[Postfixbuch-users] OT: authDB für apop erstellen

Andreas Winkelmann ml at awinkelmann.de
Sa Aug 26 13:40:12 CEST 2006 

Am Friday 25 August 2006 10:41 schrieb Patrick Ben Koetter:

> > > diese Option habe ich aktiviert und anscheinend ist SASL entsprechend
> > > kompiliert, aber es wird ein "unable to open Berkeley db /*etc/sasldb2:
> > > Permission denied" reklamiert*, wenn per apop versucht wird, die Mails
> > > zu holen. Die DB ist jedoch vorhanden und ich habe ein paar User
> > > manuell angelegt, um das testen zu können. Im Netz finde ich nix dazu,
> > > leider bezieht sich alles ergoogelte auf die smtp.conf vom
> > > saslauthd....
> >
> > OK, das war ein Problem mit den Lese-Rechten. Die DB gehört root und ich
> > habe den Zugriff darauf mit 0644 erweitert. Sollte der Besitzer besser
> > cyrus sein und die Rechte bei 0640 bleiben? Für das Problem der
> > automatischen Pflege der sasldb hab ich aber noch keine Lösung....
>
> Aus "options.html" der SASL docs:
>
> auto_transition: yes
>
>     When set to 'yes' or 'noplain', and when using an auxprop plugin,
>     automatically transition users to other mechs when they do a successful
>     plaintext authentication. When set to 'noplain', only non-plaintext
>     secrets will be written. Note that the only mechs (as currently
>     implemented) which don't use plaintext secrets are OTP and SRP.
>
> Damit sollte das, was Du suchst möglich sein.
>
> Das ist jetzt Freiflug für mich, weil ich nicht viel Cyrus IMAP Erfahrung
> habe... AFAIK müsstest Du in Deiner imapd.conf in etwa folgendes machen:
>
> sasl_pwcheck_method: saslauthd auxprop
> sasl_auxprop_plugin: sasldb
> sasl_auto_transition: yes
>
> Dann saslauthd so starten, dass er über shadow authentifiziert:
>
> # saslauthd -a shadow -m /path/to/socket
>
> SASL wird dann zuerst in der shadow nachsehen, da den user und das pass
> finden und dann das pass in die sasldb migrieren. Probiert habe ich das
> selber noch nie. Andreas Winkelmann hat mit der Option Erfahrung gesammelt,
> meine ich mich zu erinnern.

"Smooth as Sllk" ;-))

Hmm, er sollte aber das:

sasl_mech_list: plain login

nicht vergessen. Trotz der sasldb ist noch der saslauthd im Spiel.

-- 
	Andreas

Mehr Informationen über die Mailingliste Postfixbuch-users