[Postfixbuch-users] sasl Problem

Andreas Kienle andreas.kienle at andysoft.de
Di Jan 17 13:44:50 CET 2006 

Patrick Ben Koetter schrieb:
> * Andreas Kienle <andreas.kienle at andysoft.de>:
> 
>>Patrick Ben Koetter schrieb:
>>
>>>* Andreas Kienle <andreas.kienle at andysoft.de>:
>>>
>>>
>>>>Patrick Ben Koetter schrieb:
>>>>
>>>>
>>>>>Hab gerade wenig Zeit. Die ldap..-Konfig-Einträge der smtpd.conf sind dort
>>>>>falsch. Sie gehören IIRC /usr/local/etc/saslauthd.conf. Wo genau, hängt von
>>>>>den Startoptionen von saslauthd ab. Da kannst Du mit "-O" den Pfad zur
>>>>>ldap-Konfig angeben.
>>>>>
>>>>>p at rick
>>>>
>>>>Hallo Patrick,,
>>>>das habe ich in der /etc/init.d/saslauthd korrigiert.
>>>>
>>>>Hier mal der auszug von ps wax|grep sasl
>>>>smtp2:/etc# ps wax| grep sasl
>>>> 4737 pts/2    S+     0:00 less /etc/postfix/sasl/smtpd.conf
>>>> 5475 ?        Ss     0:00 /usr/sbin/saslauthd -a ldap -O 
>>>>/etc/saslauthd.conf
>>>> 5476 ?        S      0:00 /usr/sbin/saslauthd -a ldap -O 
>>>>/etc/saslauthd.conf
>>>> 5477 ?        S      0:00 /usr/sbin/saslauthd -a ldap -O 
>>>>/etc/saslauthd.conf
>>>> 5478 ?        S      0:00 /usr/sbin/saslauthd -a ldap -O 
>>>>/etc/saslauthd.conf
>>>> 5479 ?        S      0:00 /usr/sbin/saslauthd -a ldap -O 
>>>>/etc/saslauthd.conf
>>>> 5936 pts/1    S+     0:00 grep sasl
>>>>
>>>>
>>>>Somit greift er doch auf die richtige Config zu.
>>>>In dem Fall steht die halt in /etc/saslauthd.conf
>>>>
>>>>Oder?
>>>
>>>
>>>Jo, ist richtig so. Mehr Zeit habe ich gerade nicht. Vielleicht heute spät
>>>abends...
>>>
>>>p at rick
>>
>>Auch dafür bin ich bereit. Wenn das Ding nur wieder läuft.
> 
> 
Hallo Patrick,
> Folgende Dinge sind mir aufgefallen:
> 
> Dein Server ist Debian und die smtpd.conf würde ein Debian-package-Postfix in
> /etc/postfix/sasl/smtpd.conf suchen. Dort hast Du auch folgendes notiert:
> 
> mech_list: PLAIN LOGIN

Das ist ja auch richtig.
> 
> Wenn Postfix den Parameter auswerten würde, würdest Du nur 
> 
> 250-AUTH LOGIN PLAIN
> 250-AUTH=LOGIN PLAIN

So war das auch mal ;-(
> 
> im telnet-Dialog zum Server sehen. Dein saslfinger-Output hat allerdings
> folgendes gezeigt:
> 
> 
>>-- mechanisms on localhost --
>>250-AUTH GSSAPI NTLM LOGIN PLAIN OTP DIGEST-MD5 CRAM-MD5
>>250-AUTH=GSSAPI NTLM LOGIN PLAIN OTP DIGEST-MD5 CRAM-MD5

Stimmt das ist mir auch aufgefallen, obwohl ich dann noch sepparat in 
der /etc/postfix/main.cf

"smtp_sasl_mechanism_filter = PLAIN, LOGIN"

Hinzugefügt habe. Allerdings passiert das gleiche.
War halt ein Versuch.

Wer liefert den POstfix die mechanismen?? Das ich da nochmals 
nachschauen kann.
> 
> 
> Kann es sein, dass Dein Postfix _kein_ Debian-package-Postfix, sondern ein
> selber gebautes Postfix ist? Dann müsste die smtpd.conf nämlich nach
> /usr/lib/sasl2/smtpd.conf wandern...

Nö das ist ein Debianpaket. so weit lehne ich mich noch nicht aus dem 
Fenster, dass ich an einem Produktivsystem anfange selber zu bauen. ;-)
> 
> Außerdem ist mir von dem saslauthd-grep oben in Deiner Mail aufgefallen, dass
> Du saslauthd nicht mit der Option "-r" gestartet hast. Die ist (aber) nötig,
> damit saslauthd nicht den domainpart des authentifizierden Benutzernamens
> 'stripped' - ich nehme an, Deine Benutzernamen im LDAP-Server sind im
> "username at domainpart"-Format.

Den Parameter "-r" habe ich bewußt weggelassen, da es damit nicht 
funktioniert hat. Wir benötigen zu Authentifizierung nur dn "cn" ohne 
Domain. Deshalb auch der ldap_filter in der /etc/postfix/sasl/smtpd.conf


> 
> Und! Teste mit testsaslauthd. Wenn Du mit testsaslauthd keine erfolgreiche
> Authentifizierung hinkriegst, dann wird es mit Postfix schon gar nichts...

Das werde ich nun mal versuchen.
> 
> Viel Erfolg!
> 

Danke!!

cu @ndy
> p at rick
>

Mehr Informationen über die Mailingliste Postfixbuch-users