<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<meta content="text/html;charset=ISO-8859-1" http-equiv="Content-Type">
</head>
<body bgcolor="#ffffff" text="#000000">
<font size="-1">Was heißt denn dann </font><small>"SASL authentication
failure: no secret in database"? Deutet das darauf hin, dass saslauthd
nur plaintext kann?<br>
<br>
Kann ich auxprob sql dann auch noch mit meinen Linux Passwörtern, z.B.
über pam benutzen?<br>
<br>
Danke dir auf jeden Fall mal!<br>
<br>
Viele Grüße, David</small><br>
<br>
Patrick Ben Koetter schrieb:
<blockquote cite="mid20050309192912.GA16902@state-of-mind.de"
type="cite">
<pre wrap="">* David Geiger <a class="moz-txt-link-rfc2396E" href="mailto:info@david-geiger.de"><info@david-geiger.de></a>:
</pre>
<blockquote type="cite">
<pre wrap="">Super, das war es, danke!
Lag an der /etc/postfix/sasl/smtpd.conf
Kann ich außer PLAIN und LOGIN denn auch noch andere Mechanismen nutzen?
</pre>
</blockquote>
<pre wrap=""><!---->
Nur, wenn Du dich von saslauthd trennst und z.B. sasldb oder das auxprop sql
benützt. saslauthd selbst kann nur plaintext mechanismen.
</pre>
<blockquote type="cite">
<pre wrap="">Ich würde für Nicht-TLS Verbindungen gerne etwas anderes anbieten...
In /var/log/mail.warn sagt er
Mar 9 19:38:06 txxx postfix/smtpd[13624]: warning: SASL authentication failure: no secret in database
Mar 9 19:38:06 txxx postfix/smtpd[13624]: warning: p....dip0.t-ipconnect.de[...]: SASL CRAM-MD5 authentication failed
Mar 9 19:38:06 txxx postfix/smtpd[13624]: warning: SASL authentication failure: no secret in database
Mar 9 19:38:06 txxx postfix/smtpd[13624]: warning: p....dip0.t-ipconnect.de[...]: SASL NTLM authentication failed
Liegt das an PAM oder schlicht und einfach an Mozilla? Welche
Mechanismen kann denn Thunderbird?
</pre>
</blockquote>
<pre wrap=""><!---->
Weiß ich nicht.
</pre>
<blockquote type="cite">
<pre wrap=""><a class="moz-txt-link-freetext" href="http://www.melnikov.ca/mel/devel/SASL_ClientRef.html">http://www.melnikov.ca/mel/devel/SASL_ClientRef.html</a> ist leider schon
etwas veraltet...
Und kann ich irgendwo die Reihenfolge einstellen, in der die Mechanismen
bei einer SMTP Connection abgefragt werden?
</pre>
</blockquote>
<pre wrap=""><!---->
Nein, das kannst Du nicht beeinflussen. Der Client wählt den Mechanismus aus -
meistens den sichersten also shared-secret vor plaintext Mechanismen.
p@rick
</pre>
<blockquote type="cite">
<pre wrap="">Grüße, David
Patrick Ben Koetter schrieb:
</pre>
<blockquote type="cite">
<pre wrap="">* David Geiger <a class="moz-txt-link-rfc2396E" href="mailto:info@david-geiger.de"><info@david-geiger.de></a>:
</pre>
<blockquote type="cite">
<pre wrap="">Hi,
erstmal danke für die Antwort.
Die Paketversionen waren die "aktuellen" stables von Debian, hab jetzt
mit etwas Mühe die testing-Versionen postfix 2.1.5-6 und sasl 2.1.19-1.5
draufgemacht. Jetzt habe ich auch saslauthd (der hat vorhin gefehlt, da
gab's nur pwcheck).
saslauthd läuft zwar, allerdings nimmt er nach wie vor mein Passwort
nicht. Postfix ist in der sasl Gruppe. Ich vermute, es liegt daran, dass
die Datei /etc/pam.d/cyrus nicht existiert..? Was muss denn da rein?
</pre>
</blockquote>
<pre wrap="">Nö, die brauchst Du nicht wenn dann sollte sie smtp heißen.
</pre>
<blockquote type="cite">
<pre wrap="">Ansonsten sieht es so aus:
drwx--x--- 2 root sasl 4096 9. Mär 13:23
/var/run/saslauthd
srwxrwxrwx 1 root root 0 9. Mär 13:23 mux
-rw------- 1 root root 0 9. Mär 13:23 mux.accept
-rw------- 1 root root 5 9. Mär 13:23 saslauthd.pid
---
~ cat /etc/default/saslauthd:
# This needs to be uncommented before saslauthd will be run automatically
START=yes
# You must specify the authentication mechanisms you wish to use.
# This defaults to "pam" for PAM support, but may also include
# "shadow" or "sasldb", like this:
# MECHANISMS="pam shadow"
MECHANISMS="pam"
</pre>
</blockquote>
<pre wrap="">Nimm für den Anfang mal shadow, das ist einfacher.
</pre>
<blockquote type="cite">
<pre wrap="">---
~ vi ps wax | grep saslauthd
4535 ? S 0:00 /usr/sbin/saslauthd -a pam
4536 ? S 0:00 /usr/sbin/saslauthd -a pam
4537 ? S 0:00 /usr/sbin/saslauthd -a pam
4538 ? S 0:00 /usr/sbin/saslauthd -a pam
4539 ? S 0:00 /usr/sbin/saslauthd -a pam
4697 pts/0 S 0:00 grep saslauthd
---
~ ls /etc/pam.d
chfn chsh common-account common-auth common-password
common-session cron login other passwd proftpd qpopper samba
ssh su webmin
---
~ saslfinger -s
saslfinger - postfix Cyrus sasl configuration Mi Mär 9 13:32:00 CET 2005
version: 0.9.9.1
mode: server-side SMTP AUTH
-- basics --
Postfix: 2.1.5
System: Debian GNU/\s 3.0 \n \l
-- smtpd is linked to --
libsasl2.so.2 => /usr/lib/libsasl2.so.2 (0x4019f000)
-- active SMTP AUTH and TLS parameters for smtpd --
broken_sasl_auth_clients = yes
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
-- listing of /usr/lib/sasl2 --
insgesamt 848
drwxr-xr-x 2 root root 4096 9. Mär 12:19 .
drwxr-xr-x 44 root root 8192 9. Mär 13:05 ..
-rw-r--r-- 1 root root 13488 16. Okt 23:02 libanonymous.a
-rw-r--r-- 1 root root 851 16. Okt 23:02 libanonymous.la
-rw-r--r-- 1 root root 13824 16. Okt 23:02 libanonymous.so
-rw-r--r-- 1 root root 13824 16. Okt 23:02 libanonymous.so.2
-rw-r--r-- 1 root root 13824 16. Okt 23:02
libanonymous.so.2.0.19
-rw-r--r-- 1 root root 16298 16. Okt 23:02 libcrammd5.a
-rw-r--r-- 1 root root 837 16. Okt 23:02 libcrammd5.la
-rw-r--r-- 1 root root 16180 16. Okt 23:02 libcrammd5.so
-rw-r--r-- 1 root root 16180 16. Okt 23:02 libcrammd5.so.2
-rw-r--r-- 1 root root 16180 16. Okt 23:02
libcrammd5.so.2.0.19
-rw-r--r-- 1 root root 47516 16. Okt 23:02 libdigestmd5.a
-rw-r--r-- 1 root root 860 16. Okt 23:02 libdigestmd5.la
-rw-r--r-- 1 root root 43944 16. Okt 23:02 libdigestmd5.so
-rw-r--r-- 1 root root 43944 16. Okt 23:02 libdigestmd5.so.2
-rw-r--r-- 1 root root 43944 16. Okt 23:02
libdigestmd5.so.2.0.19
-rw-r--r-- 1 root root 13726 16. Okt 23:02 liblogin.a
-rw-r--r-- 1 root root 831 16. Okt 23:02 liblogin.la
-rw-r--r-- 1 root root 14028 16. Okt 23:02 liblogin.so
-rw-r--r-- 1 root root 14028 16. Okt 23:02 liblogin.so.2
-rw-r--r-- 1 root root 14028 16. Okt 23:02
liblogin.so.2.0.19
-rw-r--r-- 1 root root 31248 16. Okt 23:02 libntlm.a
-rw-r--r-- 1 root root 825 16. Okt 23:02 libntlm.la
-rw-r--r-- 1 root root 30660 16. Okt 23:02 libntlm.so
-rw-r--r-- 1 root root 30660 16. Okt 23:02 libntlm.so.2
-rw-r--r-- 1 root root 30660 16. Okt 23:02 libntlm.so.2.0.19
-rw-r--r-- 1 root root 20142 16. Okt 23:02 libotp.a
-rw-r--r-- 1 root root 825 16. Okt 23:02 libotp.la
-rw-r--r-- 1 root root 43184 16. Okt 23:02 libotp.so
-rw-r--r-- 1 root root 43184 16. Okt 23:02 libotp.so.2
-rw-r--r-- 1 root root 43184 16. Okt 23:02 libotp.so.2.0.19
-rw-r--r-- 1 root root 13886 16. Okt 23:02 libplain.a
-rw-r--r-- 1 root root 831 16. Okt 23:02 libplain.la
-rw-r--r-- 1 root root 14096 16. Okt 23:02 libplain.so
-rw-r--r-- 1 root root 14096 16. Okt 23:02 libplain.so.2
-rw-r--r-- 1 root root 14096 16. Okt 23:02
libplain.so.2.0.19
-rw-r--r-- 1 root root 21798 16. Okt 23:02 libsasldb.a
-rw-r--r-- 1 root root 852 16. Okt 23:02 libsasldb.la
-rw-r--r-- 1 root root 18692 16. Okt 23:02 libsasldb.so
-rw-r--r-- 1 root root 18692 16. Okt 23:02 libsasldb.so.2
-rw-r--r-- 1 root root 18692 16. Okt 23:02
libsasldb.so.2.0.19
-rw-r--r-- 1 root root 25 9. Mär 12:59 smtpd.conf
-- content of /usr/lib/sasl2/smtpd.conf --
pwcheck_method:saslauthd
</pre>
</blockquote>
<pre wrap="">Neuere Debian Versionen von Postfix erwarten die smtpd.conf in
/etc/postfix/sasl/smtpd.conf:
pwcheck_method: saslauthd
mech_list: plain login
Ändere das in /etc/postfix/sasl/smtpd.conf und wenn Du einen telnet auf
localhost machst, sollte nach dem reload von Postfix nur PLAIN und LOGIN
als AUTH mechs announced werden.
</pre>
<blockquote type="cite">
<pre wrap="">-- active services in /etc/postfix/master.cf --
# service type private unpriv chroot wakeup maxproc command + args
# (yes) (yes) (yes) (never) (100)
smtp inet n - n - - smtpd
pickup fifo n - n 60 1 pickup
cleanup unix n - n - 0 cleanup
qmgr fifo n - n 300 1 qmgr
rewrite unix - - n - - trivial-rewrite
bounce unix - - n - 0 bounce
defer unix - - n - 0 bounce
trace unix - - n - 0 bounce
verify unix - - n - 1 verify
flush unix n - n 1000? 0 flush
proxymap unix - - n - - proxymap
smtp unix - - n - - smtp
relay unix - - n - - smtp
showq unix n - n - - showq
error unix - - n - - error
local unix - n n - - local
virtual unix - n n - - virtual
lmtp unix - - n - - lmtp
anvil unix - - n - 1 anvil
maildrop unix - n n - - pipe
flags=DRhu user=vmail argv=/usr/local/bin/maildrop -d ${recipient}
old-cyrus unix - n n - - pipe
flags=R user=cyrus argv=/cyrus/bin/deliver -e -m ${extension} ${user}
cyrus unix - n n - - pipe
user=cyrus argv=/cyrus/bin/deliver -e -r ${sender} -m ${extension} ${user}
uucp unix - n n - - pipe
flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail
($recipient)
ifmail unix - n n - - pipe
flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp unix - n n - - pipe
flags=Fq. user=foo argv=/usr/local/sbin/bsmtp -f $sender $nexthop
$recipient
-- mechanisms on localhost --
250-AUTH NTLM LOGIN PLAIN DIGEST-MD5 CRAM-MD5
250-AUTH=NTLM LOGIN PLAIN DIGEST-MD5 CRAM-MD5
-- end of saslfinger output --
...übrigens ein sehr praktisches Tool! :)
Grüße, David
Patrick Ben Koetter schrieb:
</pre>
<blockquote type="cite">
<pre wrap="">* David Geiger <a class="moz-txt-link-rfc2396E" href="mailto:info@david-geiger.de"><info@david-geiger.de></a>:
</pre>
<blockquote type="cite">
<pre wrap="">ich versuche Postfix 1.1.11 mit SASL 1.5.27 zur SMTP Authentication
unter Debian Woody aufzusetzen.
Installierte Pakete: postfix, postfix-tls, libsasl7,
libsasl-modules-plain.
</pre>
</blockquote>
<pre wrap="">Woa. Muß es so alt sein? Die Woche kommt wahrscheinlich Postfix 2.2 raus
und
SASL gibt es mittlerweile in Version 2.1.20.
</pre>
<blockquote type="cite">
<pre wrap="">Allerdings akzeptiert SASL bei SMTP mein Passwort weder mit AUTH PLAIN
noch LOGIN (telnet & mozilla).
Als pwcheck_method habe ich in /usr/lib/sasl/smtpd.conf shadow
eingestellt - Postfix ist in der Gruppe, die Read-Zugriff auf
/etc/shadow hat. Außerdem läuft Postfix nicht im chroot (steht für smtp
auf n in der master.cf).
</pre>
</blockquote>
<pre wrap="">pwcheck_method: saslauthd
Postfix RAUS aus der Gruppe die shadow lesen darf, sonst hat jeder der
Postfix
erobert sofort root Rechte...
Stattdessen Postfix ein in die (sasl) Gruppe, die den saslauthd socket
anlangen darf.
</pre>
<blockquote type="cite">
<pre wrap="">Ich habe das Gefühl, dass Postfix meine smtpd.conf ignoriert - wenn ich
ungültige Werte für pwcheck_method reinschreibe oder Werte für
mech_list angebe, ändert sich nichts. Wenn ich jedoch z.B. das
plain-module aus
</pre>
</blockquote>
<pre wrap="">mech_list gab es IIRC in 1.5.27 noch nicht.
</pre>
<blockquote type="cite">
<pre wrap="">/usr/lib/sasl entferne, wird es beim SMTP-Connect auch nicht mehr
angezeigt.
Ich habe auch schon pam als pwcheck_method eingetragen, hat ebenfalls
nichts geändert. sasldb kann ich nicht verwenden, da es sich um ein
multi-domain System handelt und andauernd neue User hinzukommen. Mit
saslauthd habe ich keine Erfahrung (gibt es das in der Version
überhaupt schon?).
</pre>
</blockquote>
<pre wrap="">Ja, da gab es saslauthd schon.
</pre>
<blockquote type="cite">
<pre wrap="">Hat vielleicht jemand eine Idee? Danke...
</pre>
</blockquote>
<pre wrap="">saslfinger (siehe meine Signatur) laufen lassen und output an die Liste.
Ich
geh jetzt aber erst mal schlafen. Ansehen kann ich es mir also erst
morgen.
p@rick
</pre>
<blockquote type="cite">
<pre wrap="">Grüße, David
Die config-Files:
/etc/postfix/main.cf:
*Code:*
command_directory = /usr/sbin
daemon_directory = /usr/lib/postfix
program_directory = /usr/lib/postfix
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
setgid_group = postdrop
biff = no
# appending .domain is the MUA's job.
append_dot_mydomain = no
myhostname = txxx.greatnet.de
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = txxx.greatnet.de, localhost.greatnet.de, txxx, localhost
relayhost =
mynetworks = 127.0.0.0/8
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
recipient_delimiter = +
# SASL
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
#smtpd_sasl_local_domain = txxx
broken_sasl_auth_clients = yes
# Anti-UCE
#smtpd_helo_required=yes
#relay_domains =
smtpd_recipient_restrictions = permit_mynetworks,
permit_sasl_authenticated, check_relay_domains
### CONFIXX POSTFIX ENTRY ###
virtual_maps = hash:/etc/postfix/confixx_virtualUsers,
hash:/etc/postfix/confixx_localDomains
virtual_alias_domains = hash:/etc/postfix/confixx_localDomains
### /CONFIXX POSTFIX ENTRY ###
/usr/lib/sasl/smtpd.conf (scheint aber nichts zu bewirken):
*Code:*
pwcheck_method: shadow
Auszug aus /var/log/mail.warn:
*Code:*
Mar 7 21:58:18 txxx postfix/smtpd[30159]: warning:
p....dip0.t-ipconnect.de[...]: SASL LOGIN authentication failed
Mar 7 22:06:33 txxx postfix/smtpd[30907]: warning:
p....dip0.t-ipconnect.de[...]: SASL PLAIN authentication failed
--
_______________________________________________
Postfixbuch-users mailingliste
Heinlein Professional Linux Support GmbH
<a class="moz-txt-link-abbreviated" href="mailto:Postfixbuch-users@listi.jpberlin.de">Postfixbuch-users@listi.jpberlin.de</a>
<a class="moz-txt-link-freetext" href="http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users">http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users</a>
</pre>
</blockquote>
<pre wrap="">
</pre>
</blockquote>
</blockquote>
<pre wrap="">
</pre>
<blockquote type="cite">
<pre wrap="">--
_______________________________________________
Postfixbuch-users mailingliste
Heinlein Professional Linux Support GmbH
<a class="moz-txt-link-abbreviated" href="mailto:Postfixbuch-users@listi.jpberlin.de">Postfixbuch-users@listi.jpberlin.de</a>
<a class="moz-txt-link-freetext" href="http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users">http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users</a>
</pre>
</blockquote>
<pre wrap="">
</pre>
</blockquote>
</blockquote>
<pre wrap=""><!---->
</pre>
<blockquote type="cite">
<pre wrap="">--
_______________________________________________
Postfixbuch-users mailingliste
Heinlein Professional Linux Support GmbH
<a class="moz-txt-link-abbreviated" href="mailto:Postfixbuch-users@listi.jpberlin.de">Postfixbuch-users@listi.jpberlin.de</a>
<a class="moz-txt-link-freetext" href="http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users">http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users</a>
</pre>
</blockquote>
<pre wrap=""><!---->
</pre>
</blockquote>
</body>
</html>