[Postfixbuch-users] OT: authDB für apop erstellen
Andreas Winkelmann
ml at awinkelmann.de
Sa Aug 26 13:40:12 CEST 2006
Am Friday 25 August 2006 10:41 schrieb Patrick Ben Koetter:
> > > diese Option habe ich aktiviert und anscheinend ist SASL entsprechend
> > > kompiliert, aber es wird ein "unable to open Berkeley db /*etc/sasldb2:
> > > Permission denied" reklamiert*, wenn per apop versucht wird, die Mails
> > > zu holen. Die DB ist jedoch vorhanden und ich habe ein paar User
> > > manuell angelegt, um das testen zu können. Im Netz finde ich nix dazu,
> > > leider bezieht sich alles ergoogelte auf die smtp.conf vom
> > > saslauthd....
> >
> > OK, das war ein Problem mit den Lese-Rechten. Die DB gehört root und ich
> > habe den Zugriff darauf mit 0644 erweitert. Sollte der Besitzer besser
> > cyrus sein und die Rechte bei 0640 bleiben? Für das Problem der
> > automatischen Pflege der sasldb hab ich aber noch keine Lösung....
>
> Aus "options.html" der SASL docs:
>
> auto_transition: yes
>
> When set to 'yes' or 'noplain', and when using an auxprop plugin,
> automatically transition users to other mechs when they do a successful
> plaintext authentication. When set to 'noplain', only non-plaintext
> secrets will be written. Note that the only mechs (as currently
> implemented) which don't use plaintext secrets are OTP and SRP.
>
> Damit sollte das, was Du suchst möglich sein.
>
> Das ist jetzt Freiflug für mich, weil ich nicht viel Cyrus IMAP Erfahrung
> habe... AFAIK müsstest Du in Deiner imapd.conf in etwa folgendes machen:
>
> sasl_pwcheck_method: saslauthd auxprop
> sasl_auxprop_plugin: sasldb
> sasl_auto_transition: yes
>
> Dann saslauthd so starten, dass er über shadow authentifiziert:
>
> # saslauthd -a shadow -m /path/to/socket
>
> SASL wird dann zuerst in der shadow nachsehen, da den user und das pass
> finden und dann das pass in die sasldb migrieren. Probiert habe ich das
> selber noch nie. Andreas Winkelmann hat mit der Option Erfahrung gesammelt,
> meine ich mich zu erinnern.
"Smooth as Sllk" ;-))
Hmm, er sollte aber das:
sasl_mech_list: plain login
nicht vergessen. Trotz der sasldb ist noch der saslauthd im Spiel.
--
Andreas
Mehr Informationen über die Mailingliste Postfixbuch-users