Hallo Liste, ich habe bei mir SuSE 8.1 mit Cyrus am laufen. LDAP und PAM ist auch funktionstüchtig. Als ein User der nur im LDAP existier kann sich Anmelden als auch seine Mails über Pop3/Imap beim Server hohlen. Wenn ich aber bei meinem über IMAP mittels Verschlüsseltem Passwort zugreife komme ich nicht auf den Server. Im /var/log/messages finde ich dann folgender Meldung: Mar 28 19:11:14 wuwell1 imapd[14738]: accepted connection Mar 28 19:11:14 wuwell1 imapd[14738]: OTP unavailable because can't read/write key database /etc/opiekeys: No such file or directory Mar 28 19:11:14 wuwell1 imapd[14738]: no secret in database Mar 28 19:11:14 wuwell1 imapd[14738]: badlogin: wuwell1.net.wuwell.de[192.168.10.20] CRAM-MD5 [SASL(-13): user not found: no secret in database] Mar 28 19:11:17 wuwell1 imapd[14738]: no secret in database Mar 28 19:11:17 wuwell1 imapd[14738]: badlogin: wuwell1.net.wuwell.de[192.168.10.20] CRAM-MD5 [SASL(-13): user not found: no secret in database] Mar 28 19:11:20 wuwell1 imapd[14738]: no secret in database Mar 28 19:11:20 wuwell1 imapd[14738]: badlogin: wuwell1.net.wuwell.de[192.168.10.20] CRAM-MD5 [SASL(-13): user not found: no secret in database] Wenn ich jetzt aber den User Cyrus verwende funktioniert es aber. Grr Der User Cyrus existier aber leider und in der Sasal-Datenbank??? Nun zu meiner Frage! Kann am die Passwort validierung auch bei einem Verschlüsseltem Passwort über PAM realisieren und wenn ja wie? Vor ab Danke Gruß Wolfgang
Hallo,
"Wolfgang Rhein"
Hallo Liste,
ich habe bei mir SuSE 8.1 mit Cyrus am laufen. LDAP und PAM ist auch funktionstüchtig.
Als ein User der nur im LDAP existier kann sich Anmelden als auch seine Mails über Pop3/Imap beim Server hohlen.
Wenn ich aber bei meinem über IMAP mittels Verschlüsseltem Passwort zugreife komme ich nicht auf den Server.
Dazu greift Cyrus-Imap auf einen in RFC-2222 definierten Verschlüsselungsmechanismus zurück. Da du das Paßpwort im Verzeichnisdienst unverschlüselt abgelegt hast, wird in absteigender Reigenfolge versucht, einen geigneten Mechanismus zu finden, das schlägt aber fehl.
Im /var/log/messages finde ich dann folgender Meldung:
Mar 28 19:11:14 wuwell1 imapd[14738]: accepted connection
Mar 28 19:11:14 wuwell1 imapd[14738]: OTP unavailable because can't read/write key database /etc/opiekeys: No such file or directory
Du hat kein One Time Password System eingerichtet.
Mar 28 19:11:14 wuwell1 imapd[14738]: no secret in database
Mar 28 19:11:14 wuwell1 imapd[14738]: badlogin: wuwell1.net.wuwell.de[192.168.10.20] CRAM-MD5 [SASL(-13): user not found: no secret in database]
Du hast den User nicht in sasldb angelegt.
Mar 28 19:11:17 wuwell1 imapd[14738]: no secret in database
Mar 28 19:11:17 wuwell1 imapd[14738]: badlogin: wuwell1.net.wuwell.de[192.168.10.20] CRAM-MD5 [SASL(-13): user not found: no secret in database]
Mar 28 19:11:20 wuwell1 imapd[14738]: no secret in database
Mar 28 19:11:20 wuwell1 imapd[14738]: badlogin: wuwell1.net.wuwell.de[192.168.10.20] CRAM-MD5 [SASL(-13): user not found: no secret in database]
Wenn ich jetzt aber den User Cyrus verwende funktioniert es aber. Grr
Der User Cyrus existier aber leider und in der Sasal-Datenbank???
Diese Satzsequenz verstehe ich nicht!
Nun zu meiner Frage!
Kann am die Passwort validierung auch bei einem Verschlüsseltem Passwort über PAM realisieren und wenn ja wie?
Ja! Durch einen Eintrag in /etc/imapd.conf sasl_pwcheck_method:pam und in /etc/pam.d/imap auth required /lib/security/pam_krb5.so :-) -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter@schevolution.com http://www.schevolution.com/tour
Wolfgang Rhein schrieb:
Hallo Liste,
ich habe bei mir SuSE 8.1 mit Cyrus am laufen. LDAP und PAM ist auch funktionstüchtig.
Als ein User der nur im LDAP existier kann sich Anmelden als auch seine Mails über Pop3/Imap beim Server hohlen.
Wenn ich aber bei meinem über IMAP mittels Verschlüsseltem Passwort zugreife komme ich nicht auf den Server.
Check mal Deine Conf-Datei von cyrus FÜR cyrus-imapd (Suse sein : /etc/cyrus.conf), um zu sehen, welche Auth-Mechanismen er zur Verfügung stellt. Da sollte pam und opt_mda oder opiekeys stehen.
[...] Mar 28 19:11:14 wuwell1 imapd[14738]: OTP unavailable because can't read/write key database /etc/opiekeys: No such file or directory
Du hast entweder die Datei nicht mit den Rechten versehen, sodass cyrus darauf zugreifen kann, oder vielleicht opie gar nicht installiert. opie: OPIE stands for "One-time Passwords In Everything". This is a PAM module implementing this feature
[...] Der User Cyrus existier aber leider und in der Sasal-Datenbank???
Den Satz verstehe ich nicht. Es sollte in /etc/imap.conf ein User geben, der die Mailboxen administriert. Der erhälte dann entspechend in der cyrus.conf nach den Auth-MECHS ein Password. Wenn Du daher dort PAM verwendest, ist das Setzen des cyrus-Admin mittels saslpasswd sinnlos, denn da schaut cyrus NICHT nach.
[...] Nun zu meiner Frage!
Kann am die Passwort validierung auch bei einem Verschlüsseltem Passwort über PAM realisieren und wenn ja wie?
Du _könntest_ mit opie Glück haben. OPIE scheint - ich nutze es nicht - keine verschlüsselte Passwds zu versenden, aber eben One-Time-Passwds. Wenn, wie ich verstanden habe, PAM damit umgehen kann, versendet der Client zwar nicht verschlüsselt -vermutlich PLAIN - aber eben nur Einmal-Passwds. Das könnte für Deine Sicherheitbedenken reichen. Viel Glück ccD
participants (3)
-
Dennis Leist
-
Dieter Kluenter
-
Wolfgang Rhein