[Postfixbuch-users] smtpauth mit MySQL ohne saslauthd?

Christian Schoepplein chris at schoeppi.net
Sa Apr 18 15:17:44 CEST 2009 

On Sat, Apr 18, 2009 at 11:29:38AM +0200, Andreas Winkelmann wrote:
>>> Eine weitere Frage bzgl. Auth habe ich aber noch :).
>>>
>>> Ich habe hier einmal die DB mit den unverschlüsselten Passworten als
>>> Userbackend und weiterhin einen großen Pool an Benutzern, die nicht in
>>> der DB liegen und denen ich z.B. mit Hilfe von saslauthd und rimap die
>>> Anmeldung an den Mailserver ermöglichen könnte. Am liebsten würde ich
>>> beide Anmeldeverfahren mit einem Postfix-Setup auf einem Server
>>> erschlagen. Es wäre möglich postfix auf verschiedenen Interfaces
>>> lauschen zu lassen und je nach Interface eine Anmeldungsmethode
>>> anzubieten. Allerdings ist mir nicht klar, ob ich einen Postfix mehrere
>>> Authentifizierungsmethoden unterschieben kann und selbst wenn es
>>> postfixseitig geht, habe ich spätestens das Problem mit der nur einmal
>>> vorhandenen smtpd.conf wo ich mich auf ein Verfharen festlegen muss.
>>>
>>> Oder gibt es denn evtl. eine Möglichkeit mein Vorhaben doch irgendwie
>>> umzusetzen?
>>
>> Das geht mit einem wenig bekannten Feature von Cyrus SASL. Du kannst
>> Passwort
>> Check Methoden kaskadieren. Das geht in Deinem Fall indem Du sowohl sql
>> als
>> auch saslauthd als pwcheck_method in smtpd.conf angibst:
>>
>> # smtpd.conf
>> pwcheck_method: auxprop saslauthd
>> auxprop_plugin: sql
>> ...
>>
>>
>> Die Konfigurationsparameter für sql notierst Du auch noch in smtpd.conf.
>> Die
>> Konfigurationsparameter für saslauthd übergibst Du als
>> Kommandozeilenoptionen
>> beim Start von saslauthd.
>
>Aber nicht den kleinsten gemeinsamen anteil an mechanismen vergessen.
>saslauthd kann nur plain und login. Dies muss dann darauf eingeschränkt
>werden:
>
>mech_list: plain login

Merci. Mir ist schon aufgefallen, dass plötzlich NTLM-Logins nicht mehr 
funktionieren.

Gibt es wirklich keine Möglichkeit auch mit saslauthd NTLM usw. zu 
realisieren? Ist es ein Nachteil NTLM, cram-md5 und digest-md5 nicht 
mehr anzubieten, wenn TLS / SSL möglich ist?

>Es würde aber auch mit zwei verschiedenen smtpd listenern funktionieren,
>wie der OP vorgeschlagen hat. In der master.cf einen zweiten smtpd
>einrichten und als option smtpd_sasl_path=smtpd2 mitgeben. Dieser hätte
>eine eigene "smtpd2.conf".

Danke auch dafür. Evtl. stell ich das so noch um.

Im Moment verwende ich nur saslauthd mit rimap auf allen 
Postfixinstanzen, der IMAP Proxy (perdition) kennt alle 150.000 User 
bzw. leitet an den entsprechenden Server weiter :).


Ciao und schönes WE,

  Schöpp


-- 
Christian Schoepplein <chris at schoeppi.net>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 189 bytes
Beschreibung: Digital signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20090418/8ef46bdb/attachment.asc>

Mehr Informationen über die Mailingliste Postfixbuch-users