[Postfixbuch-users] ldap_table tls

[Sascha]

dann überprüf ich nochmal die zertifikate. Danke
aber
erstmal für die schnelle Hilfe. Falls ich nichts
finde,
nerv ich weiter ;)

beste grüße

--- Patrick Ben Koetter <p at state-of-mind.de> wrote:

> * Sascha <tdy_shadow at yahoo.com>:
> > Das Problem ist wie folgt: Wenn ich mir eine
> > eMail zuschicke führt Postfix diese abfrage nach
> der
> > uid ja logischerweise auch durch. Nur da
> funktioniert
> > das nicht. Mit postmap ja, aber wenn Postfix die
> eMail
> > annehmen soll, funktioniert das nicht. Das
> verstehe
> > ich
> > nicht, da ja, wenn das mit postmap funktioniert
> auch
> > gleichzeitig bei Postfix auch funktionieren
> sollte.
> > Postfix nimmt die eMail an, führt die Abfrage
> nach
> > der
> > uid durch und findet diese nicht.
> > 
> > Da das ja ohne TLS funktioniert, muss es ja an
> dieser
> > Option liegen, oder ?
> 
> Jein ;)
> 
> Es kann sowohl am User, der das query ausf�hrt,
als
> auch am query oder einer
> damit verbundenen Option liegen.
> 
> Die meisten testen ihre maps als root und wundern
> sich ggf. wenn sie sp�ter
> nicht gehen. Bei statischen Maps ist das kein Thema.
> Die liest Postfix am
> Anfang ein, l��t dann seine Privilegien fallen
und
> kennt deren Inhalt auch
> noch als "postfix"-User.
> 
> Anders ist das bei dynamischen Maps. Die kann
> Postfix nicht beim Start
> einlesen. Wenn Postfix also die Privilegien fallen
> l�sst, wird es die Anfrage
> an die map als "postfix"-User ausf�hren. Darf der
> user "postfix" dann z.B. das
> TLS-Cert nicht lesen scheitert die Abfrage; f�r
den
> user root mit dem die
> meisten Testen, ist das nat�rlich kein Problem.
> 
> Wenn Du also mit postmap eine dynamische Map
> testest, musst Du sie als user
> "postfix" testen, sonst simuliert Dein Testaufbau
> nicht den Wirkbetrieb und
> genau darum geht es doch, oder?
> 
> Also: Als user postfix die map verbose mit TLS
> testen. Wenn sie geht, dann
> ist nicht die map das Problem, sondern was anderes.
> Wenn sie nicht geht und
> TLS den Unterschied macht, dann musst Du im LDAP-Log
> im verbose Log des
> postmap-queries nach Hinweisen suchen.
> 
> M�glich sind:
> 
> + falsche Rechte f�r Zertifikat
> + ung�ltiges Zertifikat
> + fehlerhaftes Zertifikat
> 
> 
> p at rick
> 
> 
> 
> 
> 
> > 
> > 
> > --- Patrick Ben Koetter <p at state-of-mind.de>
> wrote:
> > 
> > > * Sascha <tdy_shadow at yahoo.com>:
> > > > Das funktioniert auch ohne Probleme. Die uid
> wird
> > > > richtig zurückgegeben. Im mail.log bleibt bei
> 
> > > > "ldap_int_sasl_open: host.example.com" stehen.
> > > 
> > > Ich verstehe Dich nicht. Wenn Du den Test wie
> von
> > > mir beschrieben durchf�hrst,
> > > dann klappt alles? Das bedeuetet, dass Du als
> user
> > > postfix eine TLS-Verbindung
> > > zu einem LDAP-Server aufbaust und dort eine
> Abfrage
> > > machst. Und die klappt?
> > > 
> > > Wo ist dann das Problem?
> > > 
> > > p at rick
> > > 
> > > 
> > > 
> > > 
> > > > Ohne TLS gibt postfix ja connected zurück.
> Kann
> > > es
> > > > daran liegen ?
> > > > 
> > > > --- Patrick Ben Koetter <p at state-of-mind.de>
> > > wrote:
> > > > 
> > > > > * Sascha <tdy_shadow at yahoo.com>:
> > > > > > Eigentlich nicht. Im mail.log erscheinen
> ja
> > > alle
> > > > > > Parameter der ldap_table, also müsste der
> > > postfix
> > > > > > user
> > > > > > diese ja zumindest lesen können. Es
> > > funktioniert
> > > > > ja 
> > > > > > nur nicht, wenn ich tls aktiviere.
> > > > > 
> > > > > Also: Ich kann mich an einen Fehler
> erinnern, wo
> > > der
> > > > > LDAP client keine Abfrage
> > > > > machen durfte, weil OpenSSL den Zugriff
> nicht
> > > auf
> > > > > das Cert gestattet hat, weil
> > > > > der Client als user postfix ausgef�hrt
> wurde.
> > > > > 
> > > > > Erinnerung hilft aber nicht viel, also
> messen
> > > wir:
> > > > > 
> > > > > 1. tls in table aktivieren
> > > > > 2. debuglevel-Parameter in
> > > > > /etc/postfix/ldap/local_recipients.cf
> > > hinzuf�gen
> > > > >    und auf gr�sser 0 setzen
> > > > > 2. # su - postfix
> > > > > 3. $ postmap -q "test at example.com"
> > > > > ldap:/etc/postfix/ldap/local_recipients.cf
> > > > > 
> > > > > Was sagt die Ausgabe?
> > > > > 
> > > > > p at rick
> > > > > 
> > > > > 
> > > > > 
> > > > > > ich bin verzweifelt :(
> > > > > > 
> > > > > > --- Patrick Ben Koetter
> <p at state-of-mind.de>
> > > > > wrote:
> > > > > > 
> > > > > > > * Sascha <tdy_shadow at yahoo.com>:
> > > > > > > > Hallo Liste,
> > > > > > > > 
> > > > > > > > ich habe folgendes Problem:
> > > > > > > > Mail-Server (debian) postfix 2.1.5 +
> ldap.
> > > Ich
> > > > > > > habe
> > > > > > > > unter /etc/postfix/ldap/ eine Datei,
> mit
> > > der
> > > > > > > config
> > > > > > > > f�r die ldap_table, angelegt. Wenn
> ich
> > > jetzt
> > > > > mit
> > > > > > 
> > > > > > > > "postmap -q "test at example.com"
> > > > > > > >
> > > ldap:/etc/postfix/ldap/local_recipients.cf"
> > > > > > > versuche
> > > > > > > > das
> > > > > > > > result_attribute zu erfahren,
> funktioniert
> > > > > auch
> > > > > > > alles
> > > > > > > > (auch mit tls). Wenn ich mir jetzt
> aber
> > > eine
> > > > > eMail
> > > > > > > > schicke, funktioniert das
> komischerweise
> > > mit
> > > > > tls
> > > > > > > > nicht mehr. Wenn ich es ausschalte
> gehts
> > > > > sofort.
> > > > > > > > Woran kann das liegen?
> > > > > > > 
> > > > > > > Du testest postmap als root und Postfix
> > > benutzt
> 
=== message truncated ===


__________________________________________________
Do You Yahoo!?
Tired of spam?  Yahoo! Mail has the best spam protection around 
http://mail.yahoo.com