^]'.
220 as-6.de ESMTP Postfix
EHLO foo
250-as-6.de
250-PIPELINING
250-SIZE 40960000
250-ETRN
250-AUTH LOGIN PLAIN CRAM-MD5
250-AUTH=LOGIN PLAIN CRAM-MD5
250 8BITMIME
QUIT
221 Bye
Connection closed by foreign host.
> Wenn ich nun auf dem Server alle libs für digest-md5, cram-md5 und
> ntlm aus /usr/lib/sasl2 lösche, funktioniert die Authentifizierung
> über PLAIN oder LOGIN. Kopiere ich die libs zurück, bekomme ich
> folgende Fehler:
Das liegt daran, daß die SASL library angewiesen ist, den sichersten
mech auszuwählen, also shared-secret mechs gegenüber plaintext mechs
vorzuziehen. Löscht Du die shared-secret mechs kann Postfix nur diese
announcen und es klappt. Fügst Du sie wieder hinzu, sagt Postfix es gibt
auch shared-secret mechs, wählt einen aber es geht schief, weil dein
password verification service (pwcheck_method:saslauthd) nicht mit
diesen mechs umgehen kann...
> Oct 14 00:02:47 as-6 postfix/smtpd[8044]: warning: SASL authentication
> failure: no secret in database
> Oct 14 00:02:47 as-6 postfix/smtpd[8044]: warning:
> p50866D59.dip0.t-ipconnect.de [80.134.109.89]: SASL CRAM-MD5
> authentication failed
> Oct 14 00:04:32 as-6 postfix/smtpd[8269]: warning: SASL authentication
> failure: no secret in database
> Oct 14 00:04:32 as-6 postfix/smtpd[8269]: warning:
> pD9ECB677.dip.t-dialin.net[217.236.182.119]: SASL DIGEST-MD5
> authentication failed
>
> Ich hätte aber jetzt gerne die Möglichkeit, mich zusätzlich zu LOGIN
> oder PLAIN mit CRAM-MD5 oder DIGEST-MD5 am Server anzumelden, nur wie
> mach ich das? Was muss ich am Server umstellen?
saslauthd raus
auxprop rein
p at rick
--
SMTP AUTH
Howto: <http://postfix.state-of-mind.de/patrick.koetter/smtpauth/>
Debug: <http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>
Mehr Informationen über die Mailingliste Postfixbuch-users