[Postfixbuch-users] Postfix & SASL - SMTP authentication failed
Patrick Ben Koetter
p at state-of-mind.de
Mi Mär 9 14:25:42 CET 2005
* David Geiger <info at david-geiger.de>:
> Hi,
>
> erstmal danke für die Antwort.
> Die Paketversionen waren die "aktuellen" stables von Debian, hab jetzt
> mit etwas Mühe die testing-Versionen postfix 2.1.5-6 und sasl 2.1.19-1.5
> draufgemacht. Jetzt habe ich auch saslauthd (der hat vorhin gefehlt, da
> gab's nur pwcheck).
>
> saslauthd läuft zwar, allerdings nimmt er nach wie vor mein Passwort
> nicht. Postfix ist in der sasl Gruppe. Ich vermute, es liegt daran, dass
> die Datei /etc/pam.d/cyrus nicht existiert..? Was muss denn da rein?
Nö, die brauchst Du nicht wenn dann sollte sie smtp heißen.
> Ansonsten sieht es so aus:
> drwx--x--- 2 root sasl 4096 9. Mär 13:23 /var/run/saslauthd
> srwxrwxrwx 1 root root 0 9. Mär 13:23 mux
> -rw------- 1 root root 0 9. Mär 13:23 mux.accept
> -rw------- 1 root root 5 9. Mär 13:23 saslauthd.pid
> ---
>
> ~ cat /etc/default/saslauthd:
> # This needs to be uncommented before saslauthd will be run automatically
> START=yes
>
> # You must specify the authentication mechanisms you wish to use.
> # This defaults to "pam" for PAM support, but may also include
> # "shadow" or "sasldb", like this:
> # MECHANISMS="pam shadow"
>
> MECHANISMS="pam"
Nimm für den Anfang mal shadow, das ist einfacher.
>
> ---
>
> ~ vi ps wax | grep saslauthd
> 4535 ? S 0:00 /usr/sbin/saslauthd -a pam
> 4536 ? S 0:00 /usr/sbin/saslauthd -a pam
> 4537 ? S 0:00 /usr/sbin/saslauthd -a pam
> 4538 ? S 0:00 /usr/sbin/saslauthd -a pam
> 4539 ? S 0:00 /usr/sbin/saslauthd -a pam
> 4697 pts/0 S 0:00 grep saslauthd
>
> ---
>
> ~ ls /etc/pam.d
> chfn chsh common-account common-auth common-password
> common-session cron login other passwd proftpd qpopper samba
> ssh su webmin
>
> ---
>
> ~ saslfinger -s
> saslfinger - postfix Cyrus sasl configuration Mi Mär 9 13:32:00 CET 2005
> version: 0.9.9.1
> mode: server-side SMTP AUTH
>
> -- basics --
> Postfix: 2.1.5
> System: Debian GNU/\s 3.0 \n \l
>
> -- smtpd is linked to --
> libsasl2.so.2 => /usr/lib/libsasl2.so.2 (0x4019f000)
>
> -- active SMTP AUTH and TLS parameters for smtpd --
> broken_sasl_auth_clients = yes
> smtpd_sasl_auth_enable = yes
> smtpd_sasl_security_options = noanonymous
>
>
> -- listing of /usr/lib/sasl2 --
> insgesamt 848
> drwxr-xr-x 2 root root 4096 9. Mär 12:19 .
> drwxr-xr-x 44 root root 8192 9. Mär 13:05 ..
> -rw-r--r-- 1 root root 13488 16. Okt 23:02 libanonymous.a
> -rw-r--r-- 1 root root 851 16. Okt 23:02 libanonymous.la
> -rw-r--r-- 1 root root 13824 16. Okt 23:02 libanonymous.so
> -rw-r--r-- 1 root root 13824 16. Okt 23:02 libanonymous.so.2
> -rw-r--r-- 1 root root 13824 16. Okt 23:02
> libanonymous.so.2.0.19
> -rw-r--r-- 1 root root 16298 16. Okt 23:02 libcrammd5.a
> -rw-r--r-- 1 root root 837 16. Okt 23:02 libcrammd5.la
> -rw-r--r-- 1 root root 16180 16. Okt 23:02 libcrammd5.so
> -rw-r--r-- 1 root root 16180 16. Okt 23:02 libcrammd5.so.2
> -rw-r--r-- 1 root root 16180 16. Okt 23:02
> libcrammd5.so.2.0.19
> -rw-r--r-- 1 root root 47516 16. Okt 23:02 libdigestmd5.a
> -rw-r--r-- 1 root root 860 16. Okt 23:02 libdigestmd5.la
> -rw-r--r-- 1 root root 43944 16. Okt 23:02 libdigestmd5.so
> -rw-r--r-- 1 root root 43944 16. Okt 23:02 libdigestmd5.so.2
> -rw-r--r-- 1 root root 43944 16. Okt 23:02
> libdigestmd5.so.2.0.19
> -rw-r--r-- 1 root root 13726 16. Okt 23:02 liblogin.a
> -rw-r--r-- 1 root root 831 16. Okt 23:02 liblogin.la
> -rw-r--r-- 1 root root 14028 16. Okt 23:02 liblogin.so
> -rw-r--r-- 1 root root 14028 16. Okt 23:02 liblogin.so.2
> -rw-r--r-- 1 root root 14028 16. Okt 23:02 liblogin.so.2.0.19
> -rw-r--r-- 1 root root 31248 16. Okt 23:02 libntlm.a
> -rw-r--r-- 1 root root 825 16. Okt 23:02 libntlm.la
> -rw-r--r-- 1 root root 30660 16. Okt 23:02 libntlm.so
> -rw-r--r-- 1 root root 30660 16. Okt 23:02 libntlm.so.2
> -rw-r--r-- 1 root root 30660 16. Okt 23:02 libntlm.so.2.0.19
> -rw-r--r-- 1 root root 20142 16. Okt 23:02 libotp.a
> -rw-r--r-- 1 root root 825 16. Okt 23:02 libotp.la
> -rw-r--r-- 1 root root 43184 16. Okt 23:02 libotp.so
> -rw-r--r-- 1 root root 43184 16. Okt 23:02 libotp.so.2
> -rw-r--r-- 1 root root 43184 16. Okt 23:02 libotp.so.2.0.19
> -rw-r--r-- 1 root root 13886 16. Okt 23:02 libplain.a
> -rw-r--r-- 1 root root 831 16. Okt 23:02 libplain.la
> -rw-r--r-- 1 root root 14096 16. Okt 23:02 libplain.so
> -rw-r--r-- 1 root root 14096 16. Okt 23:02 libplain.so.2
> -rw-r--r-- 1 root root 14096 16. Okt 23:02 libplain.so.2.0.19
> -rw-r--r-- 1 root root 21798 16. Okt 23:02 libsasldb.a
> -rw-r--r-- 1 root root 852 16. Okt 23:02 libsasldb.la
> -rw-r--r-- 1 root root 18692 16. Okt 23:02 libsasldb.so
> -rw-r--r-- 1 root root 18692 16. Okt 23:02 libsasldb.so.2
> -rw-r--r-- 1 root root 18692 16. Okt 23:02 libsasldb.so.2.0.19
> -rw-r--r-- 1 root root 25 9. Mär 12:59 smtpd.conf
>
>
>
>
> -- content of /usr/lib/sasl2/smtpd.conf --
> pwcheck_method:saslauthd
Neuere Debian Versionen von Postfix erwarten die smtpd.conf in
/etc/postfix/sasl/smtpd.conf:
pwcheck_method: saslauthd
mech_list: plain login
Ändere das in /etc/postfix/sasl/smtpd.conf und wenn Du einen telnet auf
localhost machst, sollte nach dem reload von Postfix nur PLAIN und LOGIN
als AUTH mechs announced werden.
> -- active services in /etc/postfix/master.cf --
> # service type private unpriv chroot wakeup maxproc command + args
> # (yes) (yes) (yes) (never) (100)
> smtp inet n - n - - smtpd
> pickup fifo n - n 60 1 pickup
> cleanup unix n - n - 0 cleanup
> qmgr fifo n - n 300 1 qmgr
> rewrite unix - - n - - trivial-rewrite
> bounce unix - - n - 0 bounce
> defer unix - - n - 0 bounce
> trace unix - - n - 0 bounce
> verify unix - - n - 1 verify
> flush unix n - n 1000? 0 flush
> proxymap unix - - n - - proxymap
> smtp unix - - n - - smtp
> relay unix - - n - - smtp
> showq unix n - n - - showq
> error unix - - n - - error
> local unix - n n - - local
> virtual unix - n n - - virtual
> lmtp unix - - n - - lmtp
> anvil unix - - n - 1 anvil
> maildrop unix - n n - - pipe
> flags=DRhu user=vmail argv=/usr/local/bin/maildrop -d ${recipient}
> old-cyrus unix - n n - - pipe
> flags=R user=cyrus argv=/cyrus/bin/deliver -e -m ${extension} ${user}
> cyrus unix - n n - - pipe
> user=cyrus argv=/cyrus/bin/deliver -e -r ${sender} -m ${extension} ${user}
> uucp unix - n n - - pipe
> flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail
> ($recipient)
> ifmail unix - n n - - pipe
> flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
> bsmtp unix - n n - - pipe
> flags=Fq. user=foo argv=/usr/local/sbin/bsmtp -f $sender $nexthop
> $recipient
>
> -- mechanisms on localhost --
> 250-AUTH NTLM LOGIN PLAIN DIGEST-MD5 CRAM-MD5
> 250-AUTH=NTLM LOGIN PLAIN DIGEST-MD5 CRAM-MD5
>
> -- end of saslfinger output --
>
>
> ...übrigens ein sehr praktisches Tool! :)
>
> Grüße, David
>
> Patrick Ben Koetter schrieb:
>
> >* David Geiger <info at david-geiger.de>:
> >
> >
> >>ich versuche Postfix 1.1.11 mit SASL 1.5.27 zur SMTP Authentication
> >>unter Debian Woody aufzusetzen.
> >>Installierte Pakete: postfix, postfix-tls, libsasl7,
> >>libsasl-modules-plain.
> >>
> >>
> >
> >Woa. Muß es so alt sein? Die Woche kommt wahrscheinlich Postfix 2.2 raus
> >und
> >SASL gibt es mittlerweile in Version 2.1.20.
> >
> >
> >
> >>Allerdings akzeptiert SASL bei SMTP mein Passwort weder mit AUTH PLAIN
> >>noch LOGIN (telnet & mozilla).
> >>Als pwcheck_method habe ich in /usr/lib/sasl/smtpd.conf shadow
> >>eingestellt - Postfix ist in der Gruppe, die Read-Zugriff auf
> >>/etc/shadow hat. Außerdem läuft Postfix nicht im chroot (steht für smtp
> >>auf n in der master.cf).
> >>
> >>
> >
> >pwcheck_method: saslauthd
> >
> >Postfix RAUS aus der Gruppe die shadow lesen darf, sonst hat jeder der
> >Postfix
> >erobert sofort root Rechte...
> >
> >Stattdessen Postfix ein in die (sasl) Gruppe, die den saslauthd socket
> >anlangen darf.
> >
> >
> >
> >>Ich habe das Gefühl, dass Postfix meine smtpd.conf ignoriert - wenn ich
> >>ungültige Werte für pwcheck_method reinschreibe oder Werte für mech_list
> >>angebe, ändert sich nichts. Wenn ich jedoch z.B. das plain-module aus
> >>
> >>
> >
> >mech_list gab es IIRC in 1.5.27 noch nicht.
> >
> >
> >
> >>/usr/lib/sasl entferne, wird es beim SMTP-Connect auch nicht mehr
> >>angezeigt.
> >>
> >>Ich habe auch schon pam als pwcheck_method eingetragen, hat ebenfalls
> >>nichts geändert. sasldb kann ich nicht verwenden, da es sich um ein
> >>multi-domain System handelt und andauernd neue User hinzukommen. Mit
> >>saslauthd habe ich keine Erfahrung (gibt es das in der Version überhaupt
> >>schon?).
> >>
> >>
> >
> >Ja, da gab es saslauthd schon.
> >
> >
> >
> >>Hat vielleicht jemand eine Idee? Danke...
> >>
> >>
> >
> >saslfinger (siehe meine Signatur) laufen lassen und output an die Liste.
> >Ich
> >geh jetzt aber erst mal schlafen. Ansehen kann ich es mir also erst morgen.
> >
> >p at rick
> >
> >
> >
> >
> >>Grüße, David
> >>
> >>
> >>Die config-Files:
> >>
> >>/etc/postfix/main.cf:
> >>*Code:*
> >>
> >>command_directory = /usr/sbin
> >>daemon_directory = /usr/lib/postfix
> >>program_directory = /usr/lib/postfix
> >>
> >>smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
> >>setgid_group = postdrop
> >>biff = no
> >>
> >># appending .domain is the MUA's job.
> >>append_dot_mydomain = no
> >>myhostname = txxx.greatnet.de
> >>alias_maps = hash:/etc/aliases
> >>alias_database = hash:/etc/aliases
> >>myorigin = /etc/mailname
> >>mydestination = txxx.greatnet.de, localhost.greatnet.de, txxx, localhost
> >>relayhost =
> >>mynetworks = 127.0.0.0/8
> >>mailbox_command = procmail -a "$EXTENSION"
> >>mailbox_size_limit = 0
> >>recipient_delimiter = +
> >>
> >>
> >># SASL
> >>smtpd_sasl_auth_enable = yes
> >>smtpd_sasl_security_options = noanonymous
> >>#smtpd_sasl_local_domain = txxx
> >>broken_sasl_auth_clients = yes
> >>
> >>
> >># Anti-UCE
> >>#smtpd_helo_required=yes
> >>#relay_domains =
> >>smtpd_recipient_restrictions = permit_mynetworks,
> >>permit_sasl_authenticated, check_relay_domains
> >>
> >>
> >>### CONFIXX POSTFIX ENTRY ###
> >>virtual_maps = hash:/etc/postfix/confixx_virtualUsers,
> >>hash:/etc/postfix/confixx_localDomains
> >>virtual_alias_domains = hash:/etc/postfix/confixx_localDomains
> >>### /CONFIXX POSTFIX ENTRY ###
> >>
> >>
> >>
> >>
> >>/usr/lib/sasl/smtpd.conf (scheint aber nichts zu bewirken):
> >>*Code:*
> >>
> >>pwcheck_method: shadow
> >>
> >>
> >>
> >>
> >>Auszug aus /var/log/mail.warn:
> >>*Code:*
> >>
> >>Mar 7 21:58:18 txxx postfix/smtpd[30159]: warning:
> >>p....dip0.t-ipconnect.de[...]: SASL LOGIN authentication failed
> >>Mar 7 22:06:33 txxx postfix/smtpd[30907]: warning:
> >>p....dip0.t-ipconnect.de[...]: SASL PLAIN authentication failed
> >>
> >>--
> >>_______________________________________________
> >>Postfixbuch-users mailingliste
> >>Heinlein Professional Linux Support GmbH
> >>
> >>Postfixbuch-users at listi.jpberlin.de
> >>http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
> >>
> >>
> >
> >
> >
> --
> _______________________________________________
> Postfixbuch-users mailingliste
> Heinlein Professional Linux Support GmbH
>
> Postfixbuch-users at listi.jpberlin.de
> http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
--
SMTP AUTH
Howto: <http://postfix.state-of-mind.de/patrick.koetter/smtpauth/>
Debug: <http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>
Mehr Informationen über die Mailingliste Postfixbuch-users