<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html;charset=ISO-8859-1" http-equiv="Content-Type">
</head>
<body bgcolor="#ffffff" text="#000000">
<font size="-1">Super, das war es, danke!<br>
Lag an der </font><small>/etc/postfix/sasl/smtpd.conf</small><br>
<small><br>
Kann ich außer PLAIN und LOGIN denn auch noch andere Mechanismen
nutzen? Ich würde für Nicht-TLS Verbindungen gerne etwas anderes
anbieten...<br>
In /var/log/mail.warn sagt er<br>
Mar  9 19:38:06 txxx postfix/smtpd[13624]: warning: SASL authentication
failure: no secret in database<br>
Mar  9 19:38:06 txxx postfix/smtpd[13624]: warning:
p....dip0.t-ipconnect.de[...]: SASL CRAM-MD5 authentication failed<br>
Mar  9 19:38:06 txxx postfix/smtpd[13624]: warning: SASL authentication
failure: no secret in database<br>
Mar  9 19:38:06 txxx postfix/smtpd[13624]: warning:
p....dip0.t-ipconnect.de[...]: SASL NTLM authentication failed<br>
Liegt das an PAM oder schlicht und einfach an Mozilla? Welche
Mechanismen kann denn Thunderbird?
<a class="moz-txt-link-freetext" href="http://www.melnikov.ca/mel/devel/SASL_ClientRef.html">http://www.melnikov.ca/mel/devel/SASL_ClientRef.html</a> ist leider schon
etwas veraltet...<br>
<br>
Und kann ich irgendwo die Reihenfolge einstellen, in der die
Mechanismen bei einer SMTP Connection abgefragt werden?<br>
<br>
Grüße, David<br>
</small><br>
<br>
Patrick Ben Koetter schrieb:
<blockquote cite="mid20050309132542.GA16237@state-of-mind.de"
 type="cite">
  <pre wrap="">* David Geiger <a class="moz-txt-link-rfc2396E" href="mailto:info@david-geiger.de"><info@david-geiger.de></a>:
  </pre>
  <blockquote type="cite">
    <pre wrap="">Hi,

erstmal danke für die Antwort.
Die Paketversionen waren die "aktuellen" stables von Debian, hab jetzt 
mit etwas Mühe die testing-Versionen postfix 2.1.5-6 und sasl 2.1.19-1.5 
draufgemacht. Jetzt habe ich auch saslauthd (der hat vorhin gefehlt, da 
gab's nur pwcheck).

saslauthd läuft zwar, allerdings nimmt er nach wie vor mein Passwort 
nicht. Postfix ist in der sasl Gruppe. Ich vermute, es liegt daran, dass 
die Datei /etc/pam.d/cyrus nicht existiert..? Was muss denn da rein?
    </pre>
  </blockquote>
  <pre wrap=""><!---->
Nö, die brauchst Du nicht wenn dann sollte sie smtp heißen.

  </pre>
  <blockquote type="cite">
    <pre wrap="">Ansonsten sieht es so aus:
drwx--x---    2 root     sasl         4096  9. Mär 13:23 /var/run/saslauthd
srwxrwxrwx    1 root     root            0  9. Mär 13:23 mux
-rw-------    1 root     root            0  9. Mär 13:23 mux.accept
-rw-------    1 root     root            5  9. Mär 13:23 saslauthd.pid
---

~ cat /etc/default/saslauthd:
# This needs to be uncommented before saslauthd will be run automatically
START=yes

# You must specify the authentication mechanisms you wish to use.
# This defaults to "pam" for PAM support, but may also include
# "shadow" or "sasldb", like this:
# MECHANISMS="pam shadow"

MECHANISMS="pam"
    </pre>
  </blockquote>
  <pre wrap=""><!---->
Nimm für den Anfang mal shadow, das ist einfacher.


  </pre>
  <blockquote type="cite">
    <pre wrap="">---

~ vi ps wax | grep saslauthd
4535 ?        S      0:00 /usr/sbin/saslauthd -a pam
4536 ?        S      0:00 /usr/sbin/saslauthd -a pam
4537 ?        S      0:00 /usr/sbin/saslauthd -a pam
4538 ?        S      0:00 /usr/sbin/saslauthd -a pam
4539 ?        S      0:00 /usr/sbin/saslauthd -a pam
4697 pts/0    S      0:00 grep saslauthd

---

~ ls /etc/pam.d
chfn  chsh  common-account  common-auth  common-password  
common-session  cron  login  other  passwd  proftpd  qpopper  samba  
ssh  su  webmin

---

~ saslfinger -s
saslfinger - postfix Cyrus sasl configuration Mi Mär  9 13:32:00 CET 2005
version: 0.9.9.1
mode: server-side SMTP AUTH

-- basics --
Postfix: 2.1.5
System: Debian GNU/\s 3.0 \n \l

-- smtpd is linked to --
       libsasl2.so.2 => /usr/lib/libsasl2.so.2 (0x4019f000)

-- active SMTP AUTH and TLS parameters for smtpd --
broken_sasl_auth_clients = yes
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous


-- listing of /usr/lib/sasl2 --
insgesamt 848
drwxr-xr-x    2 root     root         4096  9. Mär 12:19 .
drwxr-xr-x   44 root     root         8192  9. Mär 13:05 ..
-rw-r--r--    1 root     root        13488 16. Okt 23:02 libanonymous.a
-rw-r--r--    1 root     root          851 16. Okt 23:02 libanonymous.la
-rw-r--r--    1 root     root        13824 16. Okt 23:02 libanonymous.so
-rw-r--r--    1 root     root        13824 16. Okt 23:02 libanonymous.so.2
-rw-r--r--    1 root     root        13824 16. Okt 23:02 
libanonymous.so.2.0.19
-rw-r--r--    1 root     root        16298 16. Okt 23:02 libcrammd5.a
-rw-r--r--    1 root     root          837 16. Okt 23:02 libcrammd5.la
-rw-r--r--    1 root     root        16180 16. Okt 23:02 libcrammd5.so
-rw-r--r--    1 root     root        16180 16. Okt 23:02 libcrammd5.so.2
-rw-r--r--    1 root     root        16180 16. Okt 23:02 
libcrammd5.so.2.0.19
-rw-r--r--    1 root     root        47516 16. Okt 23:02 libdigestmd5.a
-rw-r--r--    1 root     root          860 16. Okt 23:02 libdigestmd5.la
-rw-r--r--    1 root     root        43944 16. Okt 23:02 libdigestmd5.so
-rw-r--r--    1 root     root        43944 16. Okt 23:02 libdigestmd5.so.2
-rw-r--r--    1 root     root        43944 16. Okt 23:02 
libdigestmd5.so.2.0.19
-rw-r--r--    1 root     root        13726 16. Okt 23:02 liblogin.a
-rw-r--r--    1 root     root          831 16. Okt 23:02 liblogin.la
-rw-r--r--    1 root     root        14028 16. Okt 23:02 liblogin.so
-rw-r--r--    1 root     root        14028 16. Okt 23:02 liblogin.so.2
-rw-r--r--    1 root     root        14028 16. Okt 23:02 liblogin.so.2.0.19
-rw-r--r--    1 root     root        31248 16. Okt 23:02 libntlm.a
-rw-r--r--    1 root     root          825 16. Okt 23:02 libntlm.la
-rw-r--r--    1 root     root        30660 16. Okt 23:02 libntlm.so
-rw-r--r--    1 root     root        30660 16. Okt 23:02 libntlm.so.2
-rw-r--r--    1 root     root        30660 16. Okt 23:02 libntlm.so.2.0.19
-rw-r--r--    1 root     root        20142 16. Okt 23:02 libotp.a
-rw-r--r--    1 root     root          825 16. Okt 23:02 libotp.la
-rw-r--r--    1 root     root        43184 16. Okt 23:02 libotp.so
-rw-r--r--    1 root     root        43184 16. Okt 23:02 libotp.so.2
-rw-r--r--    1 root     root        43184 16. Okt 23:02 libotp.so.2.0.19
-rw-r--r--    1 root     root        13886 16. Okt 23:02 libplain.a
-rw-r--r--    1 root     root          831 16. Okt 23:02 libplain.la
-rw-r--r--    1 root     root        14096 16. Okt 23:02 libplain.so
-rw-r--r--    1 root     root        14096 16. Okt 23:02 libplain.so.2
-rw-r--r--    1 root     root        14096 16. Okt 23:02 libplain.so.2.0.19
-rw-r--r--    1 root     root        21798 16. Okt 23:02 libsasldb.a
-rw-r--r--    1 root     root          852 16. Okt 23:02 libsasldb.la
-rw-r--r--    1 root     root        18692 16. Okt 23:02 libsasldb.so
-rw-r--r--    1 root     root        18692 16. Okt 23:02 libsasldb.so.2
-rw-r--r--    1 root     root        18692 16. Okt 23:02 libsasldb.so.2.0.19
-rw-r--r--    1 root     root           25  9. Mär 12:59 smtpd.conf




-- content of /usr/lib/sasl2/smtpd.conf --
pwcheck_method:saslauthd
    </pre>
  </blockquote>
  <pre wrap=""><!---->
Neuere Debian Versionen von Postfix erwarten die smtpd.conf in
/etc/postfix/sasl/smtpd.conf:

pwcheck_method: saslauthd
mech_list: plain login


Ändere das in /etc/postfix/sasl/smtpd.conf und wenn Du einen telnet auf
localhost machst, sollte nach dem reload von Postfix nur PLAIN und LOGIN
als AUTH mechs announced werden.

  </pre>
  <blockquote type="cite">
    <pre wrap="">-- active services in /etc/postfix/master.cf --
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
smtp      inet  n       -       n       -       -       smtpd
pickup    fifo  n       -       n       60      1       pickup
cleanup   unix  n       -       n       -       0       cleanup
qmgr      fifo  n       -       n       300     1       qmgr
rewrite   unix  -       -       n       -       -       trivial-rewrite
bounce    unix  -       -       n       -       0       bounce
defer     unix  -       -       n       -       0       bounce
trace     unix  -       -       n       -       0       bounce
verify    unix  -       -       n       -       1       verify
flush     unix  n       -       n       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
smtp      unix  -       -       n       -       -       smtp
relay     unix  -       -       n       -       -       smtp
showq     unix  n       -       n       -       -       showq
error     unix  -       -       n       -       -       error
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       n       -       -       lmtp
anvil     unix  -       -       n       -       1       anvil
maildrop  unix  -       n       n       -       -       pipe
 flags=DRhu user=vmail argv=/usr/local/bin/maildrop -d ${recipient}
old-cyrus unix  -       n       n       -       -       pipe
 flags=R user=cyrus argv=/cyrus/bin/deliver -e -m ${extension} ${user}
cyrus     unix  -       n       n       -       -       pipe
 user=cyrus argv=/cyrus/bin/deliver -e -r ${sender} -m ${extension} ${user}
uucp      unix  -       n       n       -       -       pipe
 flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail 
($recipient)
ifmail    unix  -       n       n       -       -       pipe
 flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp     unix  -       n       n       -       -       pipe
 flags=Fq. user=foo argv=/usr/local/sbin/bsmtp -f $sender $nexthop 
$recipient

-- mechanisms on localhost --
250-AUTH NTLM LOGIN PLAIN DIGEST-MD5 CRAM-MD5
250-AUTH=NTLM LOGIN PLAIN DIGEST-MD5 CRAM-MD5

-- end of saslfinger output --


...übrigens ein sehr praktisches Tool! :)

Grüße, David

Patrick Ben Koetter schrieb:

    </pre>
    <blockquote type="cite">
      <pre wrap="">* David Geiger <a class="moz-txt-link-rfc2396E" href="mailto:info@david-geiger.de"><info@david-geiger.de></a>:


      </pre>
      <blockquote type="cite">
        <pre wrap="">ich versuche Postfix 1.1.11 mit SASL 1.5.27 zur SMTP Authentication 
unter Debian Woody aufzusetzen.
Installierte Pakete: postfix, postfix-tls, libsasl7, 
libsasl-modules-plain.
  

        </pre>
      </blockquote>
      <pre wrap="">Woa. Muß es so alt sein? Die Woche kommt wahrscheinlich Postfix 2.2 raus 
und
SASL gibt es mittlerweile in Version 2.1.20.



      </pre>
      <blockquote type="cite">
        <pre wrap="">Allerdings akzeptiert SASL bei SMTP mein Passwort weder mit AUTH PLAIN 
noch LOGIN (telnet & mozilla).
Als pwcheck_method habe ich in /usr/lib/sasl/smtpd.conf shadow 
eingestellt - Postfix ist in der Gruppe, die Read-Zugriff auf 
/etc/shadow hat. Außerdem läuft Postfix nicht im chroot (steht für smtp 
auf n in der master.cf).
  

        </pre>
      </blockquote>
      <pre wrap="">pwcheck_method: saslauthd

Postfix RAUS aus der Gruppe die shadow lesen darf, sonst hat jeder der 
Postfix
erobert sofort root Rechte...

Stattdessen Postfix ein in die (sasl) Gruppe, die den saslauthd socket
anlangen darf.



      </pre>
      <blockquote type="cite">
        <pre wrap="">Ich habe das Gefühl, dass Postfix meine smtpd.conf ignoriert - wenn ich 
ungültige Werte für pwcheck_method reinschreibe oder Werte für mech_list 
angebe, ändert sich nichts. Wenn ich jedoch z.B. das plain-module aus 
  

        </pre>
      </blockquote>
      <pre wrap="">mech_list gab es IIRC in 1.5.27 noch nicht.



      </pre>
      <blockquote type="cite">
        <pre wrap="">/usr/lib/sasl entferne, wird es beim SMTP-Connect auch nicht mehr 
angezeigt.

Ich habe auch schon pam als pwcheck_method eingetragen, hat ebenfalls 
nichts geändert. sasldb kann ich nicht verwenden, da es sich um ein 
multi-domain System handelt und andauernd neue User hinzukommen. Mit 
saslauthd habe ich keine Erfahrung (gibt es das in der Version überhaupt 
schon?).
  

        </pre>
      </blockquote>
      <pre wrap="">Ja, da gab es saslauthd schon.



      </pre>
      <blockquote type="cite">
        <pre wrap="">Hat vielleicht jemand eine Idee? Danke...
  

        </pre>
      </blockquote>
      <pre wrap="">saslfinger (siehe meine Signatur) laufen lassen und output an die Liste. 
Ich
geh jetzt aber erst mal schlafen. Ansehen kann ich es mir also erst morgen.

p@rick




      </pre>
      <blockquote type="cite">
        <pre wrap="">Grüße, David


Die config-Files:

/etc/postfix/main.cf:
*Code:*

command_directory = /usr/sbin
daemon_directory = /usr/lib/postfix
program_directory = /usr/lib/postfix

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
setgid_group = postdrop
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no
myhostname = txxx.greatnet.de
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = txxx.greatnet.de, localhost.greatnet.de, txxx, localhost
relayhost =
mynetworks = 127.0.0.0/8
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
recipient_delimiter = +


# SASL
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
#smtpd_sasl_local_domain = txxx
broken_sasl_auth_clients = yes


# Anti-UCE
#smtpd_helo_required=yes
#relay_domains =
smtpd_recipient_restrictions = permit_mynetworks, 
permit_sasl_authenticated, check_relay_domains


### CONFIXX POSTFIX ENTRY ###
virtual_maps = hash:/etc/postfix/confixx_virtualUsers, 
hash:/etc/postfix/confixx_localDomains
virtual_alias_domains = hash:/etc/postfix/confixx_localDomains
### /CONFIXX POSTFIX ENTRY ###




/usr/lib/sasl/smtpd.conf (scheint aber nichts zu bewirken):
*Code:*

pwcheck_method: shadow




Auszug aus /var/log/mail.warn:
*Code:*

Mar  7 21:58:18 txxx postfix/smtpd[30159]: warning: 
p....dip0.t-ipconnect.de[...]: SASL LOGIN authentication failed
Mar  7 22:06:33 txxx postfix/smtpd[30907]: warning: 
p....dip0.t-ipconnect.de[...]: SASL PLAIN authentication failed

-- 
_______________________________________________
Postfixbuch-users mailingliste
Heinlein Professional Linux Support GmbH

<a class="moz-txt-link-abbreviated" href="mailto:Postfixbuch-users@listi.jpberlin.de">Postfixbuch-users@listi.jpberlin.de</a>
<a class="moz-txt-link-freetext" href="http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users">http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users</a>
  

        </pre>
      </blockquote>
      <pre wrap="">

      </pre>
    </blockquote>
  </blockquote>
  <pre wrap=""><!---->
  </pre>
  <blockquote type="cite">
    <pre wrap="">-- 
_______________________________________________
Postfixbuch-users mailingliste
Heinlein Professional Linux Support GmbH

<a class="moz-txt-link-abbreviated" href="mailto:Postfixbuch-users@listi.jpberlin.de">Postfixbuch-users@listi.jpberlin.de</a>
<a class="moz-txt-link-freetext" href="http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users">http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users</a>
    </pre>
  </blockquote>
  <pre wrap=""><!---->
  </pre>
</blockquote>
</body>
</html>