[Postfixbuch-users] Kurze Vorstellung &auxprop/sasl2 Verzweiflung
Patrick Ben Koetter
p at state-of-mind.de
Do Aug 31 08:56:11 CEST 2006
* Olaf Spaarmann <olaf at stadtpool.de>:
> > auxprop ist eine Methode, kein Mech.
>
> Habe ich es dann richtig verstanden, dass auxprop zwar mit sasl2 kommt,
> aber unabhängig davon gestartet wird? Aber wie starte ich den Dienst
> dann, oder läuft dort kein Dämon? Man man, ich muss wirklich noch ne
> Menge lesen...
Bei Cyrus SASL muss man eine Menge lesen und das Problem ist: Es gibt nahezu
nichts zu lesen...
Hier eine Kurzversion zu saslauthd und auxprop:
Postfix bindet die libsasl ein.
libsasl kontrolliert Authentifizierung
libsasl kann authentifizieren über
+ saslauthd
+ auxprop-Plugins
saslauthd ist ein standalone Password Verification Service, der nur rausfinden
kann "Passwort stimmt, Passwort stimmt nicht". Deswegen kann saslauthd nicht
mit shared-secret-Mechanismen (cram-md5, digest-md5) umgehen, denn für diese
Mechanismen ist es notwendig zu wissen wie (!) das Passwort lautet und nicht
nur "es stimmt" oder eben "es stimmt nicht".
auxprop-Plugins sind Hilfseigenschaften (auxilliary property plugins). Sie
können bei der Authentifizierung helfen, indem sie Username und Passwort im
Klartext aus einem backend (z.B. SQL) holen.
libsasl macht führt dann die Authentifizierung durch, indem es entsprechend
der Mechanismen (plain, login, cram-md5, digest-md5, ...) diese Daten
aufbereitet.
Cyrus SASL kennt von Haus aus mehrere auxprop-Plugins: sasldb, sql, ldapdb.
> > Falscher Pfad und falsche Angaben... Du willst dies hier:
>
> Mein Fehler, kleine Flüchtigkeit
oh...
> Ich habe es jetzt inzwischen geschafft, sasl mit pam-mysql zum laufen zu
> kriegen. Funktioniert auch remote ganz wunderbar.
>
> Frage: Wo ist der große Unterschied zwischen sasl-auxprop und sasl-pam?
> Funktionieren beide mit Outlook? Funktionieren beide mit TLS?
Birnen und Äpfel... ;)
auxprop kann sasldb, sql, ldapdb
saslauthd kann ... und PAM.
Beide sind protokollunabhängig, sie arbeiten lokal auf deinem Server, und
deshalb ist es ihnen schnuppe ob TLS genutzt wird oder eben nicht.
Beide können mit Outlook funktionieren, wenn (!) Du den Mechanismus LOGIN mit
anbietest. Wenn Du den Mechanismus NTLM mit Outlook nutzen möchtest, musst Du
auxprops einsetzen - damit kann saslauthd nicht umgehen.
> Entschuldigt die dämlichen Fragen, aber ich bin nach zahlreichen
> widersprüchlichen Informationen leicht verwirrt und recht ratlos.
>
> Anyway, der nächste Schritt wäre jetzt für mich, dass die User auch an
> ihre Mails drankommen. Was ist bei dieser Kombination (mit spamassassin
> und clamav und maildrop) eher zu empfehlen: cyrus oder courier? Ich
> würde auch gerne squirrelmail verwenden.
Birnen, Äpfel und .. Melonen?
Spamassassin und clamav werden in den Postfix Kreislauf eingeschaltet.
maildrop kannst Du nur mit Courier IMAP verwenden. Für Cyrus wäre das
Äquivalent "Sieve".
An beide IMAP-Server kommst Du mit squirrelmail ran. Das sollte die Wahl des
IMAP-Servers nicht beinflussen.
Angesichts der Menge an Doku zu Cyrus IMAP rate ich Dir zu Courier IMAP. ;)
> Ich tendiere jetzt eher zu cyrus, da ich dann noch cyradm verwenden
> könnte.
Was musst Du denn administrieren?
Wenn Du nicht gerade shared-folders verwendest, gibt's da nur "user anlegen,
user löschen".
Bei Courier wäre das dann ein maildirmake-Aufruf - verkürzt dargestellt...
> Vielen, vielen Dank für die Hilfe soweit.
gerne.
> Und jetzt gibt’s saslfinger
>
> saslfinger - postfix Cyrus sasl configuration Thu Aug 31 04:49:49 MSD
> 2006
> version: 1.0
> mode: server-side SMTP AUTH
>
> -- basics --
> Postfix: 2.2.8
> System: Fedora Core release 5 (Bordeaux)
>
> -- smtpd is linked to --
> libsasl2.so.2 => /usr/lib/libsasl2.so.2 (0xb7cf1000)
>
> -- active SMTP AUTH and TLS parameters for smtpd --
> broken_sasl_auth_clients = yes
> smtpd_sasl_auth_enable = yes
> smtpd_sasl_local_domain =
smtpd_sasl_local_domain rausschmeissen
> smtpd_sasl_security_options = noanonymous
>
>
> -- listing of /usr/lib/sasl --
> total 24
> drwxr-xr-x 2 root root 4096 Aug 28 18:46 .
> drwxr-xr-x 42 root root 20480 Aug 30 22:38 ..
>
> -- listing of /usr/lib/sasl2 --
> total 3276
> drwxr-xr-x 2 root root 4096 Aug 31 02:37 .
> drwxr-xr-x 42 root root 20480 Aug 30 22:38 ..
> -rw-r--r-- 1 root root 25 Jul 20 14:23 Sendmail.conf
> -rwxr-xr-x 1 root root 884 Feb 20 2006 libanonymous.la
> -rwxr-xr-x 1 root root 14668 Feb 20 2006 libanonymous.so
> -rwxr-xr-x 1 root root 14668 Feb 20 2006 libanonymous.so.2
> -rwxr-xr-x 1 root root 14668 Feb 20 2006 libanonymous.so.2.0.21
> -rwxr-xr-x 1 root root 870 Feb 20 2006 libcrammd5.la
> -rwxr-xr-x 1 root root 17288 Feb 20 2006 libcrammd5.so
> -rwxr-xr-x 1 root root 17288 Feb 20 2006 libcrammd5.so.2
> -rwxr-xr-x 1 root root 17288 Feb 20 2006 libcrammd5.so.2.0.21
> -rwxr-xr-x 1 root root 893 Feb 20 2006 libdigestmd5.la
> -rwxr-xr-x 1 root root 47200 Feb 20 2006 libdigestmd5.so
> -rwxr-xr-x 1 root root 47200 Feb 20 2006 libdigestmd5.so.2
> -rwxr-xr-x 1 root root 47200 Feb 20 2006 libdigestmd5.so.2.0.21
> -rwxr-xr-x 1 root root 856 Feb 20 2006 liblogin.la
> -rwxr-xr-x 1 root root 15080 Feb 20 2006 liblogin.so
> -rwxr-xr-x 1 root root 15080 Feb 20 2006 liblogin.so.2
> -rwxr-xr-x 1 root root 15080 Feb 20 2006 liblogin.so.2.0.21
> -rwxr-xr-x 1 root root 858 Feb 20 2006 libntlm.la
> -rwxr-xr-x 1 root root 32132 Feb 20 2006 libntlm.so
> -rwxr-xr-x 1 root root 32132 Feb 20 2006 libntlm.so.2
> -rwxr-xr-x 1 root root 32132 Feb 20 2006 libntlm.so.2.0.21
> -rwxr-xr-x 1 root root 856 Feb 20 2006 libplain.la
> -rwxr-xr-x 1 root root 15144 Feb 20 2006 libplain.so
> -rwxr-xr-x 1 root root 15144 Feb 20 2006 libplain.so.2
> -rwxr-xr-x 1 root root 15144 Feb 20 2006 libplain.so.2.0.21
> -rwxr-xr-x 1 root root 941 Feb 20 2006 libsasldb.la
> -rwxr-xr-x 1 root root 909324 Feb 20 2006 libsasldb.so
> -rwxr-xr-x 1 root root 909324 Feb 20 2006 libsasldb.so.2
> -rwxr-xr-x 1 root root 909324 Feb 20 2006 libsasldb.so.2.0.21
> -rwxr-xr-x 1 root root 878 Feb 20 2006 libsql.la
> -rwxr-xr-x 1 root root 23556 Feb 20 2006 libsql.so
> -rwxr-xr-x 1 root root 23556 Feb 20 2006 libsql.so.2
> -rwxr-xr-x 1 root root 23556 Feb 20 2006 libsql.so.2.0.21
> drwxr-xr-x 2 root root 4096 Aug 31 02:37 sasl2
Was'n das für ein Dir?
> -rw-r--r-- 1 root root 916 Aug 31 02:37 smtpd.conf
> -r-------- 1 89 89 380 Aug 27 23:29 smtpd.conf.rpmsave
>
>
>
>
> -- content of /usr/lib/sasl2/smtpd.conf --
ARGH... Da solltest Du aufräumen... ;)
pwcheck_method: saslauthd
mech_list: plain login
Das wäre alles für saslauthd.
> -- content of /etc/postfix/sasl/smtpd.conf --
Löschen! /etc/postfix/sasl/smtpd.conf ist nur bei Debian nötig...
> -- active services in /etc/postfix/master.cf --
> # service type private unpriv chroot wakeup maxproc command + args
> # (yes) (yes) (yes) (never) (100)
> smtp inet n - n - 50 smtpd -v
okay. Nicht vergessen "-v" wieder rauszunehmen, wenn Du fertig bist.
Wenn Du mit "testsaslauthd" Authentifizierung durchführen kannst, bist Du auf
dem richtigen Weg.
p at rick
--
Das Postfix-Buch
<http://www.postfix-buch.com>
saslfinger (debugging SMTP AUTH):
<http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>
Mehr Informationen über die Mailingliste Postfixbuch-users