Re: Postfix SSL

9 Dec 2006

      Am Tuesday 05 December 2006 23:48 schrieb Michael Post:
...
ich habe postfix eingerichtet. Nun will aber SSL nicht funktionieren.
Woran könnte es liegen? Ihr seid da doch die Experten. ;-)
Das Passwort wird abgefragt, aber ich erhalte in der /var/log/messages
den folgenden Eintrag:
Dec  5 23:41:02 beta saslauthd[14791]: DEBUG: auth_pam: pam_authenticate
failed: Permission denied
PAM will auf irgendwas zugreifen, bekommt aber was auf die Finger gehauen.
Prüf Deine PAM-Konfiguration. Ein Anfang st wohl "/etc/pam.d/smtp". Geh die 
Module durch, die angegeben sind und prüf auf was die zugreifen wollen.
...
Dec  5 23:41:02 beta saslauthd[14791]: do_auth         : auth failure:
[user=645233] [service=smtp] [realm=] [mech=pam] [reason=PAM auth error]
Ok. Das er die PAM-Authentifizierung nicht durchführen kann ist mir
klar. Also hier liegt der Hase begraben.
Aber warum kann er das nicht? Ohne SSL funktioniert es einwandfrei.
Das glaube ich nicht. saslauthd weiss nichts von ssl. Wenn es ohne ssl 
"anders" funktioniert, dann ist woanders was faul.
...
Ausgabe von saslfinger:
saslfinger - postfix Cyrus sasl configuration Di Dez  5 23:42:58 CET 2006
version: 1.0
mode: server-side SMTP AUTH
-- basics --
Postfix: 2.3.0
System:
Welcome to SUSE LINUX 10.0 (i586) - Kernel \r (\l).
-- smtpd is linked to --
    libsasl2.so.2 => /usr/lib/libsasl2.so.2 (0x40087000)
-- active SMTP AUTH and TLS parameters for smtpd --
broken_sasl_auth_clients = yes
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain =
smtpd_sasl_security_options = noanonymous
smtpd_tls_CAfile = /var/lib/imap/certs/CAcert.pem
smtpd_tls_auth_only = no
smtpd_tls_cert_file = /var/lib/imap/certs/cert.pem
smtpd_tls_key_file = /var/lib/imap/certs/key.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
smtpd_use_tls = yes
-- listing of /usr/lib/sasl2 --
insgesamt 699
drwxr-xr-x   2 root root  1048 2006-07-26 18:03 .
drwxr-xr-x  47 root root 18464 2006-12-05 22:20 ..
-rwxr-xr-x   1 root root 13592 2005-09-09 19:39 libanonymous.so
-rwxr-xr-x   1 root root 13592 2005-09-09 19:39 libanonymous.so.2
-rwxr-xr-x   1 root root 13592 2005-09-09 19:39 libanonymous.so.2.0.21
-rwxr-xr-x   1 root root 15796 2005-09-09 19:39 libcrammd5.so
-rwxr-xr-x   1 root root 15796 2005-09-09 19:39 libcrammd5.so.2
-rwxr-xr-x   1 root root 15796 2005-09-09 19:39 libcrammd5.so.2.0.21
-rwxr-xr-x   1 root root 43416 2005-09-09 19:39 libdigestmd5.so
-rwxr-xr-x   1 root root 43416 2005-09-09 19:39 libdigestmd5.so.2
-rwxr-xr-x   1 root root 43416 2005-09-09 19:39 libdigestmd5.so.2.0.21
-rwxr-xr-x   1 root root 25336 2005-09-09 19:39 libgssapiv2.so
-rwxr-xr-x   1 root root 25336 2005-09-09 19:39 libgssapiv2.so.2
-rwxr-xr-x   1 root root 25336 2005-09-09 19:39 libgssapiv2.so.2.0.21
-rwxr-xr-x   1 root root 14420 2005-09-09 19:39 liblogin.so
-rwxr-xr-x   1 root root 14420 2005-09-09 19:39 liblogin.so.2
-rwxr-xr-x   1 root root 14420 2005-09-09 19:39 liblogin.so.2.0.21
-rwxr-xr-x   1 root root 45020 2005-09-09 19:39 libotp.so
-rwxr-xr-x   1 root root 45020 2005-09-09 19:39 libotp.so.2
-rwxr-xr-x   1 root root 45020 2005-09-09 19:39 libotp.so.2.0.21
-rwxr-xr-x   1 root root 14420 2005-09-09 19:39 libplain.so
-rwxr-xr-x   1 root root 14420 2005-09-09 19:39 libplain.so.2
-rwxr-xr-x   1 root root 14420 2005-09-09 19:39 libplain.so.2.0.21
-rwxr-xr-x   1 root root 18756 2005-09-09 19:39 libsasldb.so
-rwxr-xr-x   1 root root 18756 2005-09-09 19:39 libsasldb.so.2
-rwxr-xr-x   1 root root 18756 2005-09-09 19:39 libsasldb.so.2.0.21
-rwxr-xr-x   1 root root 21932 2005-09-09 19:39 libsql.so
-rwxr-xr-x   1 root root 21932 2005-09-09 19:39 libsql.so.2
-rwxr-xr-x   1 root root 21932 2005-09-09 19:39 libsql.so.2.0.21
-rw-r--r--   1 root root   105 2006-07-26 18:03 smtpd.conf
-rw-r--r--   1 root root   106 2006-07-20 16:20 smtpd.conf~
-- content of /usr/lib/sasl2/smtpd.conf --
pwcheck_method: saslauthd
mech_list: plain login cram-md5 digest-md5
saslauthd kann kein "cram-md5" oder "digest-md5". Da diese eigentlich die 
sichereren sind, werden sie primär vom MailClient gewählt. Leider gibt es in 
Cyrus-SASL bzgl. dessen ein Fettnäpfchen. Wenn der Client diese beiden 
benutzt, dann weiss Cyrus-SASL ja, dass es mit saslauthd nicht klappt und 
nimmt direkt auxprop. "auxprop" bedeutet per default, es werden alle 
auxprop-plugins durchgegangen. Am häufigsten wird dies die sasldb sein. 
Vermute mal, dort drin befindet sich der Benutzer mit dem Passwort, mit 
welchem Du da probierst. Benenn die mal um und probier es nochmal.

Wenn die Verbindung verschlüsselt ist, vermute ich mal der client wird plain 
oder login verwenden und es scheitert am saslauthd.

Schau doch mal ins Log, mit welchen Mechanismen der Client die 
Authentifizierung versucht. Und bei welchen es klappt und bei welchen ncht.
...
log_level: 3
#ausprop_plugin: sasldb
...
-- mechanisms on localhost --
250-AUTH CRAM-MD5 DIGEST-MD5 LOGIN PLAIN
250-AUTH=CRAM-MD5 DIGEST-MD5 LOGIN PLAIN
-- end of saslfinger output --
-- 
	Andreas
-- 
Um die Liste abzubestellen, schicken Sie eine Mail an:
    opensuse-de+unsubscribe@opensuse.org
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: opensuse-de+help@opensuse.org

Re: Postfix SSL

Andreas Winkelmann