Mailinglist Archive: opensuse-de (3257 mails)

< Previous Next >
Re: Authentication failed cyrus-imap zusammen mit ldap
  • From: "Dieter Kluenter" <dieter@xxxxxxxxxxxx>
  • Date: Sat, 05 Feb 2005 10:35:50 +0100
  • Message-id: <m31xbvtkll.fsf@xxxxxxxxxxxx>
Patrice Staudt <patrice.staudt@xxxxxxxxxx> writes:

Dieter Kluenter schrieb:

Hallo Patrice,

Patrice Staudt <patrice.staudt@xxxxxxxxxx> writes:


Dieter Kluenter schrieb:


Patrice Staudt <patrice.staudt@xxxxxxxxxx> writes:



Hallo Dieter,

[...]

erver:/usr/share/doc/packages/cyrus-sasl # saslauthd -d -a ldap -O
/etc/saslauthd.conf

[...]

saslauthd[7673] :rel_accept_lock : released accept lock
saslauthd[7674] :get_accept_lock : acquired accept lock
saslauthd[7673] :do_auth : auth failure: [user=root]
[service=imap] [realm=] [mech=ldap] [reason=Unknown]
saslauthd[7673] :do_request : response: NO


Ist uid=root im LDAP vorhanden?
Wie sehen die access Regeln in slapd.conf aus?

[...]

access to attr=userPassword
by self write
by anonymous auth
by dn="cn=Manager,dc=xxxxx,c=net" write
by * none

access to *
by * read

Das habe ich befürchtet :-(
Bei älteren OpenLDAP Versionen < 2.2.18 muss aus unerfindlichen
Gründen bei einer Authentifizierung mittels SASL Mechanism das
Attribute userPassword wenigstens vergleichbar sein,also des Recht
'compare' besitzen. Ich habe aber auch schon bei einigen Versionen
erlebt, dass 'read' nötig war, daher nie ein anonymous bind zur
Authentifizierung verwenden, sondern immer mit binddn und bindpw in
den Client Konfigurationen. Und binddn sollte entsprechende Rechte für
das Attribut userPassword bekommen.
Ein weiterer Hinweis: setze einmal in slapd.conf 'loglevel 128', und
prüfe dann den Authentifizierungsstring in /var/log/localmessages,
möglicherweise übergibt saslauthd noch einen Realm im
Authentifizierungsstring. dann musst du noch 'sasl-realm' in slapd.conf
konfigurieren.

-Dieter

--
Dieter Klünter | Systemberatung
http://www.dkluenter.de
GPG Key ID:01443B53


< Previous Next >
Follow Ups