[Postfixbuch-users] Kurze Vorstellung &auxprop/sasl2 Verzweiflung

Patrick Ben Koetter p at state-of-mind.de
Do Aug 31 08:56:11 CEST 2006 

* Olaf Spaarmann <olaf at stadtpool.de>:
> > auxprop ist eine Methode, kein Mech.
> 
> Habe ich es dann richtig verstanden, dass auxprop zwar mit sasl2 kommt,
> aber unabhängig davon gestartet wird? Aber wie starte ich den Dienst
> dann, oder läuft dort kein Dämon? Man man, ich muss wirklich noch ne
> Menge lesen...

Bei Cyrus SASL muss man eine Menge lesen und das Problem ist: Es gibt nahezu
nichts zu lesen...

Hier eine Kurzversion zu saslauthd und auxprop:

Postfix bindet die libsasl ein.
libsasl kontrolliert Authentifizierung
libsasl kann authentifizieren über
+ saslauthd
+ auxprop-Plugins

saslauthd ist ein standalone Password Verification Service, der nur rausfinden
kann "Passwort stimmt, Passwort stimmt nicht". Deswegen kann saslauthd nicht
mit shared-secret-Mechanismen (cram-md5, digest-md5) umgehen, denn für diese
Mechanismen ist es notwendig zu wissen wie (!) das Passwort lautet und nicht
nur "es stimmt" oder eben "es stimmt nicht".

auxprop-Plugins sind Hilfseigenschaften (auxilliary property plugins). Sie
können bei der Authentifizierung helfen, indem sie Username und Passwort im
Klartext aus einem backend (z.B. SQL) holen.
libsasl macht führt dann die Authentifizierung durch, indem es entsprechend
der Mechanismen (plain, login, cram-md5, digest-md5, ...) diese Daten
aufbereitet.

Cyrus SASL kennt von Haus aus mehrere auxprop-Plugins: sasldb, sql, ldapdb.


> > Falscher Pfad und falsche Angaben... Du willst dies hier:
> 
> Mein Fehler, kleine Flüchtigkeit

oh...

> Ich habe es jetzt inzwischen geschafft, sasl mit pam-mysql zum laufen zu
> kriegen. Funktioniert auch remote ganz wunderbar. 
> 
> Frage: Wo ist der große Unterschied zwischen sasl-auxprop und sasl-pam?
> Funktionieren beide mit Outlook? Funktionieren beide mit TLS?

Birnen und Äpfel... ;)

auxprop kann sasldb, sql, ldapdb
saslauthd kann ... und PAM.

Beide sind protokollunabhängig, sie arbeiten lokal auf deinem Server, und
deshalb ist es ihnen schnuppe ob TLS genutzt wird oder eben nicht.

Beide können mit Outlook funktionieren, wenn (!) Du den Mechanismus LOGIN mit
anbietest. Wenn Du den Mechanismus NTLM mit Outlook nutzen möchtest, musst Du
auxprops einsetzen - damit kann saslauthd nicht umgehen.


> Entschuldigt die dämlichen Fragen, aber ich bin nach zahlreichen
> widersprüchlichen Informationen leicht verwirrt und recht ratlos.
> 
> Anyway, der nächste Schritt wäre jetzt für mich, dass die User auch an
> ihre Mails drankommen. Was ist bei dieser Kombination (mit spamassassin
> und clamav und maildrop) eher zu empfehlen: cyrus oder courier? Ich
> würde auch gerne squirrelmail verwenden.

Birnen, Äpfel und .. Melonen?

Spamassassin und clamav werden in den Postfix Kreislauf eingeschaltet.

maildrop kannst Du nur mit Courier IMAP verwenden. Für Cyrus wäre das
Äquivalent "Sieve".

An beide IMAP-Server kommst Du mit squirrelmail ran. Das sollte die Wahl des
IMAP-Servers nicht beinflussen.

Angesichts der Menge an Doku zu Cyrus IMAP rate ich Dir zu Courier IMAP. ;)

> Ich tendiere jetzt eher zu cyrus, da ich dann noch cyradm verwenden
> könnte.

Was musst Du denn administrieren?
Wenn Du nicht gerade shared-folders verwendest, gibt's da nur "user anlegen,
user löschen".

Bei Courier wäre das dann ein maildirmake-Aufruf - verkürzt dargestellt...


> Vielen, vielen Dank für die Hilfe soweit. 

gerne.

> Und jetzt gibt’s saslfinger
> 
> saslfinger - postfix Cyrus sasl configuration Thu Aug 31 04:49:49 MSD
> 2006
> version: 1.0
> mode: server-side SMTP AUTH
> 
> -- basics --
> Postfix: 2.2.8
> System: Fedora Core release 5 (Bordeaux)
> 
> -- smtpd is linked to --
>         libsasl2.so.2 => /usr/lib/libsasl2.so.2 (0xb7cf1000)
> 
> -- active SMTP AUTH and TLS parameters for smtpd --
> broken_sasl_auth_clients = yes
> smtpd_sasl_auth_enable = yes
> smtpd_sasl_local_domain =

smtpd_sasl_local_domain rausschmeissen

> smtpd_sasl_security_options = noanonymous
> 
> 
> -- listing of /usr/lib/sasl --
> total 24
> drwxr-xr-x  2 root root  4096 Aug 28 18:46 .
> drwxr-xr-x 42 root root 20480 Aug 30 22:38 ..
> 
> -- listing of /usr/lib/sasl2 --
> total 3276
> drwxr-xr-x  2 root root   4096 Aug 31 02:37 .
> drwxr-xr-x 42 root root  20480 Aug 30 22:38 ..
> -rw-r--r--  1 root root     25 Jul 20 14:23 Sendmail.conf
> -rwxr-xr-x  1 root root    884 Feb 20  2006 libanonymous.la
> -rwxr-xr-x  1 root root  14668 Feb 20  2006 libanonymous.so
> -rwxr-xr-x  1 root root  14668 Feb 20  2006 libanonymous.so.2
> -rwxr-xr-x  1 root root  14668 Feb 20  2006 libanonymous.so.2.0.21
> -rwxr-xr-x  1 root root    870 Feb 20  2006 libcrammd5.la
> -rwxr-xr-x  1 root root  17288 Feb 20  2006 libcrammd5.so
> -rwxr-xr-x  1 root root  17288 Feb 20  2006 libcrammd5.so.2
> -rwxr-xr-x  1 root root  17288 Feb 20  2006 libcrammd5.so.2.0.21
> -rwxr-xr-x  1 root root    893 Feb 20  2006 libdigestmd5.la
> -rwxr-xr-x  1 root root  47200 Feb 20  2006 libdigestmd5.so
> -rwxr-xr-x  1 root root  47200 Feb 20  2006 libdigestmd5.so.2
> -rwxr-xr-x  1 root root  47200 Feb 20  2006 libdigestmd5.so.2.0.21
> -rwxr-xr-x  1 root root    856 Feb 20  2006 liblogin.la
> -rwxr-xr-x  1 root root  15080 Feb 20  2006 liblogin.so
> -rwxr-xr-x  1 root root  15080 Feb 20  2006 liblogin.so.2
> -rwxr-xr-x  1 root root  15080 Feb 20  2006 liblogin.so.2.0.21
> -rwxr-xr-x  1 root root    858 Feb 20  2006 libntlm.la
> -rwxr-xr-x  1 root root  32132 Feb 20  2006 libntlm.so
> -rwxr-xr-x  1 root root  32132 Feb 20  2006 libntlm.so.2
> -rwxr-xr-x  1 root root  32132 Feb 20  2006 libntlm.so.2.0.21
> -rwxr-xr-x  1 root root    856 Feb 20  2006 libplain.la
> -rwxr-xr-x  1 root root  15144 Feb 20  2006 libplain.so
> -rwxr-xr-x  1 root root  15144 Feb 20  2006 libplain.so.2
> -rwxr-xr-x  1 root root  15144 Feb 20  2006 libplain.so.2.0.21
> -rwxr-xr-x  1 root root    941 Feb 20  2006 libsasldb.la
> -rwxr-xr-x  1 root root 909324 Feb 20  2006 libsasldb.so
> -rwxr-xr-x  1 root root 909324 Feb 20  2006 libsasldb.so.2
> -rwxr-xr-x  1 root root 909324 Feb 20  2006 libsasldb.so.2.0.21
> -rwxr-xr-x  1 root root    878 Feb 20  2006 libsql.la
> -rwxr-xr-x  1 root root  23556 Feb 20  2006 libsql.so
> -rwxr-xr-x  1 root root  23556 Feb 20  2006 libsql.so.2
> -rwxr-xr-x  1 root root  23556 Feb 20  2006 libsql.so.2.0.21

> drwxr-xr-x  2 root root   4096 Aug 31 02:37 sasl2

Was'n das für ein Dir?


> -rw-r--r--  1 root root    916 Aug 31 02:37 smtpd.conf
> -r--------  1   89   89    380 Aug 27 23:29 smtpd.conf.rpmsave
> 
> 
> 
> 
> -- content of /usr/lib/sasl2/smtpd.conf --

ARGH... Da solltest Du aufräumen... ;)

pwcheck_method: saslauthd
mech_list: plain login

Das wäre alles für saslauthd.

> -- content of /etc/postfix/sasl/smtpd.conf --

Löschen! /etc/postfix/sasl/smtpd.conf ist nur bei Debian nötig...

> -- active services in /etc/postfix/master.cf --
> # service type  private unpriv  chroot  wakeup  maxproc command + args
> #               (yes)   (yes)   (yes)   (never) (100)
> smtp      inet  n       -       n       -       50      smtpd -v

okay. Nicht vergessen "-v" wieder rauszunehmen, wenn Du fertig bist.


Wenn Du mit "testsaslauthd" Authentifizierung durchführen kannst, bist Du auf
dem richtigen Weg.

p at rick




-- 
Das Postfix-Buch
<http://www.postfix-buch.com>
saslfinger (debugging SMTP AUTH):
<http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>

Mehr Informationen über die Mailingliste Postfixbuch-users