Re: Authentication failed cyrus-imap zusammen mit ldap

5 Feb 2005


      Patrice Staudt <patrice.staudt@tiscali.fr> writes:
...
Dieter Kluenter schrieb:
...
Hallo Patrice,
Patrice Staudt <patrice.staudt@tiscali.fr> writes:
...
Dieter Kluenter schrieb:
...
Patrice Staudt <patrice.staudt@tiscali.fr> writes:
...
Hallo Dieter,
[...]
...
erver:/usr/share/doc/packages/cyrus-sasl #  saslauthd -d -a ldap -O
/etc/saslauthd.conf
[...]
...
saslauthd[7673] :rel_accept_lock : released accept lock
saslauthd[7674] :get_accept_lock : acquired accept lock
saslauthd[7673] :do_auth         : auth failure: [user=root]
[service=imap] [realm=] [mech=ldap] [reason=Unknown]
saslauthd[7673] :do_request      : response: NO
Ist uid=root im LDAP vorhanden?
Wie sehen die access Regeln in slapd.conf aus?
[...]
...
access to attr=userPassword
         by self write
         by anonymous auth
         by dn="cn=Manager,dc=xxxxx,c=net" write
         by * none
access to *
         by * read
Das habe ich befürchtet :-(
Bei älteren OpenLDAP Versionen < 2.2.18 muss aus unerfindlichen
Gründen bei einer Authentifizierung mittels SASL Mechanism das
Attribute userPassword wenigstens vergleichbar sein,also des Recht
'compare' besitzen. Ich habe aber auch schon bei einigen Versionen
erlebt, dass 'read' nötig war, daher nie ein anonymous bind zur
Authentifizierung verwenden, sondern immer mit binddn und bindpw in
den Client Konfigurationen. Und binddn sollte entsprechende Rechte für
das Attribut userPassword bekommen.
Ein weiterer Hinweis: setze einmal in slapd.conf 'loglevel 128', und
prüfe dann den Authentifizierungsstring in /var/log/localmessages,
möglicherweise übergibt saslauthd noch einen Realm im
Authentifizierungsstring. dann musst du noch 'sasl-realm' in slapd.conf
konfigurieren.  

-Dieter

-- 
Dieter Klünter | Systemberatung
http://www.dkluenter.de
GPG Key ID:01443B53