[Postfixbuch-users] ldap_table tls

Patrick Ben Koetter p at state-of-mind.de
Fr Mai 19 11:24:01 CEST 2006


* Sascha <tdy_shadow at yahoo.com>:
> Das Problem ist wie folgt: Wenn ich mir eine
> eMail zuschicke führt Postfix diese abfrage nach der
> uid ja logischerweise auch durch. Nur da funktioniert
> das nicht. Mit postmap ja, aber wenn Postfix die eMail
> annehmen soll, funktioniert das nicht. Das verstehe
> ich
> nicht, da ja, wenn das mit postmap funktioniert auch
> gleichzeitig bei Postfix auch funktionieren sollte.
> Postfix nimmt die eMail an, führt die Abfrage nach
> der
> uid durch und findet diese nicht.
> 
> Da das ja ohne TLS funktioniert, muss es ja an dieser
> Option liegen, oder ?

Jein ;)

Es kann sowohl am User, der das query ausführt, als auch am query oder einer
damit verbundenen Option liegen.

Die meisten testen ihre maps als root und wundern sich ggf. wenn sie später
nicht gehen. Bei statischen Maps ist das kein Thema. Die liest Postfix am
Anfang ein, läßt dann seine Privilegien fallen und kennt deren Inhalt auch
noch als "postfix"-User.

Anders ist das bei dynamischen Maps. Die kann Postfix nicht beim Start
einlesen. Wenn Postfix also die Privilegien fallen lässt, wird es die Anfrage
an die map als "postfix"-User ausführen. Darf der user "postfix" dann z.B. das
TLS-Cert nicht lesen scheitert die Abfrage; für den user root mit dem die
meisten Testen, ist das natürlich kein Problem.

Wenn Du also mit postmap eine dynamische Map testest, musst Du sie als user
"postfix" testen, sonst simuliert Dein Testaufbau nicht den Wirkbetrieb und
genau darum geht es doch, oder?

Also: Als user postfix die map verbose mit TLS testen. Wenn sie geht, dann
ist nicht die map das Problem, sondern was anderes. Wenn sie nicht geht und
TLS den Unterschied macht, dann musst Du im LDAP-Log im verbose Log des
postmap-queries nach Hinweisen suchen.

Möglich sind:

+ falsche Rechte für Zertifikat
+ ungültiges Zertifikat
+ fehlerhaftes Zertifikat


p at rick





> 
> 
> --- Patrick Ben Koetter <p at state-of-mind.de> wrote:
> 
> > * Sascha <tdy_shadow at yahoo.com>:
> > > Das funktioniert auch ohne Probleme. Die uid wird
> > > richtig zurückgegeben. Im mail.log bleibt bei 
> > > "ldap_int_sasl_open: host.example.com" stehen.
> > 
> > Ich verstehe Dich nicht. Wenn Du den Test wie von
> > mir beschrieben durchf�hrst,
> > dann klappt alles? Das bedeuetet, dass Du als user
> > postfix eine TLS-Verbindung
> > zu einem LDAP-Server aufbaust und dort eine Abfrage
> > machst. Und die klappt?
> > 
> > Wo ist dann das Problem?
> > 
> > p at rick
> > 
> > 
> > 
> > 
> > > Ohne TLS gibt postfix ja connected zurück. Kann
> > es
> > > daran liegen ?
> > > 
> > > --- Patrick Ben Koetter <p at state-of-mind.de>
> > wrote:
> > > 
> > > > * Sascha <tdy_shadow at yahoo.com>:
> > > > > Eigentlich nicht. Im mail.log erscheinen ja
> > alle
> > > > > Parameter der ldap_table, also müsste der
> > postfix
> > > > > user
> > > > > diese ja zumindest lesen können. Es
> > funktioniert
> > > > ja 
> > > > > nur nicht, wenn ich tls aktiviere.
> > > > 
> > > > Also: Ich kann mich an einen Fehler erinnern, wo
> > der
> > > > LDAP client keine Abfrage
> > > > machen durfte, weil OpenSSL den Zugriff nicht
> > auf
> > > > das Cert gestattet hat, weil
> > > > der Client als user postfix ausgef�hrt wurde.
> > > > 
> > > > Erinnerung hilft aber nicht viel, also messen
> > wir:
> > > > 
> > > > 1. tls in table aktivieren
> > > > 2. debuglevel-Parameter in
> > > > /etc/postfix/ldap/local_recipients.cf
> > hinzuf�gen
> > > >    und auf gr�sser 0 setzen
> > > > 2. # su - postfix
> > > > 3. $ postmap -q "test at example.com"
> > > > ldap:/etc/postfix/ldap/local_recipients.cf
> > > > 
> > > > Was sagt die Ausgabe?
> > > > 
> > > > p at rick
> > > > 
> > > > 
> > > > 
> > > > > ich bin verzweifelt :(
> > > > > 
> > > > > --- Patrick Ben Koetter <p at state-of-mind.de>
> > > > wrote:
> > > > > 
> > > > > > * Sascha <tdy_shadow at yahoo.com>:
> > > > > > > Hallo Liste,
> > > > > > > 
> > > > > > > ich habe folgendes Problem:
> > > > > > > Mail-Server (debian) postfix 2.1.5 + ldap.
> > Ich
> > > > > > habe
> > > > > > > unter /etc/postfix/ldap/ eine Datei, mit
> > der
> > > > > > config
> > > > > > > f�r die ldap_table, angelegt. Wenn ich
> > jetzt
> > > > mit
> > > > > 
> > > > > > > "postmap -q "test at example.com"
> > > > > > >
> > ldap:/etc/postfix/ldap/local_recipients.cf"
> > > > > > versuche
> > > > > > > das
> > > > > > > result_attribute zu erfahren, funktioniert
> > > > auch
> > > > > > alles
> > > > > > > (auch mit tls). Wenn ich mir jetzt aber
> > eine
> > > > eMail
> > > > > > > schicke, funktioniert das komischerweise
> > mit
> > > > tls
> > > > > > > nicht mehr. Wenn ich es ausschalte gehts
> > > > sofort.
> > > > > > > Woran kann das liegen?
> > > > > > 
> > > > > > Du testest postmap als root und Postfix
> > benutzt
> > > > die
> > > > > > map als user postfix, ja?
> > > > > > Ich w�rde mal schwer auf die Rechte
> > tippen...
> > > > > > 
> > > > > > p at rick
> > > > > > 
> > > > > > -- 
> > > > > > Das Postfix-Buch
> > > > > > <http://www.postfix-buch.com>
> > > > > > saslfinger (debugging SMTP AUTH):
> > > > > >
> > > > >
> > > >
> > >
> >
> <http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>
> > > > > > -- 
> > > > > >
> > _______________________________________________
> > > > > > Postfixbuch-users mailingliste
> > > > > > Heinlein Professional Linux Support GmbH
> > > > > > 
> > > > > > Postfixbuch-users at listi.jpberlin.de
> > > > > >
> > > > >
> > > >
> > >
> >
> http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
> > > > > > 
> > > > > 
> > > > > 
> > > > >
> > __________________________________________________
> > > > > Do You Yahoo!?
> > > > > Tired of spam?  Yahoo! Mail has the best spam
> > > > protection around 
> > > > > http://mail.yahoo.com 
> > > > > -- 
> > > > >
> > _______________________________________________
> > > > > Postfixbuch-users mailingliste
> > > > > Heinlein Professional Linux Support GmbH
> > > > > 
> > > > > Postfixbuch-users at listi.jpberlin.de
> > > > >
> > > >
> > >
> >
> http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
> > > > 
> > > > -- 
> > > > Das Postfix-Buch
> > > > <http://www.postfix-buch.com>
> > > > saslfinger (debugging SMTP AUTH):
> > > >
> > >
> >
> <http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>
> > > > -- 
> > > > _______________________________________________
> > > > Postfixbuch-users mailingliste
> > > > Heinlein Professional Linux Support GmbH
> > > > 
> > > > Postfixbuch-users at listi.jpberlin.de
> > > >
> > >
> >
> http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
> > > > 
> > > 
> > > 
> > > __________________________________________________
> > > Do You Yahoo!?
> > > Tired of spam?  Yahoo! Mail has the best spam
> > protection around 
> > > http://mail.yahoo.com 
> > > -- 
> > > _______________________________________________
> > > Postfixbuch-users mailingliste
> > > Heinlein Professional Linux Support GmbH
> > > 
> > > Postfixbuch-users at listi.jpberlin.de
> > >
> >
> http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
> > 
> > -- 
> > Das Postfix-Buch
> > <http://www.postfix-buch.com>
> > saslfinger (debugging SMTP AUTH):
> >
> <http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>
> > -- 
> > _______________________________________________
> > Postfixbuch-users mailingliste
> > Heinlein Professional Linux Support GmbH
> > 
> > Postfixbuch-users at listi.jpberlin.de
> >
> http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
> > 
> 
> 
> __________________________________________________
> Do You Yahoo!?
> Tired of spam?  Yahoo! Mail has the best spam protection around 
> http://mail.yahoo.com 
> -- 
> _______________________________________________
> Postfixbuch-users mailingliste
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listi.jpberlin.de
> http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

-- 
Das Postfix-Buch
<http://www.postfix-buch.com>
saslfinger (debugging SMTP AUTH):
<http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>



Mehr Informationen über die Mailingliste Postfixbuch-users