[Postfixbuch-users] smtp(d) auth - Umstieg von sasldb auf pam_smb_auth

Andreas Krummrich brutus at iunius.org
Mo Jun 18 12:10:16 CEST 2007 

Sandy Drobic schrieb:
> Andreas Krummrich wrote:
>
>   
>> -- smtpd is linked to --
>>         libsasl2.so.2 => /usr/lib/libsasl2.so.2 (0x4019f000)
>>
>> -- active SMTP AUTH and TLS parameters for smtpd --
>> smtpd_sasl_security_options = noanonymous, noplaintext
>>     
>
> Das hatte ich befürchtet. (^-^)
>
> Saslauthd kann keine Shared Secret-Mechanismen wie CRAM-MD5 oder
> DIGEST-MD5 verwenden. Sowohl PLAIN als auch LOGIN sind Mechanismen, die
> das Passwort im Klartext über die Leitung schicken (als Bin64 kodiert, abe
> das kann mit einem Einzeiler Perlscript dekodiert werden).
>
> Nur möglich ist:
>
> smtpd_sasl_security_options = noanonymous
>
> Zusätzlich solltest du dann noch TLS als zwingend vorgeschrieben für AUTH
> setzen:
>
> smtpd_tls_auth_only = yes
>
> Damit rauschen die Passwörter nicht mehr im Klartext über die Leitung.
>
>   
>> -- listing of /usr/lib/sasl2 --
>> total 848
>> drwxr-xr-x   2 root root  4096 Jun 14 15:42 .
>> drwxr-xr-x  37 root root  8192 Jun  8 14:43 ..
>> -rw-r--r--   1 root root 13492 Aug  8  2006 libanonymous.a
>> -rw-r--r--   1 root root   851 Aug  8  2006 libanonymous.la
>> -rw-r--r--   1 root root 13824 Aug  8  2006 libanonymous.so
>> -rw-r--r--   1 root root 13824 Aug  8  2006 libanonymous.so.2
>> -rw-r--r--   1 root root 13824 Aug  8  2006 libanonymous.so.2.0.19
>> -rw-r--r--   1 root root 16298 Aug  8  2006 libcrammd5.a
>> -rw-r--r--   1 root root   837 Aug  8  2006 libcrammd5.la
>> -rw-r--r--   1 root root 16180 Aug  8  2006 libcrammd5.so
>> -rw-r--r--   1 root root 16180 Aug  8  2006 libcrammd5.so.2
>> -rw-r--r--   1 root root 16180 Aug  8  2006 libcrammd5.so.2.0.19
>> -rw-r--r--   1 root root 47520 Aug  8  2006 libdigestmd5.a
>> -rw-r--r--   1 root root   860 Aug  8  2006 libdigestmd5.la
>> -rw-r--r--   1 root root 43944 Aug  8  2006 libdigestmd5.so
>> -rw-r--r--   1 root root 43944 Aug  8  2006 libdigestmd5.so.2
>> -rw-r--r--   1 root root 43944 Aug  8  2006 libdigestmd5.so.2.0.19
>> -rw-r--r--   1 root root 13726 Aug  8  2006 liblogin.a
>> -rw-r--r--   1 root root   831 Aug  8  2006 liblogin.la
>> -rw-r--r--   1 root root 14028 Aug  8  2006 liblogin.so
>> -rw-r--r--   1 root root 14028 Aug  8  2006 liblogin.so.2
>> -rw-r--r--   1 root root 14028 Aug  8  2006 liblogin.so.2.0.19
>> -rw-r--r--   1 root root 31248 Aug  8  2006 libntlm.a
>> -rw-r--r--   1 root root   825 Aug  8  2006 libntlm.la
>> -rw-r--r--   1 root root 30692 Aug  8  2006 libntlm.so
>> -rw-r--r--   1 root root 30692 Aug  8  2006 libntlm.so.2
>> -rw-r--r--   1 root root 30692 Aug  8  2006 libntlm.so.2.0.19
>> -rw-r--r--   1 root root 20142 Aug  8  2006 libotp.a
>> -rw-r--r--   1 root root   825 Aug  8  2006 libotp.la
>> -rw-r--r--   1 root root 43184 Aug  8  2006 libotp.so
>> -rw-r--r--   1 root root 43184 Aug  8  2006 libotp.so.2
>> -rw-r--r--   1 root root 43184 Aug  8  2006 libotp.so.2.0.19
>> -rw-r--r--   1 root root 13886 Aug  8  2006 libplain.a
>> -rw-r--r--   1 root root   831 Aug  8  2006 libplain.la
>> -rw-r--r--   1 root root 14096 Aug  8  2006 libplain.so
>> -rw-r--r--   1 root root 14096 Aug  8  2006 libplain.so.2
>> -rw-r--r--   1 root root 14096 Aug  8  2006 libplain.so.2.0.19
>> -rw-r--r--   1 root root 21810 Aug  8  2006 libsasldb.a
>> -rw-r--r--   1 root root   852 Aug  8  2006 libsasldb.la
>> -rw-r--r--   1 root root 18692 Aug  8  2006 libsasldb.so
>> -rw-r--r--   1 root root 18692 Aug  8  2006 libsasldb.so.2
>> -rw-r--r--   1 root root 18692 Aug  8  2006 libsasldb.so.2.0.19
>> -rw-r--r--   1 root root    74 Jun 17 21:38 smtpd.conf
>>     
>
> Du hast alle verfügbaren Mechanismen installiert, nutzen kannst du mit
> Saslauthd jedoch nur PLAIN und LOGIN.
>
>   
>>
>> -- content of /usr/lib/sasl2/smtpd.conf --
>> #pwcheck_method: sasldb
>> pwcheck_method: saslauthd
>> mech_list: login plain
>>
>> -- mechanisms on localhost --
>>
>> -- end of saslfinger output --
>>     
>
> Deshalb ist die Schnittmenge von (noplaintext| PLAIN, LOGIN) leider leer.
>
>   
Ok, danke das war es. Nun arbeitet Postfix wieder. Nur leider bekomme 
ich diese Fehlemeldung wenn ich mich anmelden möchte:

Jun 18 11:39:46 santa postfix/smtpd[9908]: connect from 
otto.springfield.home[10.10.42.17]
Jun 18 11:39:49 santa postfix/smtpd[9908]: warning: SASL authentication 
failure: cannot connect to saslauthd server: Permission denied
Jun 18 11:39:49 santa postfix/smtpd[9908]: warning: SASL authentication 
failure: Password verification failed
Jun 18 11:39:49 santa postfix/smtpd[9908]: warning: 
otto.springfield.home[10.10.42.17]: SASL PLAIN authentication failed

Liegt das vielleicht daran, dass der Postfix als user postfix und nicht 
als root läuft?

Gruß,
    Andreas

Mehr Informationen über die Mailingliste Postfixbuch-users