[Postfixbuch-users] SASL über PAM mit DIGEST-MD5 + CRAM-MD5 möglich??

Patrick Ben Koetter p at state-of-mind.de
Mi Apr 20 18:02:18 CEST 2005 

* Maik Weidemann <maillings at jg-service.de>:
> Hallo,
> 
> Ich versuche gerade sasl2 + saslauthd + pam so zu konfigurieren, dass
> für die System-Accounts (pop3/smtp) auch die Verschlüsselungen
> DIGEST-MD5 CRAM-MD5 zur Verfügung stehen. Login funktioniert ohne Probleme.
> Geht das überhaupt, wen ich nicht alle User auch in die sasldb eintragen
> möchte??

saslauthd kann (schon immer) nur LOGIN und PLAIN. Für alle anderen Mechanismen
mußt Du auxprop Methoden einsetzen.

> Ich weiß nicht genau ob es mein Wunschdenken ist :) , aber als ich vor
> zwei Jahren dies mit sasl1 konfiguriert hatte, hat das irgendwie
> geklappt - glaub ich. Ich habe leider die alte Konfiguration nicht mehr,
> auch kann ich nicht mehr in die meine alten Logs gucken, ob dies stimmt
> oder nicht, :( deshalb meine Frage hier an die Fachmänner. :)

Es gab mal eine (ziemlich kranke) Vorgehensweise mit einem auxprop: pam, bei
dem man Postfix in die privilegierte PAM Gruppe aufnehmen mußte. Damit wäre
smtpd dann immer mir root-Rechten ausgestattet gewesen. Ich für meinen Tein
installiere dann lieber gleich Eric Allmans Sendmail. Dann weiß ich wenigstens
warum die Kiste offen wie ein Scheunentor dasteht... ;)

p at rick



> 
> Wenn es geht, was muss ich ändern?? :)
> Im Anhang habe ich den Output von saslfinger.
> 
> Gruß
> Maik
> 

> saslfinger - postfix Cyrus sasl configuration Wed Apr 20 13:37:53 CEST 2005
> version: 0.9.9.1
> mode: server-side SMTP AUTH
> 
> -- basics --
> Postfix: 2.2.2
> System: 
> Welcome to SuSE Linux 9.1 (i586) - Kernel \r (\l).
> 
> -- smtpd is linked to --
> 	libsasl2.so.2 => /usr/lib/libsasl2.so.2 (0x4006b000)
> 
> -- active SMTP AUTH and TLS parameters for smtpd --
> broken_sasl_auth_clients = yes
> smtpd_sasl_auth_enable = yes
> smtpd_sasl_local_domain = server
> smtpd_sasl_security_options = noanonymous
> smtpd_tls_CAfile = /etc/postfix/cert/cacert.pem
> smtpd_tls_cert_file = /etc/postfix/cert/cert.pem
> smtpd_tls_key_file = /etc/postfix/cert/key.pem
> smtpd_tls_loglevel = 2
> smtpd_tls_received_header = yes
> smtpd_tls_session_cache_timeout = 3600s
> smtpd_use_tls = yes
> 
> 
> -- listing of /usr/lib/sasl2 --
> total 448
> drwxr-xr-x   2 root root  4096 2005-04-20 12:56 .
> drwxr-xr-x  53 root root 20480 2005-04-18 17:09 ..
> -rwxr-xr-x   1 root root   695 2004-04-06 03:44 libanonymous.la
> -rwxr-xr-x   1 root root 16099 2004-04-06 03:44 libanonymous.so
> -rwxr-xr-x   1 root root 16099 2004-04-06 03:44 libanonymous.so.2
> -rwxr-xr-x   1 root root 16099 2004-04-06 03:44 libanonymous.so.2.0.18
> -rwxr-xr-x   1 root root   683 2004-04-06 03:44 libcrammd5.la
> -rwxr-xr-x   1 root root 18461 2004-04-06 03:44 libcrammd5.so
> -rwxr-xr-x   1 root root 18461 2004-04-06 03:44 libcrammd5.so.2
> -rwxr-xr-x   1 root root 18461 2004-04-06 03:44 libcrammd5.so.2.0.18
> -rwxr-xr-x   1 root root   713 2004-04-06 03:44 libdigestmd5.la
> -rwxr-xr-x   1 root root 47575 2004-04-06 03:44 libdigestmd5.so
> -rwxr-xr-x   1 root root 47575 2004-04-06 03:44 libdigestmd5.so.2
> -rwxr-xr-x   1 root root 47575 2004-04-06 03:44 libdigestmd5.so.2.0.18
> -rwxr-xr-x   1 root root   679 2004-04-06 03:44 liblogin.la
> -rwxr-xr-x   1 root root 16811 2004-04-06 03:44 liblogin.so
> -rwxr-xr-x   1 root root 16811 2004-04-06 03:44 liblogin.so.2
> -rwxr-xr-x   1 root root 16811 2004-04-06 03:44 liblogin.so.2.0.18
> -rwxr-xr-x   1 root root   704 2004-04-06 03:44 libsasldb.la
> -rwxr-xr-x   1 root root 21330 2004-04-06 03:44 libsasldb.so
> -rwxr-xr-x   1 root root 21330 2004-04-06 03:44 libsasldb.so.2
> -rwxr-xr-x   1 root root 21330 2004-04-06 03:44 libsasldb.so.2.0.18
> -rw-------   1 root root    50 2005-04-20 12:56 smtpd.conf
> 
> 
> 
> 
> -- content of /usr/lib/sasl2/smtpd.conf --
> pwcheck_method: saslauthd
> mech_list: plain login 
> 
> 
> -- active services in /etc/postfix/master.cf --
> # service type	private	unpriv	chroot	wakeup	maxproc	command + args
> # 		(yes)	(yes)	(yes)	(never)	(50)
> smtp-amavis unix -	-	n	-	2  smtp
>     -o smtp_data_done_timeout=1200
>     -o disable_dns_lookups=yes
> smtp	  inet	n	-	n	-	-	smtpd
>     -o cleanup_service_name=pre-cleanup
> smtps	  inet	n	-	n	-	-	smtpd
>   -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes
>   -o cleanup_service_name=pre-cleanup
>   
> pickup	  fifo	n	-	n	60	1	pickup -o cleanup_service_name=pre-cleanup -o receive_override_options=no_header_body_checks
> pre-cleanup  unix n	-	n	-	0	cleanup
>     -o virtual_alias_maps=
>     -o canonical_maps=
>     -o sender_canonical_maps=
>     -o recipient_canonical_maps=
>     -o masquerade_domains=
> 
> cleanup	unix	n	-	n	-	0	cleanup
>     -o mime_header_checks=
>     -o nested_header_checks=
>     -o body_checks=
>     -o header_checks=
> qmgr	  fifo	n	-	n	300	1	qmgr
> tlsmgr	  unix	-	-	n	300	1	tlsmgr
> rewrite	  unix	-	-	n	-	-	trivial-rewrite
> bounce	  unix	-	-	n	-	0	bounce
> defer	  unix	-	-	n	-	0	bounce
> flush	  unix	n	-	n	1000?	0	flush
> smtp	  unix	-	-	n	-	-	smtp
> showq     unix	n	-	n	-	-	showq
> error     unix	-	-	n	-	-	error
> local	  unix	-	n	n	-	-	local
> virtual	  unix	-	n	n	-	-	virtual
> lmtp	  unix	-	-	n	-	-	lmtp
> 127.0.0.1:10025 inet n	-	n	-	-  smtpd
>     -o content_filter=
>     -o local_recipient_maps=
>     -o relay_recipient_maps=
>     -o smtpd_restriction_classes=
>     -o smtpd_client_restrictions=
>     -o smtpd_helo_restrictions=
>     -o smtpd_sender_restrictions=
>     -o smtpd_recipient_restrictions=permit_mynetworks,reject
>     -o mynetworks=127.0.0.0/8
>     -o strict_rfc821_envelopes=no
> cyrus	  unix	-	n	n	-	-	pipe
>   flags=R user=cyrus argv=/usr/lib/cyrus/bin/deliver -e -m ${extension} ${user}
> uucp	  unix	-	n	n	-	-	pipe
>   flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
> ifmail    unix  -       n       n       -       -       pipe
>   flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
> bsmtp     unix  -       n       n       -       -       pipe
>   flags=Fq. user=foo argv=/usr/local/sbin/bsmtp -f $sender $nexthop $recipient
>   flags=q user=amavis argv=/usr/sbin/amavis ${sender} ${recipient}
> procmail  unix  -       n       n       -       -       pipe
>   flags=R user=nobody argv=/usr/bin/procmail -t -m /etc/procmailrc ${sender} ${recipient}
> relay	  unix	-	-	n	-	-	smtp
> proxymap  unix        -       -       n       -       -       proxymap
> trace	  unix	-	-	n	-	0	bounce
> verify	  unix	-	-	n	-	1	verify
> anvil	  unix	-	-	n	-	1	anvil
> scache	  unix	-	-	n	-	1	scache
> discard	  unix	-	-	n	-	-	discard
> 
> -- mechanisms on localhost --
> 250-AUTH LOGIN
> 250-AUTH=LOGIN
> 
> 
> -- end of saslfinger output --
> 

> -- 
> _______________________________________________
> Postfixbuch-users mailingliste
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listi.jpberlin.de
> http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

-- 
The Book of Postfix
<http://www.postfix-book.com>
SMTP AUTH debug utility:
<http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>

Mehr Informationen über die Mailingliste Postfixbuch-users