[Postfixbuch-users] smtp sasl authentication
Andreas Winkelmann
ml at awinkelmann.de
So Dez 18 01:15:20 CET 2005
Am Wednesday 14 December 2005 19:04 schrieb Uwe Hering:
> > > hier dient ein zentraler Postfix (2.1.1) als Gateway zur Einlieferung
> > > von Mails an einen Exchange-Server (Version gerade nicht parat).
> > >
> > > Dies soll nun mit Authentisierung geschehen, was grundsätzlich auch
> > > funktioniert.
> > >
> > > Ein paar kleine Haken gibt es aber schon noch:
> > >
> > > 1.) AUTH
> > >
> > > Der Exchange sendet:
> > >
> > > 250-AUTH GSSAPI NTLM LOGIN
> > > 250-AUTH=LOGIN
> > >
> > > Da Postfix auch die "AUTH=" explizit interpretiert, fällt
> > > offensichtlich nur "LOGIN" heraus. Dies scheint mir ein
> > > Konfigurationsproblem bei Exchange zu sein - weiß jemand, ob man das
> > > dort beheben kann?
> >
> > Das ist/war auch ein Postfix Problem, denn Postfix hat bis vor kurzem bei
> > mehr als einer AUTH line alle vorhergendende weggeworfen. Das kannst Du
> > mit einem aktuellen snapshot in den Griff kriegen.
> >
> > Unerwünschte Mechanismsn kannst Du dann mit smtp_sasl_mechanism_filter
> > wegfiltern.
>
> Ja, aber ich kann GSSAPI nicht hinfiltern ;-)
Ohne die aktuelle Version wirst Du nur "LOGIN" hinbekommen. Mit der aktuellen
Version kannst Du (theoretisch) zwischen GSSAPI, NTLM und LOGIN auswählen.
Das GSSAPI von Postfix aus (Clientseitig) funktioniert bezweifele ich. Das
Cyrus-SASL GSSPAI-Plugin greift vom Client aus aufgerufen, auf ein bereits
existentes TGT zurück. Ob es überhaupt sinnvoll wäre eines mit nem
Benutzernamen/Passwort von Postfix aus anzufordern wüsste ich auch nicht.
NTLM könntest Du benutzen.
Bei LOGIN würde ich vorher eine SSL-Verschlüsselte Verbindung aufbauen, es sei
denn die Verbindung zwischen Postfix und Exchange ist safe.
--
Andreas
Mehr Informationen über die Mailingliste Postfixbuch-users