[Postfixbuch-users] Authentifizierung gegen Systembenutzer (shadow)

Mario Lipinski mario at lipinski.tk
Mo Nov 13 00:19:00 CET 2006


Am Sonntag, den 12.11.2006, 23:30 +0100 schrieb Patrick Ben Koetter:
> * Mario Lipinski <mario at lipinski.tk>:
> > Hallo,
> > 
> > ich verwende momentan auxprop für Authentifizierung gegen SQL und
> > saslauthd für Authentifizierung gegen shadow.
> > Leider stürzt saslauthd gerne mal ab, so dass ich am überlegen bin, ob
> > man shadow nicht auch über auxprop laufen lassen könnte? Das würde mir
> > einen laufenden Daemon sparen und ich könnte mir die Fehlersuche sparen.
> 
> Das ist seit Cyrus-SASL.1.x nicht mehr möglich und auch gut so, denn um auf
> die shadow zuzugreifen, must Du ein privilegierter User sein und das würde
> bedeuten, Postfix müßte mit privilegierten Rechten laufen, wenn es die
> eingebundene libsasl nutzt, um auf die shadow zuzugreifen.

Stimmt, das hatte ich irgendwie in meinen Überlegungen übergangen.

> Du wirst wohl saslauthd debuggen müssen. Gibt es Fehlermeldungen?

Nicht viel:

kernel: saslauthd[20529]: segfault at 0000000043018180 rip 00002b7d42d1a5e0 rsp 00007fff68c9ed68 error 4
postfix/smtpd[28776]: warning: SASL authentication failure: cannot connect to saslauthd server: Connection refused


Allerdings habe ich das ganze ein wenig genauer untersucht und dabei ein
paar Sachen festgestellt die mir ein wenig unklar sind.
Der Rechner oben ist im Folgenden server1.

Der Rechner von dem da Zugegriffen wurde, steht ebenfalls unter meiner
Gewalt.
Dies ist ein Rechner der über eine dynamische IP am Netz ist und über
einen Relayhost (server2) seine Mails verschickt. Für server2 sind auch
Anmeldedaten hinterlegt. Die zugehörige DB ist auch aktuell.
Nun war server2 nicht gewillt, Mails anzunehmen. server1 ist backup mx
für so ziemlich alles was auf server2 auflaufen soll (dig mx server2
liefert server1 und server2). Also wurde versucht an server1 zuzustellen
und sich dort zu authentifzieren - was natürlich fehlschlägt - auch
reproduzierbar mit Segfault.

Ich werde das später mal versuchen manuell zu reproduzieren. Und ggf.
mal ein wenig den Prozess debuggen.

Was ich mich hier frage: wird der Relayhost auch über MX-RRs aufgelöst?
Eigentlich sollte hier für mein Verständnis nur A-RRs herangezogen
werden... Mein Rechner mit dynamischer IP soll nicht mit server1 reden.


Gruß,
Mario

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 189 bytes
Beschreibung: Dies ist ein digital signierter Nachrichtenteil
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20061113/1ea3a486/attachment.asc>


Mehr Informationen über die Mailingliste Postfixbuch-users